无线渗透技术概念

该章节看aqniu 苑房弘老师视频笔记整理

1、无线技术的特色

所谓无线网络，就是利用无线电波做为信息传输的媒介构成的无线局域网（WLAN），与有线网络的用途十分相似，最大的不一样在于传输媒介的不一样，利用无线电技术取代网线，能够和有线网络互为备份。

频率是指所生成电磁波的振动速度，而振幅则是指电磁波的强度。这两个指标都受相关法规的限制——例如，在美国，联邦通讯委员会负责规定谁可使用电磁频谱中哪一些频段(也称为频带)，同时规定它们的用途与使用环境。

• 无需布线相对自由
• 互联网的重要入口
• 边界模糊
• 配置不当，安全实施比较困难
• 企业网络私自接入AP破坏网络边界

2、802.11标准

 802.11基于无线电波发射信息

介绍无线局域网，就得从他的协议标准开始介绍：

IEEE（institute of electrical and electronics engineers）：国际电子电器工程协会。

由通讯航天生物电气电子等方面的科学家组成，目的是指定标准，指导行业技术的发展。

IEEE 分为不一样的技术委员会，固然不止于计算机网络，还有航天电子生物等科学领域标准。标准一旦制定，全部的设备生产商都要依据这个标准来生产它的设备。只有这样你intel网卡 才能链接bradcom..才能完成数据的传输。

其中802委员会负责lan、man（局域网、城域网）标准的指定：

802委员会其中的一部分范围图例：

• 以太网  802.3
• 令牌环网  802..5
• 无线局域网 802.11
• 网桥　802.1
• 宽带局域网 802.7
• 光纤 802.8
• 我的局域网络（蓝牙等） 802.15

 

　　802委员会第11组负责开发无线局域网标准

　　IEEE 802.11F Inter-Access Point Protocol

 咱们今天所学的802.11只涉及七层模型中的最下面两层：

 无线：

• 应用层
• 表示层
• 会话层
• 传输层
• 网络层
• 数据链路层
  • 逻辑链路控制子层LLC
  • 媒体访问控制子层MAC
• 物理层

须要注意的是，其实已经有30多个版本协议迭代但咱们平常使用就这几个：

平常使用：

 严格上来讲wifi只是说的802.11b的

(1)802.11

从头看第一个802.11，发布1997年，速率一、2Mbps;红外线传输介质（未实现）

因此主流的是无线射频信号编码（调制）（radio frequencies）----无线电波：

• Direct-Sequence Spread-Spectrum(DSSS)---直序扩频
  
• Frequency Hopping Spread-Sectrum(FHSS)---跳频扩频

频宽资源有限；因此出现扩频技术，使得速率达到更高M。无线频宽的使用是有限制的，民用只能限制在2.4~2.485 GHZ

 Resquest to send \Clear to send(RTS\CTS)

 (2)802.11b

在802.11上改进增长了CCK（补充代码键），使无线的传输速率进一步提升-5.5 and 11Mbit/s

开始明确下来，咱们要使用2.4GHz的带宽（2.4~2.485GHz）,而后这个频宽呢又进一步细化分为十一、1三、14（最多）个信道,

然鹅每一个信道要占用22MHz的带宽，因此：

 85HZ / 14 < 22

 必然会有重叠，信道有交集，信号可能会干扰，（实际没有交叉的信道只有3个）

若是两个AP同时使用又距离比较近（20M之内），信号就会有干扰丢包。因此在设计的时候相邻两个AP信道尽可能不要有交集

不一样国家对信道划分不一样：

 

 下表给出信道表，实际是中间值：

 

 模拟理解图：左右偏移11

 

