无线网络设备攻击技术.docVIP

无线网络设备攻击技术白皮书 PAGE1

Blog：Email：longaslast@126.com

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，即将推出！感谢一直以来的支持！！

无线网络设备攻击技术白皮书 PAGE1

Blog：Email：longaslast@126.com

欢迎拍砖、交流、合作及其它事宜，

新书《无线网络安全攻防进阶》筹备中，即将推出！感谢一直以来的支持！！

无线网络设备

攻击技术白皮书

目录

1．无线路由器识别

2．MITM中间人攻击

3．会话劫持攻击

4．默认WPA-PSK连接密钥

5．验证绕过攻击

6．UPNP攻击

7．SNMP攻击

8．Config文件泄露攻击

9．无线D.O.S

10．小结

鉴于目前无线安全愈来愈任重而道远的趋势，不光是无线网络协议算法存在着隐患，同样地，无线网络设备也同样面临着各式各样的风险。本文给出常见的无线网络设备攻击技术分析及实例，望有助于国内无线安全技术的发展和吸引更多的高手交流。PS：本文所提及的无线网络设备包括我们常说的无线路由器及无线AP，但对于其它一些无线设备也同样适用。

1．无线路由器识别

对于内部网络而言，查找当前存在的无线路由器标志着无线攻击的开始，作为一些熟练的无线黑客而言，这也是进行伪造AP攻击扰乱内网的前期准备工作。所以，如何有效地识别无线路由器目标，也是无线黑客们正在不断研究的目标之一。这里我就介绍几种简单的判断无线路由器的方法。

■方法1：端口扫描

由于基本上大多数无线接入点/路由器都是支持WEB进行配置，所以其80端口都是开放的，那么通过使用端口扫描器扫描内网所有主机的80端口，查找所有开放80端口的主机，排除掉正常提供WEB服务（如IIS、Apache等）的主机，其余的就是可疑的无线路由器或无线接入点了。当然，这里面也有传统的路由器等有线网络设备，所以，就需要进一步地确认。该方法适用于目前市面上主流的TP-LINK、Dlink及Linksys等多款无线路由器。

一般来说，无线黑客们会先对全网段扫描开放80端口的设备，然后在扫描的结果基础上，对开启80端口的设备进行具体版本识别，此版本识别依赖于Nmap自带的操作系统/网络设备指纹库。

扫描结果如下图1所示，黑框内标出了探测到的端口信息，可以看到，该地址为一台无线路由器所有，该无线路由器型号为DLINKDWL-900AP+，版本号为2.56，为人为非法搭建AP。通过在网关上设定规则可以屏蔽该无线路由器上外网，此时即可配合无线搜寻设备来定位该无线路由器。

图1对于一些设计不严谨的无线接入点，甚至可以直接在浏览器中输入怀疑的地址，在弹出的登陆界面上，也能够查看到对方的版本提示。如下图12在登录框上面显示为TP-LINK

WR541G无线路由器。

图2

需要注意的是，通过端口扫描判断无线路由器或者接入点时，一般不仅仅依赖于对80端口的判断，一些无线网络设备除了80端口之外，也会开启一些很少见的端口，这些也将是我们判断无线设备的依据。这些端口就需要平时的经验及总结，我在下面表1中给出部分实例以供大家参考。

表1

无线路由器品牌 默认开放端口

特殊开放端口（个别）市面主流产品

Belkin（贝尔金）

80

53

F5D7230

Linksys（思科）

80

2869

WRT54G

Dlink

80

52869

DI-524、DI-624

当然，也并不是所有的无线设备默认下都支持从外部网络访问到其配置页面，这点尤其要注意，所以就需要更多的方法来确认，比如方法2：特定ARP报文探测。

■方法2：特定ARP报文探测

在正常情况下，一台没有安装任何嗅探工具的Windows系统主机，只会对特定ARP数据报文作出响应。用过Sniffer的朋友都知道，一旦在系统下安装了嗅探工具并且激活处于工作状态时，其监听的网卡便进入到混杂模式下，就会拦截所有发至该网卡的数据，而不再丢弃目的地址不是本机的数据报文。同时，此模式下的网卡也将对广播位为31bit的ARP报文作出响应。

通过发送特定的ARP数据报文，能够探测出疑似路由设备。使用Cain进行内网ARP扫描，选择广播位为31bit的ARP数据报文扫描，在扫描结果中凡是出现*号的均为疑似路由器，再使用扫描工具进行特定扫描或者直接登录对方80端口即可确认结果。如下图3所示。

图3

进行特定扫描或者直接登录对方80端口以确认结果的方法很简单，比如，在浏览器里输入\h后，就可以看到如下图4所示无线路由器登录验证框，即目标为

DI-604+无线路由器。

图4

■方