2023年7月11日发(作者：)

WPA-PSK⽆线⽹络破解原理及过程本⽂将主要讲讲WPA-PSK类型的⽆线⽹络安全问题，⾸先我们看下802.11协议相关的基础知识。802.11常见的⼏种认证⽅式：1、不启⽤安全2、WEP3、WPA/WPA2-PSK（预共享密钥）4、WPA/WPA2 802.1X （radius认证）具体在路由器的配置界⾯⼀般如下图所⽰：WPA-PSK的认证过程：由于我这⾥主要分析wpa-psk类型的认证⽅式，所以这⾥就不讨论其他的认证⽅式了，通过抓包分析，我们可以看到wpa-psk的⼤致认证过程分为以下⼏步。1、⽆线AP定期发送beacon数据包，使⽆线终端更新⾃⼰的⽆线⽹络列表。2、⽆线终端在每个信道（1-13）⼴播ProbeRequest（⾮隐藏类型的WiFi含ESSID，隐藏类型的WiFi不含ESSID）。 3、每个信道的AP回应，ProbeResponse，包含ESSID，及RSN信息。4、⽆线终端给⽬标AP发送AUTH包。AUTH认证类型有两种，0为开放式、1为共享式（WPA/WPA2必须是开放式）。5、AP回应⽹卡AUTH包。6、⽆线终端给AP发送关联请求包associationrequest数据包。7、AP给⽆线终端发送关联响应包associationresponse数据包。8、EAPOL四次握⼿进⾏认证（握⼿包是破解的关键）。9、完成认证可以上⽹。802.11数据帧类型说明802.11协议的帧类型主要包括管理帧和数据帧，我们这⾥主要⽤到管理帧：管理帧的主体包含的固定字段与信息元素是⽤来运送信息的。管理帧主要以下⼏种，负责链路层的各种维护功能。1. Beacon 信标帧主要⽤来声明某个⽹络的存在。定期（默认100s、可⾃⼰设置）传送的信标可让station得知⽹络的存在，从⽽调整加⼊该⽹络所必需的参数。2. Probe Request 探查请求帧移动⼯作站利⽤Probe Request探查请求帧来扫描区域内⽬前哪些802.11⽹络。包含2个字段SSID：可被设定为特定⽹络的 SSID 或任何⽹络的 SSID 。Support rates：移动⼯作站所⽀持的速率。esponse探查响应帧如果ProbeRequest所探查的⽹络与之兼容，该⽹络就会以ProbeResponse帧响应。送出最后⼀个beacon帧的⼯作站必须负责响应所收到的探查信息。Probe Request帧中包含了beacon帧的所参数，station可根据它调整加⼊⽹络所需要的参数。 announcement traffic indication map (ATIM)IBSS 的通知传输只是消息ociation and Deauthentication

