21、无线安全技术全解析

无线安全技术全解析

1. WarDriving概述

1.1 WarDriving定义

WarDriving是指在特定区域移动，对无线接入点进行统计性测绘，以提高对无线网络安全问题的认识。它并不意味着未经授权使用这些无线接入点，该术语涵盖了所有无线发现活动，如WarFlying、WarWalking等。其起源于WarDialing，在1983年电影《WarGames》中由Matthew Broderick饰演的David Lightman将这一概念引入大众视野。美国联邦调查局（FBI）表示，按照其真正含义，WarDriving在美国并不违法。

1.2 WarDriving所需工具

WarDriving主要有两种硬件设置：笔记本电脑和个人数字助理（PDA）。进行WarDriving还需要以下设备：
- 无线网卡，最好带有外部天线连接器。
- 外部天线，主要有两种类型：
- 全向天线：用于在各个方向尽可能多地捕获接入点。
- 定向天线：用于在已知位置或方向精确查找特定接入点。
- 用于连接天线和无线网卡的转接器。
- 能够输出NMEA格式的手持GPS设备。
- 外部电源，如电源逆变器或点烟器适配器。

1.3 设备配置

不同操作系统在WarDriving时需要进行不同的配置：
- Windows操作系统 ：禁用TCP/IP堆栈，以避免意外连接到配置错误的无线网络。
- Pocket PC或Windows CE ：设置非标准的IP地址和子网掩码，防止意外连接。
- Linux操作系统 ：由于使用的工具采用监控模式，无需额外配置。

1.4 无线网络渗透测试

在进行无线网络渗透测试之前，了解无线网络的漏洞至关重要。不同加密方式的网络存在不同的安全风险：
- 开放网络天生就具有脆弱性。
- 采用WEP加密的网络，由于RC4算法存在已知漏洞，容易被攻破。
- WPA加密的网络可通过字典攻击破解，近期还出现了针对常见SSID的彩虹表。
- Cisco的LEAP（虽然现在不常用）可使用自动化工具进行破解。

无线渗透测试人员有大量工具可供选择，包括开源和商业工具。

2. 无线电与天线理论

2.1 无线电理论

主要探讨了无线电信号和波的理论，研究了频率和波长之间的关系，并给出了频率和波长相互转换的公式。同时，还介绍了无线电的各种技术术语，如天线、信号、噪声和分贝等。

2.2 天线理论

讨论了不同类型的天线，包括全向天线和定向天线，展示了各种天线的辐射模式和多种不同型号。此外，还介绍了其他射频设备，如放大器和衰减器。

2.3 天线选择

在WarDriving、安全审计和“红队”渗透测试等场景中，选择合适的天线需要考虑多种因素。同时，还提供了一些购买天线的渠道。

3. 不同设备的WarDriving

3.1 Sharp Zaurus

Sharp Zaurus是基于Linux的PDA，有适用于它的Kismet安装包。虽然有GPSD可用，但相关软件包不太可靠，建议在Linux工作站上编译二进制文件并复制到Zaurus。可以使用普通手持GPS设备搭配转接电缆，或者专门为Zaurus开发的GPS设备。还可以使用多种不同的Compact Flash WiFi卡，包括带有外部天线连接器的卡。

3.2 iPaq

MiniStumbler可在运行Windows CE变体的PDA上运行。Hermes芯片组的个人计算机存储卡国际协会（PCMCIA）卡与MiniStumbler配合使用效果最佳，但其他卡也能工作。MiniStumbler可与使用NMEA协议的GPS接收器配合使用。

3.3 手持设备的方向查找

使用手持设备进行方向查找时，需要读取无线电信号强度，操作系统类型无关紧要。外部定向天线可使方向查找更加容易，但不是必需的。

4. Windows系统下的WarDriving与渗透测试

4.1 NetStumbler

NetStumbler是Windows用户进行WarDriving的应用程序，它是802.11a、802.11b和802.11g无线网络的检测和分析工具。

4.2 无线渗透测试工具

• AirCrack - ng有Windows版本，可用于数据包捕获，能破解WEP加密并解码弱WPA - PSK密钥。
• 可以使用Network View等程序通过图形界面进行网络发现。

