萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 無DHCP的無線網絡的攻防

無DHCP的無線網絡的攻防

 無DHCP的無線網絡的攻防
    對於大多數的無線路由器或者AP而言,都已經內置了DHCP功能,即都支持用戶進行 DHCP服務的配置。通過在無線AP上設置啟動DHCP服務,無線客戶端在正確連接無線 AP時,就可以直接從DHCP可分配的地址范圍中獲取一個IP地址,並自動使用該IP連接 AP進行上網的操作。需要注意的是,客戶端無線網卡的lP配置頁一般都會全部設置成自動 獲取。
    DHCP全稱為Dynamic Host Configuration Protocol,即動態主機配置協議。主要目的是 自動分配事先指定的IP地址給發出請求的客戶端,這些客戶端在沒有連網的情況下曾經使 用的IP地址將被服務器收回,並重新發送給其他請求的客戶端。這樣,網絡管理員不但可 以從繁雜的客戶端IP地址分配中解脫出來,而且有效地節約了網絡資源。
    下面就以市面上流行的BUFFALO無線路由器為例,帶大家肴看常見無線接入點的 DHCP配置界面,如圖6-35所示。在DHCP Server setting(DHCP服務器設置)中提供 了192.168.11.2~64共計63個IP地址給客 戶端使用。
    但這個時候問題產生了,如果無線管 理員將AP上的DHCP服務關閉了,不再 提供IP地址自動分配。換句話說,就是 即使能夠坡解出連接該AP的WEP或 WPA-PSK密碼,但是不知道內部IP地址, 依1日無法與該AP建立連接。那麼,無線 黑客是如何解決這一問題呢?

無DHCP的無線網絡的攻防圖6-35
    若攻擊者試圖突破DHCP的限制,就意味著要獲取目標AP的內部網絡所使用的IP地 址或范圍。可以使用前面提及的OmniPeek進行無線嗅探,其基本操作步驟大家可以參考本 章前面的內容,這裡不再重復。當然,也可以使用Airodump-ng來進行截獲。使用OmniPeek 打開截獲的無線數據包後的內容如圖6-36所示,可以箸到詳細的數據交互內容,不過這是 針對沒有設置加密的無線網絡,
    對於采用WEP或者WPA-PSK加密的環境,需要先行坡解WEP密碼,然後再對無線加 密數據包進行解密。關於對無線加密數據包解密的詳細步驟,請大家參考7.1節“截獲及解 碼無線加密數據”的內容。
    攻擊者成功截獲了無線客戶端的IP地址請求包,即圖6-37中標識為ARP Request及 ARP Response的數據包,在其後面的內容中可以清楚地看到內網的IP地址。換句話說, 無論是DHCP分配,還是客戶端默認采用前次的連接設置,對於攻擊者而言,已經算是得 到了內部網絡的lP網絡地址。通過具體分析,還可以得到無線客戶端網關、DNS配置信 息等。
    無DHCP的無線網絡的攻防圖6-36    圖6-37
    下面攻擊者就可以直接配置自己的無線網卡了,把網卡IP的網絡部分設置成與目標 內網一致,這樣,就繞過了DHCP分配的限制,可以連接至無線接入點來進行上網或其 他操作了。
    由於DHCP有著IP地址租約更新時間的設置,所以在默認情況下無線客戶端會在一定 時間間隔後與DHCP進行IP地址的更新與確認。對於謹慎且有耐心的攻擊者而言,只要稍 稍等待,就可以獲得芙於內網IP的數據。
    但是不是說一定要等待才可以獲得,一些不太願意浪費時間的攻擊者也會采用諸如 D.O.S的方式來攻擊無線客戶端,使之掉線。當這個或者這些無線客戶端試圖和無線接入點 重新連接與DHCP建立聯系的時候,攻擊者就可以如其所願地截獲含有內部IP地址的數據 報文了。
    很多時候,對於攻擊者而言,先對WEP加密的坡解會有助於對截獲數據包的分析,關 於對指定目標或者大范圍進行D.O.S攻擊的具體內容在第8章會有詳細闡述。

 無客戶端Chopchop的攻防
    能夠用於進行無客戶端坡解攻擊的無線黑客工具主要為Aircrack-ng套裝,不過,這裡 直接使用圖形化的傻瓜工具來實現。這款工具大家應該都比較熟悉了,就是前面第4章講到 坡解WEP時常用到的傻瓜式工具-SpoonWEP2。  

