【】在昨天早上传来了爆炸性嘚消息:WiFi的主要加密方式:WPA2被破解。这个含义是即使您更换,也无法保护信息的安全本文就来讲述一下WiFi的不靠谱历史以及这次漏洞的危害。
你到密码不能再保障安全你怕了吗?
WiFi最开始普及的时候基本是伴随着英特尔迅驰架构, 应用在笔记本电脑上自此笔记本电脑算是摆脱了到处要插的网络接口,真正的移动了起来今天的轻薄型笔记本电脑,无论是苹果的Mac还是Windows的都彻底取消了RJ45的接口,要用还得使用转接器
迅驰带来了笔记本的移动性,你用过迅驰的笔记本吗
现在的轻薄笔记本已经彻底放弃了网络接口,彻底的无线化
当年的WEP破解工具不难找
弃用WEP的原因在于当年的美国政府限制了wep密钥是什么长度标准的64位WEP包括了40位的钥匙和24比特的初向量。按道理说这个wep密钥是什么应该用一次就不用了,但是当数据通过WEP加密频繁传输的时候无法避免重复使用wep密钥是什么,这样只要第三方的黑客抓到足够多的包那么WEP的wep密钥是什么就会被抓到实现破解。在WEP容易破解的年月工具很多,所以当时很多人蹭网都是破解了邻居的WEP密码
WEP的弱点很快导致叻被弃用,这一标准从2003年开始使用直到2004年才成为强制性的802.11i标准。但是那时候的笔记本电脑、路由器还都默认使用WEP加密WPA变成一种可选项,并且导致了设备的兼容问题:新笔记本可能连不上旧路由器路由器要换代更新。
网络设置界面PSK方式让wep密钥是什么验证更快捷
我们在配置路由器的时候,都会预先输入一个秘密在路由器里面然后我们手机、笔记本再输入这个密码。这种预输入密码配对方式被称之为PSK即Personal Shared Key,这在我们选择加密方式的时候可以见到可以是8-63位的ASCII符号。这种办法是便宜并且有保护机制防止被破解,当然密码要足够强因为這种方式可能被采用”密码字典“的方式破解。
AES算法加密的四个步骤之一数学上很复杂,用来保障加密的安全性
昨天公布这个破解其实並不是说有办法能够破解WPA2的密码Krackattack公布了WPA2的漏洞细节。这个漏洞在于WPA2的多次握手重传这种攻击方式被命名为wep密钥是什么重装攻击(Key Reinstallation Attacks)。漏洞成因在于802.11标准中没有定义在4次握手(和其他握手)中何时应该安装协商wep密钥是什么攻击者可通过诱使多次安装相同的wep密钥是什么,從而重置由加密协议使用的随机数和重放计数器
今早公布漏洞的网站截图
在WPA的协议中存在一条危险的注释“一旦安装后,就可从内存中清除加密wep密钥是什么”若按此注释进行实现,在wep密钥是什么重装攻击时会从设备内存中取回已经被0覆盖的key值从而导致客户端安装了值铨为零的秘钥。而使用了wpa_supplicant的Linux及Android设备便因此遭受严重威胁就是这种攻击也不知道你的密码是什么,但是它可以将你的客户端的wep密钥是什么變成一串0.此次收到威胁最大的是安卓因为安卓遵守了802.11协议,而Windows和iOS等不接受消息3重传的要求没有遵守协议,但是也可能被攻击因为这個漏洞攻击的是WiFi的协议层。
视频演示破解捕获了安卓用户输入的信息
网上演示的破解过程显示了如何获取安卓用户输入的用户名、密码信息因此,信用卡信息也容易获得值得庆幸的是,目前没有易得的工具还有机会为用户设备提供及时的升级来防止攻击,但是没有升級、打补丁的设备容易被这个漏洞所攻击
时刻牢记:不想成网红,安全比几个流量钱重要!不要总是找!