 (3)802.11a

与802.11b几乎同时发布，（但因设备价格问题一直没有获得普遍使用）

特点： 使用5GHz带宽

• 2.4Ghz带宽干扰源多（微波、蓝牙、无绳电话）
• 5GHz频率有更多的带宽空间，可容纳更多不重叠的信道
• 出现新的信号调制方法（OFDM）:正交频分复用技术 Orthogonal Frequency-Division Multiplexing
• 更高的速率54Mbps,每一个信道20Mhz带宽
• 变频   5.15-5.35GHz室内    5.7-5.8GHz室外

  (4)802.11g

是在802.11b基础上的扩充 应用802.11a的OFDM，能够看作兼容款

 特点：

• 仍是2.4GHz
• 与802.11a速率相同
• 可全局降速向后兼容802.11b,并切换为CCK信号调制方法
• 每一个信道20/22MHz

   (5)802.11n

特点：

• 2.4或5GHZ频率
  • up to 600Mbps
    
  • 多进多出通讯技术（MIMO）Mutiple-Input Multiple-Output.....多个天线~
  • 多天线，多无线电波，独立收发信号
  • 可以使用40MHz信道带宽使传输速率翻倍　　
• 全802.11n设备网络中，可使用新报文格式，使速率达到最大
• 每一个信道20/40MHz带宽

---

 

 3、无线网络的运行模式

3.0 啥是SSID?

服务集标识符 Service Set Identifier,通俗点儿：“无线名”

• AP每秒鈡约10次经过Beacon帧广播SSID
• 客户端链接到无线网络后也会宣告SSI："我已经连上了xx ssid...我已经..."

Beacon：一种类型的无线数据帧，不断的去广播的（用来广播SSID），向外发的数据包...

 隐藏ssid自己就是设置AP不发射beacon帧，但不影响数据传输的正常使用，目的就是不让其余人知道有这个无线信号

 <length:8>就是隐藏的无线名

3.1 Infrastructure

Access Point 访问点

AP维护SSID

• 至少包含一个AP和一个STATION,造成一个Basic Service Set(BSS)--基础服务集
• AP 链接到有线网络，称为Distribution System (DS) --分布式系统
• 链接到同一个DS的多个AP造成一个Extended Service Set (ESS)--扩展服务集

图示：联想到无线的BSSID

3.2 AD-HOC

STA维护SSID

• 也被称为IBSS (Independent Basic Service Set)--独立的基本服务集
• 有至少2个STAs直接通讯组成；也称为peer to peer模式
• 其中一个STA负责担当一下AP的工做:
  • 经过beacon广播SSID
  • 对其余STA进行身份验证

WDS

例如无线中继器

无线的分布式网络，与有线的DS相似，只是经过无线链接的多个AP组成的网络

• Bridging-----只有AP间彼此通讯
• Repeating-----容许全部AP和STA进行通讯

 

 3.- Monitor mode

monitor不是一种真正的无线模式，可是对无线渗透相当重要。

• 容许无线网卡没有任何筛选的抓包（802.11包头）
• “相似有线的混杂模式”
• 有的网卡和驱动不只能够monitor,还能够injection

注：抓包不开这个模式，你抓不到802.11无线的包头！

# 默认是managed

 

 4、无线设备

• 物理机运行Kali
• 虚拟机运行kali
  • 外置USB无线网卡
    
    • TL-WN722N
    • RT3070、Realtek8187芯片、
    • 可扩展天线

能够用 dmesg - T 命令看下设备插拔信息的变化；

# 选择无线网卡的时候关键是要看它的芯片：高发送功率，低灵敏度，例如Atheros\Realtek

支持信息查看：http://aircrack-ng.org/

使用 iwconfig 可看无线设备信息；

 

 

 

5、无线技术概念：

• 分贝dB     测量无线信号强度  （不管在无线仍是声学领域单位）
• B： 向Alexander Graham Bell 致敬
• dB:表示2个信号之间的差别比率，用于描述设备的信号强度，是一个相对值。如：两点的功率差能够是10dB,但这10dB具体表示多少mW是不必定的。
• dBm:功率值与1mW进行比较的dB值结果。

