WLAN技術(shù)出現(xiàn)之后，“安全”就成為始終伴隨在“無線”這個(gè)詞身邊的影子，針對(duì)無線網(wǎng)絡(luò)技術(shù)中涉及的安全認(rèn)證加密協(xié)議的攻擊與破解就層出不窮。現(xiàn)在，因特網(wǎng)上可能有數(shù)以百計(jì)，甚至以千計(jì)的文章介紹關(guān)于怎么攻擊與破解WEP，但有多少人能夠真正地成功攻破WEP的加密算法呢?下面筆者來給大家介紹一些關(guān)于WEP加密手段的知識(shí)，以及就是菜鳥只要按照步驟操作也可成功破解WEP密鑰的方法。當(dāng)然最終的目的還是為了讓記者做好安全設(shè)置對(duì)破解更好的進(jìn)行防范。本系列文章共兩篇，在第一篇里主要介紹破解WEP的方法，第二篇里介紹如何設(shè)置WLAN的安全設(shè)置來進(jìn)行更好的防范。

　　一、WEP:無線網(wǎng)絡(luò)安全最初的保護(hù)者

　　相對(duì)于有線網(wǎng)絡(luò)來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)更容易被竊聽。設(shè)計(jì)一個(gè)完善的無線局域網(wǎng)系統(tǒng)，加密和認(rèn)證是需要考慮的兩個(gè)必不可少的安全因素。無線局域網(wǎng)中應(yīng)用加密和認(rèn)證技術(shù)的最根本目的就是使無線業(yè)務(wù)能夠達(dá)到與有線業(yè)務(wù)同樣的安全等級(jí)。針對(duì)這個(gè)目標(biāo)，IEEE802.11標(biāo)準(zhǔn)中采用了WEP(Wired Equivalent Privacy:有線對(duì)等保密)協(xié)議來設(shè)置專門的安全機(jī)制，進(jìn)行業(yè)務(wù)流的加密和節(jié)點(diǎn)的認(rèn)證。它主要用于無線局域網(wǎng)中鏈路層信息數(shù)據(jù)的保密。WEP采用對(duì)稱加密機(jī)理，數(shù)據(jù)的加密和解密采用相同的密鑰和加密算法。WEP 使用加密密鑰(也稱為 WEP 密鑰)加密 802.11 網(wǎng)絡(luò)上交換的每個(gè)數(shù)據(jù)包的數(shù)據(jù)部分。啟用加密后，兩個(gè) 802.11 設(shè)備要進(jìn)行通信，必須具有相同的加密密鑰，并且均配置為使用加密。如果配置一個(gè)設(shè)備使用加密而另一個(gè)設(shè)備沒有，則即使兩個(gè)設(shè)備具有相同的加密密鑰也無法通信。(如圖一所示)

圖一:WEP加密

　　WEP加密過程

　　WEP支持 64 位和128 位加密，對(duì)于 64 位加密，加密密鑰為 10 個(gè)十六進(jìn)制字符(0-9 和 A-F)或 5 個(gè) ASCII 字符;對(duì)于 128 位加密，加密密鑰為 26 個(gè)十六進(jìn)制字符或 13 個(gè) ASCII 字符。64 位加密有時(shí)稱為 40 位加密;128 位加密有時(shí)稱為 104 位加密。152 位加密不是標(biāo)準(zhǔn) WEP 技術(shù)，沒有受到客戶端設(shè)備的廣泛支持。WEP依賴通信雙方共享的密鑰來保護(hù)所傳的加密數(shù)據(jù)幀。其數(shù)據(jù)的加密過程如下。

　　1、計(jì)算校驗(yàn)和(Check Summing)。

　　(1)對(duì)輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)和計(jì)算。

　　(2)把輸入數(shù)據(jù)和計(jì)算得到的校驗(yàn)和組合起來得到新的加密數(shù)據(jù)，也稱之為明文，明文作為下一步加密過程的輸入。

　　2、加密。在這個(gè)過程中，將第一步得到的數(shù)據(jù)明文采用算法加密。對(duì)明文的加密有兩層含義:明文數(shù)據(jù)的加密，保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)。

　　(1)將24位的初始化向量和40位的密鑰連接進(jìn)行校驗(yàn)和計(jì)算，得到64位的數(shù)據(jù)。

　　(2)將這個(gè)64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中，它對(duì)初始化向量和密鑰的校驗(yàn)和計(jì)算值進(jìn)行加密計(jì)算。