没补丁怎么办企业可以通过啟用SSL等办法,而普通大众来说不用公共WiFi、多用流量,等待升级补丁是唯一的办法,尤其是安卓用户如果你认为手机里的内容足够重偠、起码比流量费用要重要,那就多用流量吧由于没有成型工具且企业会很快提供补丁,所以这次的漏洞威胁应该比之前WEP的情况好很哆,这是我们可以宽慰的地方并且普通人也不是黑客下手的目标,你没那么有钱、那么重要
WEP的破解为利用加密体制缺陷通過收集足够的数据包,使用分析密算法还原出密码
WPA目前没有加密体制的缺陷可被利用,破解WPA密码使用的是常规的字典攻击法
所以在破解方式上WEP和WPA有很大差异。
叫做有线等效加密掌握WEP破解的人,肯能会说WEP不如有线的安全性高但这
发生在WEP的很多弱点被发现之后。也是由於WEP的弱点导致WPA的出现
WEP算法是一种可选的链路层安全机制,用来提供访问控制数据加密和安全性检验
等。802.11 定义了WEP 算法对数据进行加密
2.3 加密过程如图所示。
CIPHERTEXT 为密文它采用与加密相同的办法产生解密wep密钥是什么序列,再将密文与之
XOR 得到明文将明文按照CRC32 算法计算得到完整性校验值CRC-32′,如果加密密
钥与解密wep密钥是什么相同且CRC-32′= CRC-32,则接收端就得到了原始明文数据否则解密失
2.5 WEP算法通过以上的操作试图达到以丅的目的
采用WEP加密算法保证通信的安全性,以对抗窃听
采用CRC32算法作为完整性检验,以对抗对数据的篡改
2.7 WEP的破解理论是在01 年8月就变得可荇了
利用WEP 帧的数据负载中部分已知信息来计算出该WEP 帧所使用的WEP wep密钥是什么。由于
WEP 加密算法实际上是利用RC4 流密码算法作为伪随机数产生器將由初始矢量IV 和
WEP wep密钥是什么组合而成的种子生成WEP wep密钥是什么流,再由该wep密钥是什么流与WEP 帧数据负载进行异或
运算来完成加密运算而RC4 流密碼算法是将输入种子wep密钥是什么进行某种置换和组合运算来生
成WEP wep密钥是什么流的。由于WEP 帧中数据负载的第一个字节是逻辑链路控制的802.2 头信
息这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测利用猜的第一个明文字
节和WEP 帧数据负载密文就可以通过异或运算得到PRNG 生成的wep密钥是什么流中的第一字节。
另外种子wep密钥是什么中的24比特初始矢量是以明文形式传送的,攻击者可以将其截获存到初
流输出,并结匼RC4 wep密钥是什么方案的特点攻击者通过计算就可以确定WEPwep密钥是什么。
CRC-32 算法作为数据完整性检验算法由于其本身的特点非但未使WEP 安全性
嘚到加强,反而进一步恶化首先CRC 检验和是有效数据的线性函数,这里所说的线性主
要针对异或操作而言的即C(x?y)=C(x)?C(y)。利用这个性质恶意的攻击者可篡改原文
P 的内容。特别地如果攻击者知道要传送的数据,会更加有恃无恐其次,CRC-32检验
和不是加密函数只负责检查原文是否唍整,并不对其进行加密若攻击者知道P,就可算
2.9 WEP密码如何被破解出来的
2.9.1 监听模式被动破解(这个就是有客户端并有大量有效通信)
根据已知嘚的信息我们知道要还原出WEP的密码关键是要收集足够的有效数据
帧,从这个数据帧里我们可以提取IV 值和密文与对于这个密文对应的明攵的第一个
字节是确定的他是逻辑链路控制的802.2 头信息。通过这一个字节的明文还有密文我
们做XOR运算能得到一个字节的WEPwep密钥是什么流,由於rc4 流密码产生算法只是把原来的
密码给打乱的次序所以我们获得的这一次字节的密码就是就IV+PASSWORD 的一部
分。但是由于RC4 的打乱不知道这一个芓节具体的位置很排列次序。当我们收集到足
够多的IV 值还有碎片密码时就可以进行统计分析运算了。用上面的密码碎片重新排
序配合IV使鼡RC4算法得出的值和多个流密码位置进行比较最后得到这些密码碎片
正确的排列次序。这样WEP的密码就被分析出来了下图就是WEP破解过程。囿助于
你理解破解WEP通过分析子密码还原密码的过程
2.9.2 主动攻击(有客户端。少量通信或者没有通讯)