有dBm的话能够转换为毫瓦，由于有相应的比值能够反向计算出来

 假如你看到一个无线网卡的参数标注功率是100mW的话，就能够算出对应的多少dBm

 

• dBi:全向天线辐射强度 （全向天线的信号功率增益）
  • 增益是指信号功率强度增长了多少dB
  • 例如300mw的无线路由器添加个9dBi的天线后功率如何变化（假设2dBi的电缆和接口耗损）

• dBd：定向天线辐射强度（dBs是定向天线的增益值）
  • 全向天线在全部方向收发信号，定向天线在指定反向收发
  • 通常来讲天线增益越大信号传输越远；功率相同的状况下，比全向天线传输距离更远（方向正确的状况下）

疑问：既然mW能够表示功率为啥还要引入dB这个单位？

由于接受信号时无线信号转变为高频电子脉冲，反之发射信号时高频电子脉冲转换为无线电波，该过程每每产生上万倍的变化，使用W、mW计数很是不方便，而dBm单位经过对功率的对数的计算，使得一个较小的数值就能够直观表达功率变化，所以无线和声学系统都采用dB这个单位。

 

全向天线波形图：甜甜圈

天线选择的误区

？增益越高越好？no!不要一味的增长天线...

• 高功耗
• 对周围环境的信号干扰

增益太高的全向天线会变成定向天线

 

 

 常见的定向天线有：

八木天线平面天线扇形天线（经常使用于移动网）网状天线

 

6、linux 无线协议栈及配置命令

 

 两个层面一个kernel 一个用户层面

 

ifconfig：只能查到无线网卡相关的Ethernet  ，也就是以太网相关的一些参数的配置和使用状况：发包收包、丢包等信息

iwconfig：eth0由于不是，因此显示no无线扩展，有支持的协议、链接的ESSID、mode、访问点

iwlist wlan1 frequency：查信道

root@kali:~# iwlist wlan0 frequency wlan0 14 channels in total; available frequencies : Channel 01 : 2.412 GHz Channel 02 : 2.417 GHz Channel 03 : 2.422 GHz Channel 04 : 2.427 GHz Channel 05 : 2.432 GHz Channel 06 : 2.437 GHz Channel 07 : 2.442 GHz Channel 08 : 2.447 GHz Channel 09 : 2.452 GHz Channel 10 : 2.457 GHz Channel 11 : 2.462 GHz Channel 12 : 2.467 GHz Channel 13 : 2.472 GHz Channel 14 : 2.484 GHz root@kali:~#