5. Linux系统下的WarDriving与渗透测试

5.1 系统准备

使用Kismet进行WarDriving时，需要确保内核具备以下条件：
- 启用监控模式（rfmon）。
- 启用对无线网卡的正确支持。
- 编辑Kismet的配置文件，确保其正确配置以满足特定需求。

5.2 WarDriving与Kismet

Kismet可以显示所发现的每个网络的大量信息，包括IP地址范围、信道、加密类型以及连接到该网络的客户端。还可以使用图形前端，如gkismet。

5.3 无线渗透测试步骤

• WLAN发现 ：确定目标网络。
• 识别加密方式 ：了解目标网络使用的加密类型。
• 攻击操作 ：对WEP和WPA网络的攻击通常需要向接入点发送去认证洪水，Void 11是执行此功能的优秀工具。Aircrack套件（Aircrack、Aireplay和Airodump）是破解WEP加密网络的好工具。CoWPAtty可自动化WPA - PSK破解过程，但需要捕获四次EAPOL握手并拥有强大的字典文件。
• 后续操作 ：破解加密并连接到网络后，应将此访问视为在网络上的立足点，并按照正常的渗透测试程序进行操作。

6. OS X系统下的WarDriving与渗透测试

6.1 Kismac

Kismac是WarDriving中功能最强大的工具之一，可在主动和被动模式下运行，还具备为WarDriving行程绘制地图的功能。

6.2 渗透测试功能

Kismac可执行许多无线渗透测试任务，包括：
- 内置使客户端去认证的功能。
- 包含向无线网络注入流量的程序。
- 内置破解WEP和WPA密码短语的工具。

6.3 其他工具

• iStumbler不仅能检测802.11 b/g无线网络，还能检测蓝牙设备。
• 从OS X 10.4 Tiger开始，有许多仪表盘小部件可用于检测无线网络。
• 数据包分析器或嗅探器，如TCPDump或Ethereal，对无线渗透测试人员来说是很有价值的工具。

7. 核心技术与开源工具

7.1 核心技术

7.1.1 WLAN技术

需要了解的第一项技术是WLAN技术。有两种类型的扫描器：
- 主动扫描器依赖SSID广播信标。
- 被动扫描器利用监控模式（rfmon），可以识别隐藏的接入点。

7.1.2 加密类型

无线网络主要使用四种加密方式：
- 有线等效保密（WEP）加密
- WiFi保护访问（WPA/WPA2）加密
- 可扩展认证协议（EAP）
- 虚拟专用网络（VPN）

7.1.3 攻击机制

不同加密方式的网络存在不同的攻击机制：
| 加密类型 | 攻击机制 |
| ---- | ---- |
| WEP | 易受FMS攻击和切割攻击 |
| WPA | 易受字典攻击 |
| Cisco的LEAP | 易受字典攻击 |
| VPN | 通常不直接脆弱，但可通过间接手段攻破 |

7.2 开源工具

7.2.1 足迹分析工具

GPSMap是Kismet附带的工具，非常适合确定目标组织的无线覆盖范围。

7.2.2 情报收集工具

与任何渗透测试一样，互联网搜索引擎查询和USENET新闻组搜索是收集情报的有效方法。

7.2.3 扫描工具

Auditor包含两个WLAN扫描工具：Wellenreiter和Kismet。

7.2.4 枚举工具

Kismet能够确定关联客户端的信息，是渗透测试人员理想的无线枚举工具。

7.2.5 漏洞评估工具

• 确定加密类型是评估无线网络漏洞状态的最佳方法之一，Auditor提供了两个适合此任务的工具。
• Kismet可显示使用的加密强度。
• 由于Kismet在确定WPA时并不总是准确，可使用Ethereal通过检查捕获的数据包来确定加密强度。