端发给AP的arp请求包攻击者就会向AP重放这个包。由于802.11b 允许IV重复使
用所以AP接到这样的arp请求后就会回复客户端。这样攻击者就能搜集到更多的IV
了当捕捉到足够多的IV就可以按上面的2.9.1里嘚进行破解了。如果没有办法获取arp
请求包我们就可以用-0 攻击使得合法客户端和AP断线后重新连接-0 Deautenticate攻
击实际就是无线欺骗。这样我们就有机會获得arp请求包了
2.9.3 主动攻击(没有客户端的模式)
收集两个IV 相同的的WEP 包,把这两个包里的密文做XOR 运算得到一个XOR 文
件。用这个XOR文件配合伪造arp包嘚工具利用CRC-32的特点伪造一个arp包和原
来的IV一起发给AP。这样就可以按上面2.9.2 里的进行破解了其中-2 Interactive,
导致攻击者在有客户端并有大量有效通信時可以分析出WEP的密码。
导致在攻击者在有客户端少量通信或者没有通讯时,可以使用arp 重放的方法获得大
C.无身份验证机制使用线性函数CRC32进行完整性校验。
进而获得XOR 文件使用线性函数CRC32 进行完整性校验,导致攻击者能用XOR 文
件伪造一个arp包然后依靠这个包去捕获大量有效數据。
由于 WEP 全局都是用IV+WEP 密码来保护明文的当有了密码后攻击者可以使用同
样的算法能随时任意窃听任意STATION 至AP 之间的通讯。这样的窃听对于網银这样的双
向认证的安全不会有影响但是在ip 包里的明文用户名和密码就很容易被窃听到了。例如
登录AP 的用户名和密码由于无线网络竊听的存在,在使用交换机的有线网络中用关闭
dhcp 设置陌生网段的来禁止非法访问的方式不在适合于无线网络。攻击者完全能根据窃
听到嘚合法客户端数据包配合已知密码来分析出ip的真实配置
WEP真的不是一种强壮的加密方式对于那种不怀好意的攻击者。无法胜任在安全有求
仳较高的场所对于安全较低的厂所只能说有胜于无。
3.1 WPA加密算法的的两个版本介绍
TKIP和AES是数据传输加密算法(类似于WEP加密的RC4 算法)
MIC和CCMP数据完整性编码校验算法(类似于WEP中CRC32算法)
802.1x + EAP (工业级的安全要求高的地方用。需要认证服务器)
Pre-shared Key (家庭用的用在安全要求低的地方。不需要垺务器)
EAP 扩展认真协议是一种架构。而不是定义了算法常见的有LEAP,MD5TTLS,
安全方式差不多这个认证方式是不怕网络劫持和字典攻击的。而md5 是单向认证的不
抗网络劫持,中间人攻击关于企业级的如何破解就不讨论了。因为论坛上也很少提到本
身EAP模式是个协议,不是算法
论坛上破解WPA 也主要是集中在这个模式上的。我们都知道破解WPA-PSK 不是和
WEP一样抓很多包就能破解的关键是要获取握手包,这个握手包叫4way-handshake ㈣次
握手包那么我们就从这个四次握手包开始。
针对于WEP的安全漏洞WPA 也相应更新了安全规则:
解说:动态key管理机制
如果侦测到MIC错误将会執行如下程序。
记录并登录MIC错误60 秒內发生两次MIC错误。
反制措施会立即停止所有的TKIP通讯
然后更新数据加密的用的TEK。
a. 加密通信流程图、Per-Packet Key 加密机制、动态key 管理机制使得使用类似
于WEP中分析子密码攻击的方案在WPA 中将变得异常困难,和不可实现
c. 增强至48bit 的IV、防止IV 重复、MIC 信息编码完整性机制。使得要伪造一
Key加密机制配合RC4这样弥补了RC4 加密算法的不足。抵抗基于RC4 漏
洞的攻击WPA2 中的AES比TKIP有更高的安全性,对他的破解难度就哽高
b. 使用非线性的MIC信息编码完整性算法取代线性的CRC-32。增加了攻击者
有以上结论我们不难得出一个事实类似于WEP中的无客户端破解密码的莋
法在WPA 中是不存在的。
3.6.1 抓取数据传输包进行破解
上面已经明确的指出无论数据传输算法是TKIP还是AES使用类似于WEP中捕
获数据包进行分析破解的方式对于WPA几乎是不可能的。
可以说 WPA-PSK 安全体系是十分完善的但他始终是用一个密码保护的。对于
这种用密码保护的安全体系一般情况下峩们都可以用一种叫字典攻击的常规攻击手
段。所以针对WPA-PSK 可以进行的直接攻击目前就只有字典攻击这一种方式。而这
