无线安全系列 1.3 熟悉Wi-Fi攻击工作流程

本文由 玄魂工作室 power-li 根据《building a pentesting lab for wireless network》翻译修改而来

------------------------------

在我们看来，如果不了解各种攻击方法及其工作流程，规划和构建安全的WLAN是不太好的。在本小节中，我们将会概述攻击者是如何去攻击WLAN的。

1.3.1 一般的Wi-Fi攻击方法

在学习了关于无线安全问题和Wi-Fi安全机制的知识之后，让我们看看攻击者在现实世界中使用的攻击方法。当然，与所有其他类型的网络攻击一样，无线攻击工作流依赖于特定的情况和目标，但几乎在所有情况下，它们仍然会遵循一定的顺序，如下：

第一步是计划。通常情况下，攻击者需要计划要攻击什么，如何攻击，需要哪些工具来完成任务，攻击特定目标的最佳时间和地点是什么时候，以及哪些配置模板是有用的，以便提前准备。白帽黑客或渗透测试人员需要与他们的客户制定时间表和协调项目计划，选择客户方面的联系人，定义项目可交付成果，并在需要时进行其他组织工作。就像每一个渗透测试项目一样，项目计划得越好(我们可以用“项目”这个词来形容黑客的任务)，成功的机会就越大。

第二步是调查。获得尽可能准确和尽可能多的目标信息是成功黑客攻击的关键，特别是在不常见的网络基础设施中。要攻击WLAN或其无线客户端，攻击者通常至少会收集SSID或MAC地址的接入点、客户端和使用中的安全类型信息。对于攻击者来说，了解是否在目标访问点上启用了WPS也非常有帮助。所有这些数据使攻击者不仅可以设置适当的配置，为他们的工具选择正确的选项，而且还可以为特定的WLAN或Wi-Fi客户机选择适当的攻击类型和条件。所有收集到的信息，特别是非技术信息(例如，公司和部门名称、品牌或员工名称)，也可以在破解阶段变得有用，以构建用于暴力攻击的字典。

根据安全性的类型和攻击者的运气，在调查阶段收集的数据甚至可以使活动攻击阶段变得不必要，并允许攻击者直接进行破解阶段。主动攻击阶段涉及攻击者与目标(WLAN和Wi-Fi客户机)之间的主动交互。在这个阶段，攻击者必须为选择的攻击类型创建必要的条件并执行它。它包括发送各种Wi-Fi管理和控制框架或者安装流氓接入点。如果攻击者希望以目标WLAN中的拒绝服务为目标，那么在此阶段也将执行此类攻击。有些主动攻击是成功入侵无线局域网所必需的，但有些攻击只是为了加快入侵速度，可以省略，以避免对各种可能安装在目标网络中的无线入侵检测防御系统(WIDPS)造成警报。因此，主动攻击阶段可以是可选的。

破解是攻击者破解四次握手、WEP数据、NTLM散列等等的另一个重要阶段，这些都是在前一个阶段截获的。有很多免费和商业的工具和服务，包括云破解服务。在此阶段成功的情况下，攻击者获取目标WLAN的机密信息，并可以继续连接到WLAN，解密截获的通信流，等等。

1.3.2 主动攻击阶段

让我们在下面几节中更深入地了解主动攻击阶段最有趣的部分 WPA-PSK和WPA-Enterprise的攻击。

1.3.2.1 WPA-PSK攻击

由于WPA和WPA2都基于4次握手，因此攻击它们是没有什么区别的，攻击者在此时需要嗅探出4次握手，在接入点和任意无线客户机之间建立连接，并通过枚举强制匹配PSK。截获谁的握手并不重要，因为所有客户端对给定的目标WLAN都使用相同的PSK。

有时，攻击者必须等待很长时间，直到设备连接到WLAN，以拦截4次握手，当然，他们希望尽可能加快这一过程。为此目的，它们迫使已经连接的设备从代表目标接入点发送控制帧的接入点断开连接(反身份验证攻击)。当设备接收到这样的帧时，它会断开与WLAN的连接，并尝试在启用“自动重连接”功能(在大多数设备上默认启用该功能)的情况下重新连接，从而执行另一个可被攻击者截获的4次握手。

攻击WPA-PSK保护网络的另一种可能性是，如果在目标WLAN上启用了WPS，就可以破解WPS PIN。

1.3.2.2 企业无线局域网的攻击

如果开启了WPA-Enterprise安全，攻击就会变得更加复杂，但是通过使用RADIUS服务器模仿一个合法的访问点并收集用户凭证以进行进一步的分析(破解)，准备妥当的攻击者可以在几分钟内执行攻击。

为了解决这种攻击，攻击者需要安装一个与目标WLAN的SSID相同的流氓接入点，并设置与目标WLAN相似的其他参数(如EAP类型)，以增加成功的机会，降低攻击被快速检测到的概率。

大多数用户Wi-Fi设备通过信号强度选择连接到某个WLAN的接入点——它们连接到信号最强的接入点。这就是为什么攻击者需要为流氓接入点使用强大的Wi-Fi接收器来覆盖来自合法接入点的信号，并让设备连接到流氓接入点。

在这种攻击期间使用的RADIUS服务器应该能够记录身份验证数据，例如NTLM哈希。

从用户的角度来看，这种攻击方式看起来就像是由于未知的原因无法连接到WLAN，甚至在用户当时没有使用设备，只是路过一个流氓接入点的情况下也无法被看到。值得一提的是，在这种情况下，传统的物理安全或无线IDPS解决方案并不总是有效的。攻击者或渗透测试人员可以在目标WLAN范围之外安装流氓访问点。它将允许黑客攻击用户设备，而不需要进入物理控制区域(例如，办公楼)，从而使流氓接入点无法到达，无线IDPS系统也看不见。这样的地方可以是公共汽车或火车站，停车场，或咖啡馆，来使目标无线局域网的用户使用他们的Wi-Fi设备。

与WPA-PSK在所有WLAN用户之间只共享一个密钥不同，企业模式为每个用户使用个性化的凭据，这些用户的凭据可能多多少少有些复杂，这取决于某个用户。这就是为什么最好收集尽可能多的用户凭证和散列，从而增加成功破解的机会。

总结

在这一课程中，我们了解了用于传输数据的无线技术，并特别强调了Wi-Fi技术是我们将用来为渗透测试实验室提供网络接入的技术。

在本课程的学习过程中，我们还研究了用于保护无线网络的访问的安全机制、它们的典型线程和常见的错误配置，这些错误配置会导致安全漏洞，以至于允许攻击者损害公司和私有无线网络。

简要的攻击方法概述让我们大致了解了攻击者在无线攻击中通常是如何行动的，以及他们如何通过利用这些机制中的某些缺陷来绕过常见的安全机制。

我们还看到，保护无线网络最安全、最可取的方法是使用WPA2-Enterprise安全性，同时使用一个共同的客户端和服务器身份验证，我们将会在下面的课程中来实现这一点。

下面，我们将建造一个无线实验室，以防止前面列出的安全问题。在下一课程中，我们将帮助你来完成一些目标，首先确定实验室应该为你完成哪些任务，然后我们将指导你完成整个实验室的规划过程。本课程起到抛砖引玉的效果，你也可以根据自己的需求决定需要实现哪些实验室组件和技术。

-------------------------------

本文是 玄魂工作室 知识星球--“玄说安全”内部交流圈的原创（翻译）教程系列《无线网络安全实战》 的第1.2节。