7.2.6 利用工具

• Auditor提供了丰富的利用工具。
• Mac - Changer可用于伪造MAC地址。
• Auditor提供Void - 11用于客户端去认证。
• Aircrack套件适用于注入流量和破解WEP。
• CoWPAtty用于破解WPA密码短语，但需要强大的字典文件。

以下是无线网络渗透测试的基本流程mermaid图：

graph LR
    A[WLAN发现] --> B[识别加密方式]
    B --> C{是否需要去认证}
    C -- 是 --> D[使用Void 11去认证]
    C -- 否 --> E[直接攻击]
    D --> E
    E --> F{加密类型}
    F -- WEP --> G[使用Aircrack套件破解]
    F -- WPA --> H[使用CoWPAtty破解]
    G --> I[连接网络]
    H --> I
    I --> J[后续渗透测试]

8. GPS与地图绘制

8.1 使用GPSD与Kismet

要将GPS设备与Kismet配合使用，需要安装GPSD，具体步骤如下：
1. 从http://www.pygps.org/gpsd/ 下载GPSD。
2. 解压并解包GPSD。
3. 执行配置脚本，然后运行make和make install。
4. 在启动Kismet之前启动GPSD，以便记录发现网络的GPS坐标。

8.2 配置Kismet进行地图绘制

在kismet.conf文件中确保以下设置：
- gps=true
- gpshost=localhost:2947

8.3 使用GPSMap绘制地图

GPSMAP随Kismet一起安装，可使用以下开关进行操作：
- -S #：从多个服务器下载地图。
- -r：创建范围圈地图。
- -f和-i：过滤接入点，仅创建目标网络的地图。

8.4 使用StumbVerter绘制地图

StumbVerter是一个免费程序，可从www.michiganwireless.org/tools/Stumbverter/ 下载，用于将NetStumbler数据集导入Microsoft MapPoint并生成地图。安装简单，只需执行安装程序。在导入NetStumbler数据之前，需要将其导出为NetStumbler摘要文件格式。

9. MITM攻击

9.1 MITM攻击设计

MITM攻击的基本目标是让无线客户端连接到攻击者控制的接入点，然后将其流量转发到真正的（授权）接入点。在无线渗透测试中，通常会测试无线网络的安全控制。成功执行MITM攻击需要一个或多个目标接入点。攻击过程如下：
- 无线客户端（受害者）最初连接到目标接入点。
- 当客户端与目标接入点断开连接后，会连接到MITM攻击平台配置的接入点。
- MITM攻击平台为原本连接到目标接入点的无线客户端提供接入点功能，其配置与目标接入点几乎相同，普通用户难以区分。

9.2 攻击所需硬件

成功执行MITM攻击需要以下硬件和关键软件程序：
- 笔记本电脑：可作为目标接入点的克隆，并提供与目标无线网络的连接，还可运行Web服务器托管攻击中发现的伪造网站，因此应具备处理内存密集型任务的能力。
- 两块无线网卡：一块为无线客户端（受害者）提供接入点功能，需能够进入主机AP模式（也称为主模式）；另一块用于与目标接入点建立连接。
- 天线：选择合适的天线很重要，主要考虑两种类型：定向天线和全向天线。
- 2.4 GHz放大器：用于增强MITM接入点的信号，使其信号强度超过目标接入点。

9.3 识别和攻破目标接入点

在发起MITM攻击之前，需要识别并攻破目标接入点。为此，需要收集目标的初步数据，可通过WarDriving获取尽可能多的信息，并利用这些信息绕过接入点的安全机制。