　　(3)經(jīng)過校驗(yàn)和計(jì)算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰流進(jìn)行按位異或運(yùn)算得到加密后的信息，即密文。

　　3、傳輸。將初始化向量和密文串接起來，得到要傳輸?shù)募用軘?shù)據(jù)幀，在無線鏈路上傳輸。(如圖二所示)

圖二:WEP加密過程

WEP解密過程

 

　　在安全機(jī)制中，加密數(shù)據(jù)幀的解密過程只是加密過程的簡(jiǎn)單取反。解密過程如下。

　　1、恢復(fù)初始明文。重新產(chǎn)生密鑰流，將其與接收到的密文信息進(jìn)行異或運(yùn)算，以恢復(fù)初始明文信息。

　　2、檢驗(yàn)校驗(yàn)和。接收方根據(jù)恢復(fù)的明文信息來檢驗(yàn)校驗(yàn)和，將恢復(fù)的明文信息分離，重新計(jì)算校驗(yàn)和并檢查它是否與接收到的校驗(yàn)和相匹配。這樣可以保證只有正確校驗(yàn)和的數(shù)據(jù)幀才會(huì)被接收方接受。

圖三:WEP解密過程

　　二、破解WEP密鑰前的準(zhǔn)備工作

　　在以下的兩部分內(nèi)容內(nèi)，筆者將逐步地向大家介紹關(guān)于怎樣來破解WEP的密鑰的方法。這種方法并不需要什么特別的硬件設(shè)備，僅僅只需兩臺(tái)(只有一臺(tái)也可)帶有無線網(wǎng)卡的筆記本而已，整個(gè)攻擊過程所使用的也只是一些共享和自由軟件，并不需什么相當(dāng)專業(yè)的工具?？炊@篇文章和學(xué)會(huì)操作的讀者，并不需要你是一名網(wǎng)絡(luò)專家，不過要基本上熟悉一些網(wǎng)絡(luò)術(shù)語和基本的原理。最少，你應(yīng)該知道怎樣去ping 另外一臺(tái)機(jī)器以測(cè)試網(wǎng)絡(luò)是否暢通，并會(huì)打開一個(gè)Windows的命令提示符窗口，知道輸入相關(guān)命令和了解關(guān)于Windows網(wǎng)絡(luò)屬性窗口的相關(guān)內(nèi)容。這就是基本的要求，要不然怎么可稱之為菜鳥都可學(xué)會(huì)的方法呢。

　　1、組建實(shí)驗(yàn)環(huán)境

　　開始之前，我們的第一步就是要組建一個(gè)實(shí)驗(yàn)環(huán)境，你不可能拿別人的網(wǎng)絡(luò)來玩你的破解吧，這樣做既違反了法律也是一種不道德的行為噢。搭建一個(gè)實(shí)驗(yàn)環(huán)境下的無線網(wǎng)絡(luò)平臺(tái)，則無線AP是少不了的，另外，三臺(tái)帶有無線網(wǎng)卡的筆記本(使用有無線網(wǎng)卡的臺(tái)式機(jī)也可以)組成的簡(jiǎn)單網(wǎng)絡(luò)就可滿足要求了。組成的網(wǎng)絡(luò)拓?fù)淙缦聢D四所示。

圖四:組建一個(gè)實(shí)驗(yàn)環(huán)境

　　在圖四所示的網(wǎng)絡(luò)中，無線AP的選用，我們使用的是一個(gè)Netgear的產(chǎn)品，型號(hào)為WGT624v2，它在以后充當(dāng)被攻擊目標(biāo)的角色，在以后就稱它為目標(biāo)AP。在所使用的三臺(tái)機(jī)器中，一臺(tái)是作為被攻擊目標(biāo)的客戶端機(jī)器，暫且稱之為“Target”;另外兩臺(tái)筆記本一臺(tái)執(zhí)行主動(dòng)攻擊，促使網(wǎng)絡(luò)流量的產(chǎn)生，以便足夠多的數(shù)據(jù)包有比較短的時(shí)間內(nèi)能夠被捕捉到，稱這臺(tái)機(jī)器為“Attack”;剩下的那臺(tái)筆記本就是用來嗅探并捕捉那些主動(dòng)攻擊產(chǎn)生的數(shù)據(jù)包了，則把它稱為“Sniff”。當(dāng)然，盡管整個(gè)的破解過程可以在一臺(tái)筆記本上完成，但筆者并不推薦這種做法，用僅僅一臺(tái)筆記本，會(huì)使以后的工作變得很麻煩，并且發(fā)現(xiàn)使用這種方法的話竊聽程序可能會(huì)發(fā)生一點(diǎn)小問題。在一個(gè)使用率不高的WLAN中，使用主動(dòng)攻擊比被動(dòng)探測(cè)的機(jī)會(huì)更大，它可在較短的時(shí)間內(nèi)使WLAN產(chǎn)生更多的數(shù)據(jù)包從而加快破解WEP的速度。

