無DHCP的無線網絡的攻防

 無DHCP的無線網絡的攻防
    對於大多數的無線路由器或者AP而言，都已經內置了DHCP功能，即都支持用戶進行 DHCP服務的配置。通過在無線AP上設置啟動DHCP服務，無線客戶端在正確連接無線 AP時，就可以直接從DHCP可分配的地址范圍中獲取一個IP地址，並自動使用該IP連接 AP進行上網的操作。需要注意的是，客戶端無線網卡的lP配置頁一般都會全部設置成自動 獲取。
    DHCP全稱為Dynamic Host Configuration Protocol，即動態主機配置協議。主要目的是 自動分配事先指定的IP地址給發出請求的客戶端，這些客戶端在沒有連網的情況下曾經使 用的IP地址將被服務器收回，並重新發送給其他請求的客戶端。這樣，網絡管理員不但可 以從繁雜的客戶端IP地址分配中解脫出來，而且有效地節約了網絡資源。
    下面就以市面上流行的BUFFALO無線路由器為例，帶大家肴看常見無線接入點的 DHCP配置界面，如圖6-35所示。在DHCP Server setting（DHCP服務器設置）中提供 了192.168.11.2～64共計63個IP地址給客 戶端使用。
    但這個時候問題產生了，如果無線管 理員將AP上的DHCP服務關閉了，不再 提供IP地址自動分配。換句話說，就是 即使能夠坡解出連接該AP的WEP或 WPA-PSK密碼，但是不知道內部IP地址， 依1日無法與該AP建立連接。那麼，無線 黑客是如何解決這一問題呢？

圖6-35
    若攻擊者試圖突破DHCP的限制，就意味著要獲取目標AP的內部網絡所使用的IP地 址或范圍。可以使用前面提及的OmniPeek進行無線嗅探，其基本操作步驟大家可以參考本 章前面的內容，這裡不再重復。當然，也可以使用Airodump-ng來進行截獲。使用OmniPeek 打開截獲的無線數據包後的內容如圖6-36所示，可以箸到詳細的數據交互內容，不過這是 針對沒有設置加密的無線網絡，
    對於采用WEP或者WPA-PSK加密的環境，需要先行坡解WEP密碼，然後再對無線加 密數據包進行解密。關於對無線加密數據包解密的詳細步驟，請大家參考7.1節“截獲及解 碼無線加密數據”的內容。
    攻擊者成功截獲了無線客戶端的IP地址請求包，即圖6-37中標識為ARP Request及 ARP Response的數據包，在其後面的內容中可以清楚地看到內網的IP地址。換句話說， 無論是DHCP分配，還是客戶端默認采用前次的連接設置，對於攻擊者而言，已經算是得 到了內部網絡的lP網絡地址。通過具體分析，還可以得到無線客戶端網關、DNS配置信 息等。
    圖6-36    圖6-37
    下面攻擊者就可以直接配置自己的無線網卡了，把網卡IP的網絡部分設置成與目標 內網一致，這樣，就繞過了DHCP分配的限制，可以連接至無線接入點來進行上網或其 他操作了。
    由於DHCP有著IP地址租約更新時間的設置，所以在默認情況下無線客戶端會在一定 時間間隔後與DHCP進行IP地址的更新與確認。對於謹慎且有耐心的攻擊者而言，只要稍 稍等待，就可以獲得芙於內網IP的數據。
    但是不是說一定要等待才可以獲得，一些不太願意浪費時間的攻擊者也會采用諸如 D.O.S的方式來攻擊無線客戶端，使之掉線。當這個或者這些無線客戶端試圖和無線接入點 重新連接與DHCP建立聯系的時候，攻擊者就可以如其所願地截獲含有內部IP地址的數據 報文了。
    很多時候，對於攻擊者而言，先對WEP加密的坡解會有助於對截獲數據包的分析，關 於對指定目標或者大范圍進行D.O.S攻擊的具體內容在第8章會有詳細闡述。

 無客戶端Chopchop的攻防
    能夠用於進行無客戶端坡解攻擊的無線黑客工具主要為Aircrack-ng套裝，不過，這裡 直接使用圖形化的傻瓜工具來實現。這款工具大家應該都比較熟悉了，就是前面第4章講到 坡解WEP時常用到的傻瓜式工具-SpoonWEP2。  