View Code

iw list  ：

root@kali:~# iw list Wiphy phy0 max # scan SSIDs: 4 max scan IEs length: 2257 bytes max # sched scan SSIDs: 0 max # match sets: 0 max # scan plans: 1 max scan plan interval: -1 max scan plan iterations: 0 Retry short long limit: 2 Coverage class: 0 (up to 0m) Device supports RSN-IBSS. Supported Ciphers: * WEP40 (00-0f-ac:1) * WEP104 (00-0f-ac:5) * TKIP (00-0f-ac:2) * CCMP-128 (00-0f-ac:4) * CCMP-256 (00-0f-ac:10) * GCMP-128 (00-0f-ac:8) * GCMP-256 (00-0f-ac:9) Available Antennas: TX 0 RX 0 Supported interface modes: * IBSS * managed * AP * AP/VLAN * monitor * mesh point Band 1: Capabilities: 0x17e HT20/HT40 SM Power Save disabled RX Greenfield RX HT20 SGI RX HT40 SGI RX STBC 1-stream Max AMSDU length: 3839 bytes No DSSS/CCK HT40 Maximum RX AMPDU length 32767 bytes (exponent: 0x002) Minimum RX AMPDU time spacing: 2 usec (0x04) HT TX/RX MCS rate indexes supported: 0-7, 32 Bitrates (non-HT): * 1.0 Mbps * 2.0 Mbps (short preamble supported) * 5.5 Mbps (short preamble supported) * 11.0 Mbps (short preamble supported) * 6.0 Mbps * 9.0 Mbps * 12.0 Mbps * 18.0 Mbps * 24.0 Mbps * 36.0 Mbps * 48.0 Mbps * 54.0 Mbps Frequencies: * 2412 MHz [1] (20.0 dBm) * 2417 MHz [2] (20.0 dBm) * 2422 MHz [3] (20.0 dBm) * 2427 MHz [4] (20.0 dBm) * 2432 MHz [5] (20.0 dBm) * 2437 MHz [6] (20.0 dBm) * 2442 MHz [7] (20.0 dBm) * 2447 MHz [8] (20.0 dBm) * 2452 MHz [9] (20.0 dBm) * 2457 MHz [10] (20.0 dBm) * 2462 MHz [11] (20.0 dBm) * 2467 MHz [12] (20.0 dBm) (no IR) * 2472 MHz [13] (20.0 dBm) (no IR) * 2484 MHz [14] (20.0 dBm) (no IR) Supported commands: * new_interface * set_interface * new_key * start_ap * new_station * new_mpath * set_mesh_config * set_bss * authenticate * associate * deauthenticate * disassociate * join_ibss * join_mesh * set_tx_bitrate_mask * frame * frame_wait_cancel * set_wiphy_netns * set_channel * set_wds_peer * probe_client * set_noack_map * register_beacons * start_p2p_device * set_mcast_rate * connect * disconnect * set_qos_map * Unknown command (121) Supported TX frame types: * IBSS: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * managed: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * AP: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * AP/VLAN: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * mesh point: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * P2P-client: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * P2P-GO: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0
         * P2P-device: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 Supported RX frame types: * IBSS: 0x40 0xb0 0xc0 0xd0
         * managed: 0x40 0xd0
         * AP: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
         * AP/VLAN: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
         * mesh point: 0xb0 0xc0 0xd0
         * P2P-client: 0x40 0xd0
         * P2P-GO: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0
         * P2P-device: 0x40 0xd0 software interface modes (can always be added): * AP/VLAN * monitor valid interface combinations: * #{ AP, mesh point } <= 8, total <= 8, #channels <= 1 HT Capability overrides: * MCS: ff ff ff ff ff ff ff ff ff ff * maximum A-MSDU length * supported channel width * short GI for 40 MHz * max A-MPDU length exponent * min MPDU start spacing Device supports TX status socket option. Device supports HT-IBSS. Device supports SAE with AUTHENTICATE command Device supports low priority scan. Device supports scan flush. Device supports AP scan. Device supports per-vif TX power setting Driver supports full state transitions for AP/GO clients Driver supports a userspace MPM Device supports configuring vdev MAC-addr on create.

View Code

        support ciphers支持的加密   avaliable abtenas：可用的天线

　　support interface modes:支持的模式.......