种常规的攻击方式將在字典攻击里详细讨论当然我们WPA-PSK 的设计者也很明确这
点,所以在WPA-PSK 的安全体系中加入了潜规则加以对抗这点将在攻击预算里做详
细的討论。在WPA-PSK 的四次握手包中包含着和密码有联系的信息依靠这个信息进
我们获取握手包。在获得握手包时-0 攻击不要太多否则适得其反的。有些AP几次握
手不成就会认为有攻击禁止客户端和AP的链接30秒。(可能基于WPA EAP TLS 这
样双向认证的就不怕断线攻击了)
例子:别人输密码你在哪裏偷看使用美人计骗取密码。有技术含量点的原来
WEP时他的计算机有漏洞你给他下了木马。改成WPA 后木马把密码发给你的或你整
天窃听怹的WEP通信,他改密WPA 模式时发给路由的密码让你截获了比较狠一点的,
AP是你卖给他的AP的系统里添加了你的后门
WEP 由原来的安全到今天的不咹全。你是否同样也会担心是不是很多年之后的WPA
也会是同样的命运但我们也要看到WEP 的破解不是某个算法的漏洞导致的。而是整个
WEP的安全體系有很多漏洞所共同导致的而WPA的安全体系很强壮。使用的大多是混合
算法所以某一个算法的弱点往往不能给WPA 这样的安全体系以致命嘚打击。WPA 这种依
靠算法的安全体系也许某一天会被破解但是可能WPA 被完全破解的那一天比WPA 废弃
的那一天都晚。如果这样的话那么的确该說WPA 是一种很强壮的安全体系。
WP-PSK 没有密码几乎没法窃听他的通信在有了密码的情况下WPA 的窃听也不具
有WEP 中窃听的随意性。在WPA 中SNonceANonce 也很好的起箌了加密数据防止窃听
的作用,所以作为攻击者我们必须从握手开始窃听而且会同步更替数据加密wep密钥是什么。所以
WPA-PSK 的安全性都依赖于密码
无论是WPA还是WPA2 在目前都是有很好的安全性的。企业级EAP的安全模式更为
设备只需要更换代码就能升级到这个模式了所以这个模式使用較低的成本就可以实现很高
的安全性,还有便捷性成本当然也是一个东西是否能普及重要因素。而WPA2 AES+CCMP
的更高的安全性对硬件的要求也是要高一点的
4.1 寻找可以攻击的信息元素
字典攻击作为一种常用的攻击手段要明白的是从那里开始攻击。要寻找和密码有有联系
的信息元素茬WPA 中和密码有联系的信息有数据的传送包和四次握手包。由于无法知道
明文和WPA的数据加密算法的复杂性。在数据传输包上要找到可以攻擊的信息元素基本
上很难实现所以只能在握手包里寻找有密码有联系的信息。在上面的四次握手包的图片中
很清楚的表明在四川握手Φ主要传递的有如下数据:SSID,AP_MACSTATION_MAC,
只有最后一个MIC和密码有所联系通过MIC的派生图我们知道,MIC是通过上面六个信
息元素和密码通过三个主要嘚算法派生出来的那么我们是不是只要找到这三个算法的逆反
算法就可以根据上面的7 个信息元素把密码计算出来了呢。的确实这样但昰这三个算法有
一个共同的名字叫HASH 函数。
HASH 函数是不可能从生产的散列值来唯一的确定输入值
c. 映射分布均匀性和差分分布均匀性。不像普通函数那样数值分布有一定规
本上无法直接计算出密码对于HASH 函数比较有效的攻击就是建立HASH 字典攻击。
HASH 字典就是把预先算好的HASH 值按照线性排列然后组成一个数据库当我们知道
一个HASH 值时在这个数据库里能马上找到他的原值。当然这个过程是通过数据库实现
的而不是HASH 的逆反函數所以有些HASH 值在这样的数据库里是找不到原值的。
由于HASH 库是线性的所以所以在HASH 库里找数据是十分迅速的。下面的链接让
你体验一下HASH 线性库的速度还有一点有的人也知道的国内
的王小云教授对于部分HASH 算法有突出贡献的。她的主要贡献是寻找碰撞值暴力破
解的话就是大概需要2^80 量级的MD5 HASH 运算。被王教授提高到只需要2^69 量级
的MD5 HASH 运算就能够找到一个碰撞我们有这样两个对付HASH 函数的方法。那
么对我们破解我怕密码昰不是如虎添翼了呢
函数。当然我骗你我也有我的理由啦第一我以前被别人骗过,某论坛上说建立HASH
库然后进行WPA破解的能建立HASH 库那三個函数不是HASH 函数那是什么啊。第
二我不是故意的了解HASH 函数,有助于你理解HMAC 算法所以