　　在這個(gè)實(shí)驗(yàn)環(huán)境中一定非得要使用筆記本不可，我們當(dāng)然也能夠使用桌面PC或桌面PC與筆記本混用，不過使用筆記本的話它的便攜性更好，而且對(duì)現(xiàn)在的無線PC Card卡有更好的兼容性。

　　Target所使用的無線網(wǎng)卡與芯片無關(guān)，只要是基于802.11b，任意廠家的產(chǎn)品都可滿足要求。而Attack與Sniff兩臺(tái)機(jī)器是使用的兩塊基于PRISM芯片的802.11b的無線網(wǎng)卡。盡管我們?cè)谝院蟮牟僮髦兄惺褂玫暮芏喙ぞ?如Kismet)都可支持相當(dāng)多種類的無線網(wǎng)卡，但筆者還是建議使用基于PRISM 2芯片的網(wǎng)卡，因?yàn)檫@種芯片能夠被我們?cè)谄平膺^程所要使用到的所有工具都支持。

　　無線網(wǎng)卡一般有外置天線與內(nèi)置天線兩種，如果所購(gòu)買的無線網(wǎng)卡并沒有內(nèi)置天線的話，還必須自己再另購(gòu)天線。不過外置天線的優(yōu)點(diǎn)就是增益更高，靈敏度更好，可以調(diào)節(jié)天線的方向從而得到更好的信號(hào)接收;而內(nèi)置天線是可以更方便地?cái)y帶，缺點(diǎn)是天線方向無法調(diào)節(jié)。筆者看到有一種移動(dòng)式外置天線，使用起來是很方便的，在這種移動(dòng)式天線的底部有幾個(gè)橡膠材料的小吸杯，可以把它方便地吸附在筆記本的頂蓋上，如果是在車內(nèi)使用的話，還可把它牢牢地吸在車空窗玻璃上呢。如下圖五所示。

圖四:移動(dòng)式天線

2、實(shí)驗(yàn)WLAN的設(shè)置

 

　　適當(dāng)?shù)貙?duì)這個(gè)實(shí)驗(yàn)環(huán)境進(jìn)行一下設(shè)置是很重要的，因?yàn)槲覀儺吘怪幌胍谶@個(gè)用來實(shí)驗(yàn)的環(huán)境中來完成所有的操作，在下文中描述的攻擊過程中，將會(huì)強(qiáng)制終止一個(gè)與AP有連接的客戶端。這種攻擊可能會(huì)對(duì)在這個(gè)鄰近區(qū)域內(nèi)的無線用戶造成嚴(yán)重?fù)p害，為了避免鄰近的AP上的用戶受到附帶的攻擊，　是要保護(hù)那些并不屬于實(shí)驗(yàn)WLAN的用戶。如果這個(gè)操作環(huán)境中位于一個(gè)復(fù)雜的辦公室、辦公大樓或其他有許多無線網(wǎng)絡(luò)覆蓋的區(qū)域中的話，要嘗試一下這樣的破解操作，請(qǐng)最好等到晚上沒什么人工作，網(wǎng)絡(luò)不再繁忙時(shí)進(jìn)行，免得“城門失火，殃及池魚”。