无线网卡基本命令

iw dev wlan1 scan

root@kali:~# iw dev wlan0 scan BSS 78:2c:29:8a:a5:be(on wlan0) TSF: 4843250819525 usec (56d, 01:20:50) freq: 2412 beacon interval: 100 TUs capability: ESS Privacy ShortPreamble ShortSlotTime (0x0431) signal: -63.00 dBm last seen: 4016 ms ago Information elements from Probe Response frame: SSID: yangyangyang Supported rates: 1.0* 2.0* 5.5* 11.0* 6.0 9.0 12.0 18.0 DS Parameter set: channel 1 Country: CN Environment: Indoor/Outdoor Channels [1 - 13] @ 30 dBm ERP: <no flags> Extended supported rates: 24.0 36.0 48.0 54.0 HT capabilities: Capabilities: 0x1ac HT20 SM Power Save disabled RX HT20 SGI TX STBC RX STBC 1-stream Max AMSDU length: 3839 bytes No DSSS/CCK HT40 Maximum RX AMPDU length 65535 bytes (exponent: 0x003) Minimum RX AMPDU time spacing: 8 usec (0x06) HT TX/RX MCS rate indexes supported: 0-23 HT operation: * primary channel: 1
         * secondary channel offset: no secondary * STA channel width: 20 MHz * RIFS: 1
         * HT protection: no * non-GF present: 1
         * OBSS non-GF present: 0
         * dual beacon: 0
         * dual CTS protection: 0
         * STBC beacon: 0
         * L-SIG TXOP Prot: 0
         * PCO active: 0
         * PCO phase: 0 Overlapping BSS scan params: * passive dwell: 20 TUs * active dwell: 10 TUs * channel width trigger scan interval: 300 s * scan passive total per channel: 200 TUs * scan active total per channel: 20 TUs * BSS width channel transition delay factor: 5
         * OBSS Scan Activity Threshold: 0.25 % Extended capabilities: HT Information Exchange Supported, 6 WMM: * Parameter version 1
         * u-APSD * BE: CW 15-1023, AIFSN 3
         * BK: CW 15-1023, AIFSN 7
         * VI: CW 7-15, AIFSN 2, TXOP 3008 usec * VO: CW 3-7, AIFSN 2, TXOP 1504 usec WPA: * Version: 1
         * Group cipher: CCMP * Pairwise ciphers: CCMP * Authentication suites: PSK RSN: * Version: 1
         * Group cipher: CCMP * Pairwise ciphers: CCMP * Authentication suites: PSK * Capabilities: 1-PTKSA-RC 1-GTKSA-RC (0x0000) root@kali:~#

View Code

#咱们发现信号实际上是个负值：这是由于信号的接收强度！0~-50间的信号最好、-50~ -75 信号通常、-70以上弱

一般咱们不须要这么多参数信息，只想知道SSID名，能够按实际状况筛选：

root@kali# iw dev wlan1 scan |grep SSID root@kali# iw dev waln0 scan |egrep "DS|SSID" root@kali# iw dev waln0 scan |egrep "ESSID|Channel"

root@kali:~# iw dev wlan0 scan |grep SSID SSID: yangyangyang SSID: Wan\xe2\x80\x99s iPhone root@kali:~#

View Code

 添加删除侦探端口：

#首先关闭network-manage service networker-manager stop iw dev wlan0 interface add wlan0mon type monitor #设为监听模式
iw dev wlan0mon set channel 11 #调整指定信道
iwlist wlan0mon channel #查看工做在的信道 iw dev wlan0mon interface del #删除监听模式 #抓包 tcpdump -s 0 -i wlan0mon -p

# 出错时debug:看看 service network-manager stop 

 

802.11包头

DU(data unit)即数据单元，信息传输的最小数据集合。

传递过程逐层封装（Encapsulation）

SDU(Service Data Unit)/ PDU(Protocol Data Unit)

MSDU-->MIC-->分帧-->添加 Iv（起始向量）-->加密-->添加MAC头部-->MPDU

MPDU/PSDU+物理头=PPDU-->rf发射

Beacon frames

• AP发送的广播帧，通告无线网络的存在（BSSID）
• 发包频率 大概1秒发10次：
  • 102.4ms(可变)；时间单位1024microsecond(60秒)
• SSID网络名
  • 隐藏AP不发SSID广播

Probe Request Frames

用于STA扫描现有AP

• 发现链接过的AP
• 发现未链接过得AP

Authentication Frames

Authentication algorithm身份认证类型

• 0：开放系统身份验证
• 1：共享密钥身份验证

身份认证有多个帧交换过程组成

Authentication Seq

• 每次身份验证过程Seq惟一
• 1-65535

Challenge text

• 只有共享密钥方式才有此字段

Status Code:成功/失败