WPAPSK无线网络破解原理及过程要点分析.docxVIP

WPA-PSK无线网络破解原理及过程 本文将主要讲讲WPA-PSK类型的无线网络安全问题，首先我们看下802.11协议相关的基础知识。 802.11常见的几种认证方式： 1、不启用安全?? ??2、WEP?? ??3、WPA/WPA2-PSK(预共享密钥)?? ??4、WPA/WPA2 802.1X (radius认证) 具体在路由器的配置界面一般如下图所示： WPA-PSK的认证过程： 由于我这里主要分析wpa-psk类型的认证方式，所以这里就不讨论其他的认证方式了，通过抓包分析，我们可以看到wpa-psk的大致认证过程分为以下几步。 1、无线AP定期发送beacon数据包，使无线终端更新自己的无线网络列表。 ??2、无线终端在每个信道(1-13)广播ProbeRequest(非隐藏类型的WiFi含ESSID，隐藏类型的WiFi不含ESSID)。?? ??3、每个信道的AP回应，ProbeResponse，包含ESSID，及RSN信息。?? ??4、无线终端给目标AP发送AUTH包。AUTH认证类型有两种，0为开放式、1为共享式(WPA/WPA2必须是开放式)。?? ??5、AP回应网卡AUTH包。?? ??6、无线终端给AP发送关联请求包associationrequest数据包。?? ??7、AP给无线终端发送关联响应包associationresponse数据包。?? ??8、EAPOL四次握手进行认证(握手包是破解的关键)。?? ??9、完成认证可以上网。 802.11数据帧类型说明 802.11协议的帧类型主要包括管理帧和数据帧，我们这里主要用到管理帧： 管理帧的主体包含的固定字段与信息元素是用来运送信息的。管理帧主要以下几种，负责链路层的各种维护功能。 1. Beacon 信标帧 主要用来声明某个网络的存在。定期(默认100s、可自己设置)传送的信标可让station得知网络的存在，从而调整加入该网络所必需的参数。 2. Probe Request 探查请求帧 移动工作站利用Probe Request探查请求帧来扫描区域内目前哪些802.11网络。 包含2个字段 SSID：可被设定为特定网络的 SSID 或任何网络的 SSID 。 Support rates：移动工作站所支持的速率。 3.ProbeResponse探查响应帧 如果ProbeRequest所探查的网络与之兼容，该网络就会以ProbeResponse帧响应。送出最后一个beacon帧的工作站必须负责响应所收到的探查信息。 Probe Request帧中包含了beacon帧的所参数，station可根据它调整加入网络所需要的参数。 4.IBSS announcement traffic indication map (ATIM) IBSS 的通知传输只是消息 5.Disassociation and Deauthentication 取消关联、解除验证帧 6. AssociationRequest 关联请求帧 7.Reassociation Request 重新关联 8.Association Response and Reassociation Response 关联响应、重新关联响应 9.Authentication 身份验证帧 ///Authentication Algorithm Number：用于算法择 10.Action frame 帧传送、关联与身份验证的状态 State1 ：未经认证且尚未关联 2 ：已经认证但尚未关联 3 ：已经认证且已经关联。 下图是用科来分析数据包显示的帧类型： ? WPA-PSK认证四次握手认证的过程： WPA-PSK破解原理： 用我们字典中的PSK+ssid先生成PMK(此步最耗时，是目前破解的瓶颈所在)，然后结合握手包中的客户端MAC，AP的BSSID，A-NONCE，S-NONCE计算PTK，再加上原始的报文数据算出MIC并与AP发送的MIC比较，如果一致，那么该PSK就是密钥。如图所示： WPA-PSK破解过程： 接下来我们看看如何进行抓握手包破解WPA-PSK的无线AP，我这里用的工具是kali Linux，kali Linux集成了aircrack套件。然后网卡使用的是rtl8187芯片的外置USB网卡。 破解步骤如下： 第一步：把usb网卡插入虚拟机，并开启网卡到监听模式，命令如下： “ifconfig wlan0 up” 加载usb网卡。?? ??“airmon-ng start wlan0” 监听模式已激活到mon0。(通过config 命令查看)。 如果不开启监听模式会报错如下图： 第二步：抓包查看有哪些无线网络，抓包的界面如下图所示： “airodump-ng mon0” 查看周边路由AP的