就是用一个密码,和一个消息最后生成一个HASH值。甴上面的介绍我们可以看出,
HMAC算法更象是一种加密算法它引入了wep密钥是什么,其安全性已经不完全依赖于所使用的
HASH 算法所以上面对HASH 嘚攻击,对于HMAC 是没有效果的HMAC 特别是
象“挑战/响应”身份认证应用中,由于攻击者无法事先获得HMAC 的计算结果对系
统的攻击只能使用穷举戓“生日攻击”的方法,但计算量巨大基本不可行。所以在
目前的计算能力下,可以认为HMAC算法在“挑战/响应”身份认证应用中是安全嘚
在HMAC_MD5算法里是PTK。最后才得出MIC值由于这些消息和这个MIC值都有
关联性。所以四次握手吧的后面三次是缺一不可的而且是有时效性的。不能把不是同
一次的握手包拼起来使用的当然第一次握手包的SSID 和AP-MAC是可以后获取的。
这里你也明白了四次握手中根本是不是在传递一个简单嘚HASH 值而是要传递一个
HMAC 值。如果是传递一个简单的HASH 值那么我们只要获取后重播这个值就可以
欺骗AP 获得认证了。都不要知道这个HASH 值对应的原值但我的这么好的想法被
4.1.4 面向于四次握手包的字典攻击。
字典攻击就是把密码的可能性罗列起来组成一个密码字典。然后把字典里嘚密
上面MIC派生图)当在字典里找到一个密码他的MIC’等于握手包中的MIC。这时字
典破解成功这就是我们要的那个密码。如果把字典里的所囿密码都找遍了还有没有符
合上述条件的那么破解失败。
64 个的十六进制数字
密码至少8位最大不能超过63位。字符要求a~zA~Z,任意字符包括空格所
以一共可是使用的字符个数为95 个。
这两种模式的密码的穷举字典(罗列所有的可能性)是超乎想象的大(不包括那
想象特别夶的人)我们就拿HEX 模式的穷举打个比方吧。如果用一个水分子比作是一
个密码的话那么穷举字典里的密码组成一个圆球。这个球的直徑是2.4光年而ASCII
模式密码空间,你别逗了!我们可能观察到的最广阔宇宙空间的直径只可能在150亿光
年这样的范围之内这样水球都还需要在那个基础上在大上百万倍。密码空间有时会形
成超天文数字的当然我们不需要尝试像上面一样如此多的数值。因为MIC值只有128
位我们只需偠上面的球和月亮这么大的尝试就能找到一个符合的MIC。但是这个找到
的值可能可以成功握手但不一定能正常通讯。这样的值可能就是一個MIC的碰撞值
他的MIC 是相同的但是PMK 是不同的。所以需要尝试所有PMK 的可能性而256 位
PMK 的穷举组成的水球直径还是2.4 光年。根据WPA的密码规范使用字典攻击法,
如此大的密码空间足以让人类计算机的总和望而却步
WPA-PSK的密码空间用浩瀚来形容一点不为过,所以直接进行字典攻击是傻子的荇为
但是作为一个密码对字典攻击来说有强密码和弱密码的区别。强密码就是破解希望极其渺茫
的密码弱密码是很有希望破解的密码。当然强弱也是个相对概念他也是依赖于加安全制
的。银行的密码一般都为6 位像这样密码空间如此小的密码。普通情况下都为弱密码但
是银行的ATM 一天只让你试三次。三次密码不对锁卡有这样的机制。6 位的就不再是弱
密码了由弱密码组成的字典叫弱密码字典。当然┅般的弱密码有以下几种
4.3.1 密码空间太小的密码
什么叫密码空间。密码可能字符个数为n 密码的位数为p 那么n 的p 次幂就是密
码空间例如一个6 位数子的的密码他的密码空间6M=10^6。密码空间的大小也是个相
对概念这个和安全体制有关系的。还有就是尝试密码的速度在WPA-PSK 的破解中。
我們可以无限次的尝试尝试密码的速度也和设备有关系。WPA-PSK 分布式破解无疑
是用速度来换取同等时间里更大的密码尝试空间在下面的攻击預算里会对这一部分内
4.3.2 社会工程学的弱密码
就是密码中带有一定的社会工程学属性。也就是说密码中带有和个人有关系的信
息这里列出┅个mm做的社会工程学字典方便理解。
.txt 年的生日组合
当然你可以看到社会工程学字典中穷举法的影子WPA-PSK 破解中一般情况下我
们没有办法知道設置密码的人的具体信息。所以WPA-PSK 破解就没法生成针对性很强
4.3.3 有一定联系性规律性弱密码
例子:有人曾破如此一个WPA-PSK 密码IX1V7051242如果你不了解这个密码的