先對當前網絡進行基本的探測。

和前面講到的WEP坡解一樣要先進行探測,來獲取當前無線網絡概況,包括AP的 SSID、MAC地址、工作頻道、無線客戶端MAC及數量等。只需打開一個Shell,輸入如下 命令:
   無DHCP的無線網絡的攻防

    按IEnterl鍵後,就能看到類似於圖6-38所示的內容,這裡直接鎖定目標是SSID為 zerone的AP,其BSSID( MAC)為“OO:1D:73:55:77:97”,工作頻道為2,當前並沒有任何 無線客戶端相連。
    無DHCP的無線網絡的攻防圖6-38  

打開SpoonWEP2,在SPOONWEP SETTINGS中進行基本的設置。

如圖6-39所示,在NET CARD中選擇當前已經載入的無線網卡,這裡就是之前大家看 到的MONO,在DRIVER中設定當前的無線網卡驅動,這裡由於是TP-LINK,所以選擇 ATHEROS即可,需要注意的是,在MODE(模式)處一定要設定為KNOWN VICTIM,即 已知客戶端攻擊。設定完畢後單擊NEXT按鈕,如圖6-39所示。

無DHCP的無線網絡的攻防圖6-39

設定無客戶端攻擊方式。

接下來,選擇上方ATTACK PANEL(即攻擊面板)選項卡,在界面中間設置攻擊方式及無線客戶端MACo這裡選擇CHOPCHOP&FORGE ATTACK,即之前所說的注入攻擊方式。然後在Inj Rate處設定發包速率,可以設置為600以上,這裡直接設置為1000。

@然後在中間的Victim Mac處設定預攻擊的AP的MAC地址,由於是在無客戶端破LAUNCH按鈕即可開始攻擊,如圖6-40所示。

在單擊LAUNCH按鈕後,在SpoonWEP2的一側也將出現一個Airodump-ng的Shell調用界面,在此Shell中,能看到當前的AP及合法的客戶端的無線報文交互情況。

等待一會後,可以清楚地看到IVs的快速增長,如圖6-41所示。

無DHCP的無線網絡的攻防圖6-40 圖6-41

坡解密碼。

在捕獲了足夠數量的無線數據報文後,SpoonWEP2將自動坡解出WEP密碼,如 圖6-42所示,如在工具界面的下方顯示ATTACK FINISHED即攻擊完成,而在該提示下方出現的“WEP Key[5A:65:72:4F:6E:65:53:65:63:54:65:61:6D]“即為目標AP所使用的WEP密碼。

把上面顯示的WEP Key復制到前面章節提到的ASCII轉換工具中,具體如圖6-43所示,將坡解出的十六進制內容,即“5A65724F6E655365635465616D”輸入, 注意把原來中間的冒號去掉,單擊“十六進制轉字符串”按鈕就可轉換成常用的 ASCII碼,即ZerOneSecTeam。接下來,只要在連接時注意區分大小寫就可以了。

無DHCP的無線網絡的攻防

圖6-42 就這樣,在無客戶端的情況下,再一次坡解了WEP加密。

   無客戶端Fragment的攻防

    由於本節內容除了在原理上和開始的選項上稍有不同之外,其他均與Chopchop攻擊幾 乎一致,所以本節把主要的步驟講解一下即可,重復的部分將不再贅述。主要的部分如下。

先對當前網絡進行基本的探測。
    使用Airodmup-ng先進行探測,來獲取當前無線網絡概況,包括AP的SSID、MAC地 址、工作頻道、無線客戶端MAC及數量等。

打開SpoonWEP2,在SPOONWEP SETTINGS中進行基本的設置。
    如圖6-44所示,在NET CARD中選擇當前已經載入的無線網卡,這裡就是之前大家看 到的MONO,在DRIVER中設定當前的無線網卡驅動,這裡設置為ATHERO即可,需要注 意的是,在MODE(模式)處一定要設定為KNOWN VICTIM,即已知客戶端攻擊。設定完 畢後單擊NEXT按鈕。

 設定無客戶端攻擊方式。

◇接下來,選擇上方ATTACK PANEL【攻擊面板)選項卡,在界面中間設置攻擊方式及無線客戶端MAC。這裡選擇FRAGMENTATION&FORGE ATTACK,即之前所說的注入攻擊方式。然後在Inj Rate處設定發包速率,可以設置為600以上, 這裡直接設置為1000。

④然後在中間的Victim Mac處設定預攻擊的AP的MAC地址,由於是在無客戶端破 解模式下,所以Client Attack處

copyright © 萬盛學電腦網 all rights reserved