9.4 攻击笔记本电脑配置

9.4.1 内核配置

Linux内核是Linux操作系统的核心，需要启用一些选项以准备攻击平台，包括对硬件的支持、实用程序和驱动程序。

9.4.2 IP转发和NAT

安装和配置Linux内核及两块无线网卡后，启用IP转发和NAT可创建无线路由器/网关，使两个无线接口能够相互通信和传递流量。

9.4.3 Dnsmasq

Dnsmasq是一个轻量级、易于配置的DNS转发器和DHCP服务器，在攻击平台上有两个重要功能：为连接到接入点的无线客户端提供IP地址，以及监控和毒害DNS查询，可用于将Web应用的DNS请求重定向到伪造的Web服务器。

9.5 克隆目标接入点并发起攻击

完成MITM攻击笔记本电脑的配置后，建立无线连接并开始攻击。确保硬件正常运行并正确连接，包括放大器和全向天线。为了让无线客户端连接到攻击者的接入点，可以等待客户端断开并重新连接，或者使用void11强制客户端与目标接入点断开连接。如果一切顺利，当接入点的信号强度超过目标网络的接入点时，无线客户端应会连接到攻击者的接入点，Dnsmasq将根据/etc/dnsmasq.conf文件中的DHCP分配为客户端提供IP地址，客户端将接入点的IP地址作为网关和主DNS服务器。

10. 无线接入点固件修改

10.1 固件修改选择

修改无线接入点固件有多种选择，主要的软件有HyperWRT、DD - WRT和OpenWRT，这里重点介绍OpenWRT。硬件选择几乎没有限制，具体取决于所选的软件安装，以Linksys的WRT54G接入点为例。

10.2 安装OpenWRT

OpenWRT固件可安装在50多种硬件设备上。从OpenWRT网站下载使用squashfs文件系统的固件。可使用Telnet接口配置路由器，但建议使用更安全的SSH连接。OpenWRT使用简单的命令行界面，通过NVRAM变量设置固件中的不同选项。由于使用squashfs文件系统安装，大多数配置文件实际上是设备/rom/目录中对应文件的符号链接。编辑这些文件时，需要删除符号链接，将文件从/rom/目录复制到原始目标目录，然后继续编辑。

10.3 软件包安装与管理

通过编辑/etc/ipkg.conf文件，可以从Web安装软件包，使工作站完全配置。ipkg套件允许用户添加、删除和更新软件包。但WRT54G的系统存储有限，因此需要根据设备的用途选择一次安装哪些软件包。

10.4 枚举和扫描

• Nmap ：WRT54G可作为远程门户使用Nmap进行初始端口扫描，OpenWRT的Nmap软件包提供了大多数选项。
• Netcat ：可用于在WRT54G上建立连接，打开端口或与其他设备建立出站连接。
• Tcpdump ：Tcpdump软件包可用于捕获和分析TCP流量，了解设备在网络中的位置有助于确定可以嗅探和分析的流量类型和数量。

10.5 Kismet无人机安装与配置

Kismet可以在WRT54G上运行，但设备可用空间有限。只要在ipkg.conf文件中列出正确的源，安装kismet就很简单。可以配置kismet无人机在设备上持续运行，进行持续的无线扫描，需要指定正确的kismet_drone.conf文件。无人机运行后，可以从配置文件中指定的同一子网的其他工作站连接到它，也可以直接从路由器运行kismet查看范围内的接入点。

10.6 安装Aircrack破解WEP密钥

在WRT54G上使用Aircrack需要大量磁盘空间来存储流量的pcap文件。可以挂载远程文件系统，并将其指定为数据输出的挂载点，以避免受WRT54G内部内存的限制。安装Aircrack套件只需编辑ipkg.conf文件指向新的存储库，更新可用软件列表，然后安装Aircrack。

11. 无线视频

11.1 无线视频的优势

无线视频具有成本低、安装和使用方便的优点。目前大多数无线视频使用2.4 GHz频率范围，但也有1.2 GHz和900 MHz的其他选项。视频传输使用多种格式，如NTSC、PAL或SECAM，NTSC是美国的默认格式。由于当前技术的限制，渗透测试通常不适用于无线视频评估，但也有一些例外，如Linksys DCS5300G。