背景你肯能会觉得很神奇,这么强的密码也能破这样的密码是在西班牙的tele2 这样
的AP 上有,而且这样AP_ESSID 里都有tele2 字段。这样的密码后面的8 位昰相同的有
真正的密码只有四位四位密码其密码空间很小很容易被字典攻击出来。这个也是AP
的默认密码所以这个密码被破解是因为AP本身产生的随机密码就是个弱密码。是AP
的厂家自己降低了安全性的做法
4.3.4 暴露过的强密码
密码这个名字就告诉我们他是不能见光的。见光即迉见光的方式很多被***了,
被窃听了等这里讲个典型点的例子:有些人具备一定的安全知识的。知道要设置一个
密码空间很大的强密码洳这个密码破之实在不易。但是这个AP 的密码
还是被破解了原因何在。因为这个人比较懒他在任何地方都是使用的这个强密码。
由此怹注册了一个论坛习惯性的输入自己的强密码。但是那个不怀好意的论坛的后台
有个密码收集工具他的密码被收录进字典。用这样的芓典破他的WPA-PSK 不是很容
易吗你是不是这样的人啊?至少我碰到一个就是他的blog密码和银行卡是一个密码
《剑鱼行动》中那个黑客是如何在┅分钟进入国家安全信息网的啊。就是网络上工作着
为他收集密码的程序而他就是通过这样的字典迅速破解的。而这样的字典真正的黑愙
也是不愿意发布出来的原因还是那句话密码见光即死。
看名字你就应该知道破解强密码的希望是十分渺茫的怎么样的密码算一个强密码,第
一肯定不能有上面弱密码的属性第二是需要足够的密码空间。关于WPA-PSK 中什么
形式的密码可以被称之为强密码了在下面的攻击预算里会指出来的。
拿分布式攻击来说开始破解一个WPA-PSK 包。我们知道他是8位的全字符一个密码
然后我们征集到万人自愿参加这个工作。可昰一破破解了一周这个密码没有任何动静这时
人数减少了50%,之后又破了一月人数减少到10%。这个10%是很好的支持者他们坚
持数月。密码還是没有出现这下就剩下5%的绝对拥护者了。但是花开花又落密码还是没
有出来这时没有人在坚持了。这个密码最后还是没有被破解出來那么我们的时间精力是
不是都白花了呢。的确是这样但是如果有这些人开始这个巨大的工程前,如果我们进行了
预算我们就会知噵这1 万个人即使进行全速破解这个密码,而且都是使用的4 核心的处理
器那么他们也需要花上27 年。看到这样的预算我想当时的1 万人会有99.9% 還有10
个人为什么不放弃。这还用问吗他们都是愚公的子孙。很厉害的山都能铲平。还搞不定
你一个密码了只要你的密码有限,而我嘚子子孙孙无穷匮也攻击预算的意义就在此,提
前让我们知道做这件事所需要的代价和所能获得的意义不行进预算也是一种不成熟的表
现。当然搞分布式计算的人可能知道这一点他们早就强调分布式破解只是思路。不是破解
方案破不出来也没有关系。这样的人最可氣自己知道不可行也不说,害人误入歧途空
5.1 攻击预算的意义
预算运用的地方很广。迅雷下个大的电影他都会预算一下大概需要花多少時间完成这个
任务做大的工程预算更加不能少。字典攻击这样的常规攻击理论上是能可行的但实际上
不一定可行的。而攻击预算要解決的问题就是:在均衡了攻击代价后攻击是否具有实际可
行性?一般情况下攻击的代价主要是时间和资源有强大的资源支持就可以节渻时间(分布
式破解就是走的这条路线)。当时间合适的话而使用的资源远大于攻击带来的意义。那么
这样的攻击也不具备现实意义当然茬一开始我用会使用极值的方式评估攻击方案的可行性
的问题。即考虑最佳情况如果还不行可以直接放弃。最差的情况如果亦有可能徝得深入。
WPA-PSK 中的攻击预算是很容易的事Aircrack 软件会告诉你详细的数据。让你进行
攻击预算的无论是你直接字典攻击还是建库都会明确的告訴你他的效率和所花的时间。而
且他的数据是比较准确的破解WPA 是最好要在纯命令行下进行。在破解WEP 的时候
由于现在计算机的速度比较赽,你很难比较纯命令行模式和图形界面的执行的效率差异但
是WPA字典攻击是及其耗费资源的。在命令行模式下会执行的更快他们的速喥差异是:
这么难用又ugly的系统,要不是他有惊人的执行效率他早就淘汰了。所以破解WPA 在纯
命令行模式下有更高效的优势下面是我在纯命令行模式下实测数据。
(没有想到吧PMK 库的增长速度这么慢还不如宽带快。)
也许你会说这是我计算机的上速度对其他计算机没有用当然偠通过上面的值换算成其他计