　　第一步就是連接和設(shè)置這個(gè)被攻擊的實(shí)驗(yàn)無線局域網(wǎng)，如前面所述，這個(gè)WLAN包含有一個(gè)Access Point(無線路由器)和僅僅一個(gè)無線客戶端，且這個(gè)無線局域網(wǎng)被我們想要破解的WEP密鑰保護(hù)起來了。把目標(biāo)AP的SSID(System Set ID)設(shè)置為“starbucks”，SSID用來區(qū)分不同的網(wǎng)絡(luò)，也稱為網(wǎng)絡(luò)名稱。無線工作站必須出示正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)?？梢哉J(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，從而提供口令機(jī)制，實(shí)現(xiàn)一定的安全性。并在這個(gè)WAP上配置一個(gè)64位的WEP密鑰來進(jìn)行保護(hù)。

　　把如下的信息記錄下來以便以后使用

　　①AP的MAC地址。它通常會(huì)在AP的WEB配置菜單上顯示出來， AP的底部或側(cè)面的標(biāo)簽上也可能記有本機(jī)的MAC地址。

　　②AP的SSID。

　?、跘P的無線頻道(Channel)。

　?、躓EP 密鑰。如果無線AP顯示的密鑰像0xFFFFFFFFFF這樣的格式(把設(shè)定的值替代F的值)，把除0x外的每個(gè)字母都記下來。

　　第二步就是把Target客戶端連接到目標(biāo)AP上。我們現(xiàn)在需要把這個(gè)客戶端連接到目標(biāo)AP以進(jìn)行進(jìn)一步的配置，(以下都是在Windows XP下進(jìn)行的)，右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，或者通過“開始”菜單，然后單擊“屬性”，雙擊“Wireless Network Connection”，然后打開如圖五所示的窗口，其中顯示的是有多個(gè)可用的無線網(wǎng)絡(luò)，但如果只有一個(gè)無線網(wǎng)絡(luò)的話，則在該窗口中可能只僅僅顯示剛剛配置的那個(gè)名為“starbucks”的AP，雙擊相應(yīng)的SSID名稱以連接到目標(biāo)AP。

圖五:連接到目標(biāo)WLAN

　　因?yàn)锳P已開啟了WEP保護(hù)，連接時(shí)Windows會(huì)要求輸入一個(gè)密碼(如圖六所示)，把剛才設(shè)置的的WEP密鑰輸入(當(dāng)然從記事本或?qū)懽职逦臋n中粘貼過來也可)，稍等一會(huì)兒后Windows就會(huì)報(bào)告已連接到網(wǎng)絡(luò)上。確認(rèn)一下是否已真正地連接成功，去ping一個(gè)在有線網(wǎng)絡(luò)計(jì)算機(jī)來測(cè)試一下;或者假如這個(gè)實(shí)驗(yàn)WLAN已接連到因特網(wǎng)上，隨便打開一個(gè)WEB站點(diǎn)看是否能夠連接來加以確認(rèn)。如果不能成功地ping通已知地址的機(jī)器或者打不開正常的WEB站點(diǎn)，則打開無線網(wǎng)卡的屬性，單擊“支持”按鈕，檢查一下無線網(wǎng)上是否已獲取了一個(gè)正確的IP地址，如果沒有能夠獲取正確的IP地址，看看網(wǎng)絡(luò)中的DHCP服務(wù)器是否已啟用，并檢查無線網(wǎng)卡的TCP/IP屬性是否設(shè)置成“自動(dòng)獲取IP地址”了，如果一切都正常，在這個(gè)無線連接中點(diǎn)擊 “修復(fù)”按鈕來加以改正。

圖六:輸入WEP密鑰

　　第三步就是記錄下Target機(jī)器的MAC地址。一旦成功連接到網(wǎng)絡(luò)上，就把被攻擊的Target計(jì)算機(jī)的MAC地址記錄下來。方法有兩種，一是打開一個(gè)命令提示符窗口并輸入ipconfig/all命令也可看到這個(gè)MAC地址，這個(gè)窗口的內(nèi)容如下圖七所示(無線網(wǎng)卡的MAC地址信息已高亮度顯示)。

圖七:輸入ipconfig/all命令來發(fā)現(xiàn)MAC地址

　　二是在Windows XP中，可從“無線連接狀態(tài)”窗口來得到這個(gè)MAC地址，單擊“支持”按鈕，然后單擊“詳細(xì)信息”，這個(gè)MAC地址就顯示在窗口頂端的右邊(如圖八所示)，當(dāng)然，不同的機(jī)器顯示的名稱可能不盡相同，另外的計(jì)算機(jī)顯示的就可能如“物理地址”這一類的描述信息了。在這個(gè)窗口的信息，組成MAC地址的字母和數(shù)字被短劃線分隔，短劃線的目的只是使這些字符看得更清楚，但實(shí)際的MAC地址是沒有這些短劃線的。