11.2 无线视频技术

无线视频技术有多种形式，包括：
- 婴儿监视器
- 泰迪熊摄像头
- 监控监视器
- 间谍摄像头
- 网络摄像头

无线摄像头可以隐藏在各种产品中，如泰迪熊、时钟收音机和间谍摄像头。在默认配置下，无线摄像头在室内的传输距离约为100英尺，室外约为400英尺。信号接收距离取决于源端和/或接收端使用的天线。

11.3 检测工具

11.3.1 相关术语

• 传播：用于定义信号从源端传播并扩散到周围区域的方式。
• 衰减：描述信号随着远离源端而逐渐减弱的现象。

11.3.2 扫描通道

2.4 GHz频率范围内有14个可能的通道可供扫描，具体取决于所在地区，美国仅使用11个通道。

11.3.3 检测工具

市场上没有单一的工具可以进行全面的无线评估，有多种硬件和软件工具可供选择，包括：
- ICOM IC - R3接收器
- X10.com接收器和软件
- WCS - 99视频扫描仪
- Spy Finder摄像头探测器

工具的成功使用部分取决于评估过程中使用的天线。全向天线可在接收器周围360度接收信号，而定向天线在15度弧范围内接收信号。完整的无线评估应包括使用类似Spy Finder的工具扫描隐藏摄像头，因为并非所有无线摄像头都使用可充分扫描的频率。可以使用三角测量法定位信号，使用两个带有定向天线的接收器，相距至少100英尺，在360度范围内扫描，直到找到与目标匹配的最强信号，两条线的交叉点即为信号源。

以下是无线视频检测过程的mermaid图：

graph LR
    A[开始检测] --> B[选择检测工具]
    B --> C{是否使用全向天线}
    C -- 是 --> D[全向扫描]
    C -- 否 --> E[定向扫描]
    D --> F[记录信号]
    E --> F
    F --> G{是否发现可疑信号}
    G -- 是 --> H[使用三角测量法定位]
    G -- 否 --> B
    H --> I[确认信号源]
    I --> J[结束检测]

综上所述，无线网络的安全涉及多个方面，包括WarDriving、渗透测试、核心技术、开源工具、GPS应用、MITM攻击、固件修改和无线视频检测等。了解这些知识和技术，并掌握相应的工具和操作方法，对于保障无线网络安全和进行有效的渗透测试至关重要。在实际应用中，需要根据具体情况选择合适的技术和工具，并严格遵守法律法规和道德准则。

12. 无线安全技术总结与应用建议

12.1 技术总结

• WarDriving ：是一种统计性测绘无线接入点的活动，可提高对无线网络安全问题的认识。它起源于WarDialing，在美国按其真正含义并不违法。进行WarDriving需要特定的硬件设备和不同操作系统下的配置。
• 天线理论与选择 ：了解无线电和天线理论对于选择合适的天线至关重要。全向天线适用于广泛捕获接入点，定向天线适用于精确查找特定接入点。在不同场景下，如WarDriving、安全审计和渗透测试，需要考虑多种因素来选择天线。
• 不同系统下的工具应用 ：在Windows、Linux、OS X等不同操作系统下，有各种适合WarDriving和无线渗透测试的工具。例如，NetStumbler适用于Windows系统的WarDriving，Kismet在Linux系统中功能强大，Kismac在OS X系统中表现出色。
• 核心技术与加密攻击 ：WLAN技术中有主动和被动扫描器，无线网络主要使用四种加密方式，每种加密方式都有相应的攻击机制。开源工具涵盖了足迹分析、情报收集、扫描、枚举、漏洞评估和利用等多个方面。
• GPS与地图绘制 ：通过安装GPSD并与Kismet配合使用，可以记录发现网络的GPS坐标。使用GPSMap和StumbVerter等工具可以绘制WarDriving的地图。
• MITM攻击 ：MITM攻击的目标是让无线客户端连接到攻击者控制的接入点，需要特定的硬件设备和软件程序。攻击前需要识别并攻破目标接入点，同时对攻击笔记本电脑进行配置。
• 无线接入点固件修改 ：可以选择HyperWRT、DD - WRT和OpenWRT等软件修改无线接入点固件。以OpenWRT为例，安装和配置过程涉及多个步骤，还可以安装各种软件包进行枚举、扫描和破解等操作。
• 无线视频 ：无线视频具有成本低、安装和使用方便的优点，但渗透测试通常不适用于无线视频评估。市场上有多种检测工具，可利用三角测量法定位信号源。