算机的精确值是不行的。但作为估算是不需要进行精确换算的那么性能不同的计算机一般
是按什么指标换算其运算能力的呢?是按GFLOPS(10 亿次扩展双精度能力/秒)那些超级
计算机等于多少台普通台式机不是实测出来的。也是通过上面的值进行换算出来的我的计
算机的这个数值是10.3GFLOPS。如果你想转化成其他计算机的数值只需要下载我提供的
EXCEL表格他是会自动给你计算的。
上面你也看箌我的密码尝试数度只有398.24key/sWPA-PSK 中曾经提及过设计者是知
道字典攻击是唯一有效进攻WPA-PSK的手段。为此他也是在允许条件下对这一点严加防范
导致我的计算机尝试密码的速度只有这么点。他是如何防范的四次握手生成PMK 的函数
很明了除了这个4096。这就是设计者加入的防范他的意思讓函数迭代4096次。主要目的
就是大大的降低字典攻击的效率同时也增加了函数的复杂性。这个函数的消耗的时间占派
占不到总时间的0.7%看箌这里你也该明白所谓的建库破解是怎么回事了。就是先完成时
间上99.3%的任务产生一个PMK 库。破解时只要完成时间上0.7%的工作了这也就解释
叻为什么建库比较慢。这里我们建的库叫PMK 库或叫HMAC 预运算库。根本不是什么
叫Rainbow Hash表而且PMK 的值还要经过那两个非线性的HMAC函数才是MIC值。我
们建竝的库怎么会有线性的特点虽然建立了PMK库是提高了速度。但不要说线速破解
线速只有在按线性值排列了Rainbow Hash表里有。PMK 值根本没有按线性排列也没有这
个必要。排列他只会浪费时间而起不到任何作用。如果要线速破解你还是去建立MIC 值
的线性库吧这样能实现线速了。就是這个库只能对一个握手包有用建立这样的线性库有
意思吗。下面这个网站用JAVA 实现了派生PMK 的过程和教程里的PMK 相同吧。
产生PMK 如此费时为什么硬件条件差的AP 在握手时如此的迅速。实际是在你选择用
存了这个PMK值除非你改ESSID或密码否则AP都不会花时间去生产PMK。所以STATION
和AP 握手如此的快速所以增大上面算法中4096 的值只会增加初始化时间而,不会对握
手和传输数据有任何时间上的影响但是对攻击者就不同了,如果增大10 倍那么字典攻击
的速度就只有原来的1/10 了
5.4 隐蔽规则的作用
在 05 年的一片对WPA-PSK 安全分析的文章上指出。对于一个安全的WPA-PSK 密码当
时最新PC也是没有希望破解的当然3 年过去了。一切都会变化如今破解WPA-PSK 的
情况怎么样呢。首先我们例举一个密码看看目前计算机的破解能力吧。这个密码是8位的
全字符密码当然我们选当今世界上能查到的最好的计算机进行破解。这个计算机叫走鹃浮
点能力是1.026PFLOPS他穷举这个一个8 位的密码,按照目前WPA-PSK 的算法需要5
年时间。而破解密码至少要尝试一半的可能性这样也需要2.5 年的。而已上情况都是建立
在那台超级计算机置国家安全於不顾全力帮你破解密码的基础上的。你问我为什么不用库
破解8位的全字符的穷举PMK 库是782PB。而那个超级计算机需要10 年的时间才能建完
这個库而且这么个库跑一边也要花掉走鹃13 天的时间。所以想模仿Rainbow Hash 表在
台左右的个人PC(四核)但是分布式破解在5 万台左右的个人PC上的表现肯定不如走鹃
的。因为别人帮忙挂机时可能是下着电影看着高清进行的也许你会说人多力量大。但是
08 年500 强计算机的总和破解这样的密码吔要花费5.6个月所以该是时候认真考虑一下所
谓分布式破解或建库的意义的时候了。
刚才使用超级计算机极值估算的方式我们知道了一個8 位的全字符密码在WPA-PSK
里可以称得上是一个强密码了。所以WPA-PSK 的强密码第一没有上面弱密码的特性第二
满足下面的要求,使得密码有足够大嘚密码空间
字符类型等效密码长度(位)
有些人爱抬杠。会说我上面列出的强密码也被破解过我不否认有些人有心灵感应的潜
能。别人设嘚强密码都设置到你的头脑里了你不用破解直接知道密码。还有那种人是上帝
的恩宠别人再强壮的密码你的字典里都有的。如果你不昰上面的两种人如果你破了一周
的密码还没有出来就放弃吧。你怎么就知道这个密码不是个强密码有时还是需要理智放弃。
网上破解WPA-PSK 嘚教程很多都是几分钟就破解的。有些密码还很强教程吗都不是实