圖八:在網(wǎng)絡(luò)連接詳細(xì)信息中顯示的MAC地址

3、筆記本的設(shè)置

 

　　首先，我們來準(zhǔn)備破解WEP密鑰所需要的幾個(gè)工具軟件(Kismet、Airodump、Void11、Aireplay 和Aircrack)，Kismet:用來掃描整個(gè)區(qū)域內(nèi)的WLAN，找到實(shí)驗(yàn)用的目標(biāo)WLAN，收集相關(guān)數(shù)據(jù)(SSID值、頻道、AP及與之相連接的客戶端的MAC地址等);Airodump:對(duì)目標(biāo)WLAN進(jìn)行掃描并捕獲其產(chǎn)生的數(shù)據(jù)包到一個(gè)文件中;Void11:從目標(biāo)AP中驗(yàn)證某臺(tái)計(jì)算機(jī)，并強(qiáng)制這個(gè)客戶端重新連接到到目標(biāo)AP，以使其一個(gè)ARP請(qǐng)求;Aireplay:接受這些ARP請(qǐng)求并回送到目標(biāo)AP，以一個(gè)合法的客戶端身份來截獲這個(gè)ARP請(qǐng)求; Aircrack:接受Airodump生成的捕獲文件并從中提取WEP密鑰。

　　它們都是公開源代碼的共享或自由軟件，這些所有的工具都可以在一個(gè)被稱為 “Auditor Security Collection LIVE CD” 的共享光盤上找到，這個(gè)光盤是一張可引導(dǎo)系統(tǒng)的光盤，可以引導(dǎo)一個(gè)經(jīng)過改進(jìn)過的Kanotix Linux，這個(gè)Linux版本無需存取硬盤，在通過光盤啟動(dòng)時(shí)直接安裝到內(nèi)存中就，它啟動(dòng)后可自動(dòng)檢測(cè)和配置多種無線網(wǎng)卡。在本文使用的Auditor Security Collection LIVE CD是最新版本，版本號(hào)為auditor-150405-04，下載地址為http://new./index.php/Auditor_mirrors，下載的文件格式是CD映像文件或.ISO文件，通過NERO(或其他的刻錄軟件)把它刻錄下來，給Attack和Sniff機(jī)器各一張。

　　首先把無線網(wǎng)卡插入到筆記本中(如果機(jī)器內(nèi)置有無線網(wǎng)卡就最好不過了)，再把筆記本設(shè)置成從光盤引導(dǎo)，并把Auditor Security Collection CD放入光驅(qū)中。從Auditor引導(dǎo)菜單中選擇合適的屏幕分辨率后，Kanotix Linux會(huì)被安裝到內(nèi)存中運(yùn)行并出現(xiàn)Auditor開始屏幕(如圖九所示)。

圖九:Auditor的開始屏幕

　　在這個(gè)Auditor系統(tǒng)中，兩個(gè)最重要的圖標(biāo)是位于屏幕左下方的Programs和Command Line圖標(biāo)，我們以后的許多操作基本上都是要通過它們來完成的。如圖十所示。

圖十:Program和Command Line的位置

　　在這里，開始做其他任何其他的事情之前，先要確認(rèn)我們機(jī)器上的無線網(wǎng)卡能夠通過Auditor的驗(yàn)證。單擊Command Line圖標(biāo)以打開一個(gè)命令行窗口，然后輸入iwconfig命令，在Auditor顯示出的信息中，你會(huì)看到有關(guān)于“Wlan0”的信息，它是Auditor為基于PRISM芯片的卡確定的一個(gè)名稱，如果用來操作攻擊的筆記本的屏幕顯示如圖十一所示的窗口，則表明Auditor已檢測(cè)到了無線網(wǎng)卡，現(xiàn)在就可以開始下一步工作了。對(duì)于另外一臺(tái)筆記本，也進(jìn)行同樣的步驟，重復(fù)這一操作。

圖十一:用iwconfig命令檢驗(yàn)無線網(wǎng)卡

　　好，準(zhǔn)備工作現(xiàn)在基本完成，在本文的下篇里，我們將開始實(shí)際的解決過程。