12.2 应用建议

• 安全防护方面
  • 对于无线网络所有者，应定期进行WarDriving式的自我检测，了解自身网络的覆盖范围和安全状况。使用强加密方式，如WPA2，并定期更换密码。
  • 避免使用默认的SSID和管理密码，防止被攻击者轻易识别和破解。
  • 定期更新无线接入点的固件，以修复已知的安全漏洞。
• 渗透测试方面
  • 在进行渗透测试前，充分收集目标网络的信息，包括使用开源工具进行足迹分析和情报收集。
  • 严格遵守法律法规和道德准则，获得授权后再进行测试。
  • 针对不同的加密方式，选择合适的攻击工具和方法，如使用Aircrack套件破解WEP加密，使用CoWPAtty破解WPA密码短语。
• 无线视频方面
  • 对于使用无线视频设备的用户，应注意设备的安全设置，如更改默认密码，避免设备被他人轻易访问。
  • 在进行无线视频检测时，使用多种检测工具进行全面评估，确保没有隐藏的无线摄像头。

12.3 常见问题解答

以下是一些常见问题及其解答：
| 问题 | 解答 |
| ---- | ---- |
| WarDriving是否违法？ | 在美国，按其真正含义WarDriving并不违法，但如果未经授权使用无线接入点则可能违法。 |
| 如何选择合适的天线？ | 根据具体场景选择，全向天线适用于广泛捕获接入点，定向天线适用于精确查找特定接入点。还需考虑天线的增益、频率范围等因素。 |
| 如何破解WPA密码？ | 可以使用CoWPAtty等工具进行字典攻击，但需要捕获四次EAPOL握手并拥有强大的字典文件。 |
| 无线视频检测有哪些工具？ | 市场上有ICOM IC - R3接收器、X10.com接收器和软件、WCS - 99视频扫描仪、Spy Finder摄像头探测器等工具。 |

12.4 未来趋势展望

随着无线网络技术的不断发展，无线安全领域也将面临新的挑战和机遇。未来可能会出现更强大的加密算法和安全机制，同时攻击者也会开发出更先进的攻击手段。因此，持续关注无线安全技术的发展，不断学习和更新知识，对于保障无线网络安全至关重要。

以下是一个总结无线安全技术应用流程的mermaid图：

graph LR
    A[确定目标] --> B[信息收集]
    B --> C{目标类型}
    C -- 无线网络 --> D[WarDriving与扫描]
    C -- 无线视频 --> E[视频检测]
    D --> F[漏洞评估]
    E --> F
    F --> G{是否存在漏洞}
    G -- 是 --> H[选择攻击工具]
    G -- 否 --> I[结束]
    H --> J[实施攻击]
    J --> K[验证结果]
    K --> L{是否成功}
    L -- 是 --> M[报告与建议]
    L -- 否 --> H
    M --> I

总之，无线安全技术是一个复杂而重要的领域，需要我们不断深入学习和实践。通过合理应用各种技术和工具，我们可以更好地保障无线网络的安全，同时也能在渗透测试中发挥更大的作用。在未来的发展中，我们应紧跟技术趋势，不断提升自己的能力，以应对日益复杂的无线安全挑战。