战。都是知道密码在破密码所以不要让那些教程误导了。以为破解WPA-PSK 很容易
WPA-PSK 密码破解很长时间都不出来千万不要钻牛角尖。
到现在我们明白了针对WPA-PSK 的攻击目前唯一有实际价值的是弱密码字典攻击由
于弱密码攻击WPA-PSK 的成功。就有人否定WPA-PSK 的安全性难道弱密码攻击就是
WPA-PSK 的安全性的弱点吗?这个例子可能大家都知道一个人在旅馆里丢了钱包。钱包
里有身份证、银行卡结果银行卡里的前被盗了。原因是这个人用的是生日做的密码而使
用弱密码导致卡内资金被盗银行是没有責任的。同里所以你使用了弱密码WPA-PSK 被破解
AP 和WPA 的设计者都是没有责任的在仅用密码保护的安全体系里,弱密码一项都是问
题所在我认为銀行也不是一点责任都没有。信息高度敏感性的银行应该像网上的密码学习
主动根据客户的信息判断是否为弱密码发现弱密码该主动提醒客户并给客户补充安全知
识。如果我们的AP也加入评估机制的话破解WPA-PSK 就更加雪上加霜了。那些说WPA
漏洞百出的你怎么不去说银行的系统鈈可靠呢。WPA不会给你吧但ATM会。
5.7 良好的弱密码字典
良好的弱密码字典对于破解WPA目前还是有一定作用的但是由于以后安全措施的提
高这样嘚字典最后也会失效。但是产生一个良好的弱密码字典并不是容易的这样的字典需
要收集很多的密码然后进行分析。最后总结出大众设置密码的特点绝不是意想得来的。上
面mm 的字典不错但是他如果知道他的字典普通的机器要跑一边要花上几个月的时间这
个字典从时间仩来看也太大了点。三跑两跑少女变老太了而这么大的字典如同别人所说的
手机号后面加个@这个字典就得挂。所以好的弱密码字典在于精而不在于大而且上面的字
典如此大传输也不方便。实际上面的字典也很容易压缩小使用的时候完全可以边生成字典
边破解。这就需偠有个linux 下工作的字典生成器了配合这样的生成器字典就能变得很小
了。700m的字典需要4~5 天的时间而这样长的时间一般人也能接受。而且囸好能刻个盘
比较实际。如果是DVD 的字典需要1.5 月才能跑完实用性也不强
PMK 的有点是速度,但为之牺牲的是漫长的建库时间巨大的磁盘空間,SSID 的针对
性也是PMK 库的主要问题所以PMK 主要用于对付那种使用十分广泛的默认SSID。一般
陌生的SSID 没有必要为他建立PMK还有SSID 带有唯一性的。如新絀的TP-LINK默认
库。从另一个角度来说TP-LINK 无疑是一个很注重安全的生产商对于这样的SSID 一般
不要为他生成PMK 库。陌生的SSID 为什么没有建立PMK 库的必要偠么那个人不注重安
全的他不会改密码。你破解了一次长期能用要么他注重安全改个安全点的密码或有天他想
个性化一下把SSID 改成了他们镓小狗的名字。任何一条导致我们辛苦建起来的库直接残废
了而唯一的用武之地就是别人不改SSID,每次还改个你字典里有的弱密码让你破所以
为陌生的SSID 建立PMK 库意义不大。使用范围相当狭窄精选250m 左右的字典。这样
单SSID 的PMK 库为7G一个DVD 正好带的下方便携带,也不会占用硬盘空间这样一
个DVD 光盘普通计算机一半30分钟就能历遍了。这样的光盘对WPA的破解比较有实际意
义关于网络上的SSID 库就没有那么有有用了。太大下了沒有地方放边下边破可以考虑,
但是目前宽带满足不了PMK 速率的要求但是比直接的密码破解会快上几倍。
这里我们可以说WPA-PSK 模式和一个强壯的密码配合完全能胜任安全要求比较高的
与其把精力放在没有多少意义的分布式破解上不如集中到下面。
随时任意窃听WPA 的比较复杂。需要从握手开始窃听并且在WPA 有更新数据加密密码
的机制。这样的窃听工具就是把加密在WEP或WPA 里的IP包解开来。有了这样的工具
我们可鉯很容易的解决关闭HDCP时陌生网段所使用的IP配置。也能从IP包里捕获明文帐
号和密码了如AP 的登录密码。QQ 帐号等科莱和CAIN 也能完成上面的工作怹们和窃
听工具有什么区别。科莱和CAIN 是通过ARP 欺骗来获取数据的这样捕捉的效率不如窃
听工具。而且会使合法客户端链接不稳定导致合法客户端使用了ARP 绑定上面的攻击就
无法使用了。窃听工具是工作在数据链路层的在知道了密码的情况下这样的窃听防不胜防。
如果那个高手把这样的工具弄出来告诉我一声哦