取消关联、解除验证帧6. AssociationRequest

关联请求帧ciation Request

重新关联ation Response and Reassociation Response关联响应、重新关联响应tication

⾝份验证帧 ///Authentication Algorithm Number：⽤于算法择 frame

帧传送、关联与⾝份验证的状态State1 ：未经认证且尚未关联 2 ：已经认证但尚未关联 3 ：已经认证且已经关联。下图是⽤科来分析数据包显⽰的帧类型：WPA-PSK认证四次握⼿认证的过程：WPA-PSK破解原理：⽤我们字典中的PSK+ssid先⽣成PMK（此步最耗时，是⽬前破解的瓶颈所在），然后结合握⼿包中的客户端MAC，AP的BSSID，A-NONCE，S-NONCE计算PTK，再加上原始的报⽂数据算出MIC并与AP发送的MIC⽐较，如果⼀致，那么该PSK就是密钥。如图所⽰：WPA-PSK破解过程：接下来我们看看如何进⾏抓握⼿包破解WPA-PSK的⽆线AP，我这⾥⽤的⼯具是kali Linux，kali Linux集成了aircrack套件。然后⽹卡使⽤的是rtl8187芯⽚的外置USB⽹卡。破解步骤如下：第⼀步：把usb⽹卡插⼊虚拟机，并开启⽹卡到监听模式，命令如下：“ifconfig wlan0 up” 加载usb⽹卡。“airmon-ng start wlan0” 监听模式已激活到mon0。（通过config 命令查看）。如果不开启监听模式会报错如下图：第⼆步：抓包查看有哪些⽆线⽹络，抓包的界⾯如下图所⽰：“airodump-ng mon0” 查看周边路由AP的信息。个⼈经验⼀般信号强度⼤于-70的可以进⾏破解，⼤于-60就最好了，⼩于-70的不稳定，信号⽐较弱。（信号强度的绝对值越⼩表⽰信号越强）第三步：选择要破解的WiFi，有针对性的进⾏抓握⼿包，命令如下：“ airodump-ng--ignore-negative-one -w /tmp/-c 11 --bssid 40:16:9F:76:E7:DE mon0”参数说明：-w 保存数据包的⽂件名 –c 信道 –bssid ap的mac地址(注意会被重命名)，也可以⽤其他⼯具抓包⽐如：wireshark、tcpdump，抓到握⼿包会有提⽰。第四步：为了顺利抓到握⼿包，我们需要使⽤DEAUTH攻击使已经连接的客户端断开并重新连接，以产⽣握⼿包。（注意：抓握⼿包破解必须有合法的客户端才⾏。）攻击命令如下：aireplay-ng-0 111 -a ap'mac mon1aireplay-ng-0 3 -a B8:A3:86:63:B4:06 -c 00:18:1a:10:da:c9 -x 200 mon1参数说明：-0 Deautenticate 冲突模式 3 发包次数 -x 发包速度抓包可以看到很多deauthentication类型的数据包：包结构如下：抓到的数据包打开后如下图：图中使⽤wireshark打开的，EAPOL类型的数据包共有4个，即四次握⼿的数据包。第五步：接下来就是破解握⼿包，命令如下：aircrack-ng-w 参数解释：-w 字典路径也可以使⽤图形化⼯具EWSA进⾏破解，Elcomsoft Wireless Security Auditor（EWSA）号称可以利⽤GPU的运算性能快速攻破密码，运算速度相⽐使⽤CPU可提⾼最多上百倍。上⾯我们讲解了通过抓握⼿包破解WPA-PSK认证的⽆线AP的全过程，从上述过程可以看出，如果AP没有合法的客户端连接，或者密码设置的⾜够复杂就基本上不可能破解。通过WPS破解⽆线路由器密码接下来我们看⼀下另⼀种破解⽅式，也就是常说的pin码破解后者叫wps破解。⾸先了解下什么是wps：WPS(Wi-FiProtected Setup，Wi-Fi保护设置)是由Wi-Fi联盟组织实施的认证项⽬，主要致⼒于简化⽆线⽹络的安全加密设置。功能：简化配置，快速配置⼀个基于WPA2的⽹络。快速连接，输⼊pin码或按下WPS键即可完成⽹络连接。问题：由于WPS存在漏洞，通过PIN码可以直接提取上⽹密码。通过WPS快速配置⽆线路由器我们可以通过WPS快速配置⽆线路由器：步骤如下1、通过电脑连接新买的⽆线路由器，提⽰通过pin码进⾏设置，界⾯如下：2、输⼊pin码下⼀步，就会为路由器⾃动⽣成⼀个⾜够复杂的认证⽅式及密码：通过WPS快速连接已有⽹络我们也可以通过WPS快速连接已有⽹络，不⽤输⼊复杂的密码：步骤如下（我使⽤⼩⽶⼿机进⾏测试）1、在⼿机上选择通过PIN码进⾏连接或通过路由器上的WPS按键连接。2、如果选择前者只需要输⼊pin码即可连接，如果选择的是后者则只需要按以下路由器上的wps键即可完成连接。Pin码破解的原理：由于WPS存在安全问题，通过PIN码可以直接提取上⽹密码。⽽pin码是⼀个8位的整数，破解过程时间⽐较短。WPS PIN码的第8位数是⼀个校验和，因此⿊客只需计算前7位数。另外前7位中的前四位和后三位分开认证。所以破解pin码最多只需要1.1万次尝试，顺利的情况下在3⼩时左右。Wps认证流程如下图：破解的操作步骤：第⼀步：Wash 扫描开启WPS的⽹络。wash-i mon1 –C第⼆步：穷举破解pin码，并通过获取的pin码得到⽆线AP上⽹密码。reaver-i mon0 -b 5C:63:BF:BA:44:DC -a -S -vvreaver参数说明：1. -i 监听后接⼝称号2. -b APmac地址3. -a 主动检测AP最佳配置4. -S 利⽤最⼩的DH key（能够进步PJ速度）5. -v、-vv 显⽰更多的破解信息6. -d 即delay每穷举⼀次的闲置时候预设为1秒7. -t 即timeout每次穷举守候反应的最长时候8. -c指定频道能够便当找到信号，如-c1 指定1频道如果⽆线路由器没开wps功能会报错如下图：另外破解过程中⽆线路由器会有如下特征：破解成功后如下：如果之前破解的⽆线路由器密码被改了，可以直接通过pin码获取密码，命令如下：reaver-i mon0 -b MAC -p PIN8位数上⾯就是通过pin码破解⽆线路由器密码的全过程，可见开启wps功能并不安全，建议最好不要开此功能。最后介绍⼏个图形界⾯的⼯具：常⽤的图形界⾯的⼯具有⽔滴、打⽓筒、奶瓶：这些⼯具只是将Aircrack-ng、 reaver打包图形化，即为Aircrack-ng套件的GUI。1. Aircrack-ng是⼀个与802.11标准的⽆线⽹络分析关的安全软件，主要功能：⽹络侦测，数据包嗅探，WEP和WPA/WPA2-PSKPJ。2. reaver，专⽤来pin PJ的软件、⼀般都集成在⽔滴等⾥⾯了。3. 另外我们常⽤的注：beini/CDlinux/xiaopan都是⼩型linux系统，已集成了上述⼯具。下图为⽔滴的界⾯。安全建议：1. 使⽤WPA2认证，不要使⽤wep或⽆认证。2. 为⽆线⽹路设置复杂的密码。3. 关闭WPS功能。