先對當前網絡進行基本的探測。

和前面講到的WEP坡解一樣要先進行探測，來獲取當前無線網絡概況，包括AP的 SSID、MAC地址、工作頻道、無線客戶端MAC及數量等。只需打開一個Shell，輸入如下 命令：
   

    按IEnterl鍵後，就能看到類似於圖6-38所示的內容，這裡直接鎖定目標是SSID為 zerone的AP，其BSSID( MAC)為“OO:1D:73:55:77:97”，工作頻道為2，當前並沒有任何 無線客戶端相連。
    圖6-38  

打開SpoonWEP2，在SPOONWEP SETTINGS中進行基本的設置。

如圖6-39所示，在NET CARD中選擇當前已經載入的無線網卡，這裡就是之前大家看 到的MONO，在DRIVER中設定當前的無線網卡驅動，這裡由於是TP-LINK，所以選擇 ATHEROS即可，需要注意的是，在MODE（模式）處一定要設定為KNOWN VICTIM，即 已知客戶端攻擊。設定完畢後單擊NEXT按鈕，如圖6-39所示。

圖6-39

設定無客戶端攻擊方式。

接下來，選擇上方ATTACK PANEL（即攻擊面板）選項卡，在界面中間設置攻擊方式及無線客戶端MACo這裡選擇CHOPCHOP&FORGE ATTACK，即之前所說的注入攻擊方式。然後在Inj Rate處設定發包速率，可以設置為600以上，這裡直接設置為1000。

@然後在中間的Victim Mac處設定預攻擊的AP的MAC地址，由於是在無客戶端破LAUNCH按鈕即可開始攻擊，如圖6-40所示。

在單擊LAUNCH按鈕後，在SpoonWEP2的一側也將出現一個Airodump-ng的Shell調用界面，在此Shell中，能看到當前的AP及合法的客戶端的無線報文交互情況。

等待一會後，可以清楚地看到IVs的快速增長，如圖6-41所示。

圖6-40 圖6-41

坡解密碼。

在捕獲了足夠數量的無線數據報文後，SpoonWEP2將自動坡解出WEP密碼，如 圖6-42所示，如在工具界面的下方顯示ATTACK FINISHED即攻擊完成，而在該提示下方出現的“WEP Key[5A:65:72:4F:6E:65:53:65:63:54:65:61:6D]“即為目標AP所使用的WEP密碼。

把上面顯示的WEP Key復制到前面章節提到的ASCII轉換工具中，具體如圖6-43所示，將坡解出的十六進制內容，即“5A65724F6E655365635465616D”輸入， 注意把原來中間的冒號去掉，單擊“十六進制轉字符串”按鈕就可轉換成常用的 ASCII碼，即ZerOneSecTeam。接下來，只要在連接時注意區分大小寫就可以了。

圖6-42 就這樣，在無客戶端的情況下，再一次坡解了WEP加密。

   無客戶端Fragment的攻防

    由於本節內容除了在原理上和開始的選項上稍有不同之外，其他均與Chopchop攻擊幾 乎一致，所以本節把主要的步驟講解一下即可，重復的部分將不再贅述。主要的部分如下。

先對當前網絡進行基本的探測。
    使用Airodmup-ng先進行探測，來獲取當前無線網絡概況，包括AP的SSID、MAC地 址、工作頻道、無線客戶端MAC及數量等。

打開SpoonWEP2，在SPOONWEP SETTINGS中進行基本的設置。
    如圖6-44所示，在NET CARD中選擇當前已經載入的無線網卡，這裡就是之前大家看 到的MONO，在DRIVER中設定當前的無線網卡驅動，這裡設置為ATHERO即可，需要注 意的是，在MODE（模式）處一定要設定為KNOWN VICTIM，即已知客戶端攻擊。設定完 畢後單擊NEXT按鈕。

 設定無客戶端攻擊方式。

◇接下來，選擇上方ATTACK PANEL【攻擊面板）選項卡，在界面中間設置攻擊方式及無線客戶端MAC。這裡選擇FRAGMENTATION&FORGE ATTACK，即之前所說的注入攻擊方式。然後在Inj Rate處設定發包速率，可以設置為600以上， 這裡直接設置為1000。

④然後在中間的Victim Mac處設定預攻擊的AP的MAC地址，由於是在無客戶端破 解模式下，所以Client Attack處