关注Linux 及系统架构: Wifi 无线攻防战术

CISSP。
美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士。
『WiFi Hacking! 無線網路駭客攻防戰』一書作者。
目前為國際資訊安全公司資深技術顧問。
曾任職資訊公司亞太區資深資安顧問。主要領域為資安防護規劃、風險管理與弱點評估、攻擊與滲透測試，以及無線網路安全，並且也曾擔任Foundstone Ultimate Hacking 講師，於亞太區六個國家十餘個城市開課。

4月5日

[無線網路安全－企業無線網路的攻防演練]

~ 原文刊於『RUN!PC』雜誌 2007 年 4 月號

無線網路的方便性與移動性，不需要辛苦的佈線，成為企業採用的主要考量，然而在安全性的疑慮之下，許多企業有所遲疑，有限度的開放或不開放無線的使用。但不管開放與禁止，無線網路對於企業的安全防線，已衍生出相關的安全議題。而這些問題，企業的資安人員，該如何來診斷？或是在駭客發動攻擊之前，先自我來做個攻防演練。

的確，無線網路不管企業開放與否，都應該要有相對應的防護策略，同時，在企業懂得開始對有線網路做弱點評估、滲透測試的同時，針對無線網路，也應該要能夠定期做好弱點評估，或是滲透測試，確保防護策略確實有效。

企業無線網路潛藏的風險

選擇開放無線網路的企業，必須針對如何鞏固無線網路的防線，不使未授權的使用者輕易的連線使用，以及在通訊時的資料加密，不致讓企業的機密外洩。而選擇禁止使用的企業，考量的重點是如何確認企業內部不會有私架的無線基地台，或是企業的員工不會不小心或故意連線到附近的無線網路，使得駭客可以利用這些通道，直接繞過企業防火牆的阻擋，長趨直入企業的內部網路。這些安全的弱點，也是駭客們尋找的攻擊目標，而到底企業的無線網路裡，潛藏了多少安全的危機，以下針對企業的無線網路，從駭客的角度來做一番檢視。

企業無線網路的弱點，包含了以下幾個常見的項目：
• 私架的無線基地台，使得企業的無線網路門戶洞開
• 不安全的無線網路設定，駭客可輕易破解
• 易於遭受攻擊的端點，成為駭客利用的跳板
• 阻斷式攻擊，造成網路的不穩定

私架無線基地台

企業無線網路裡，最大的安全漏洞，是私架的無線網路基地台。許多員工為了一時的方便，自己帶了一個無線基地台到公司使用，而這些基地台往往是簡單的基地台，沒有進階的安全設定，或是員工根本也不知怎麼做安全設定，成為企業網路的一個缺口，讓一般人輕易的可以連線，進入企業的內部網路。這些開放的網路，常常使用基地台出廠的預設設定，使用預設的網路名稱 (SSID)，例如：default，沒有加密的通訊，以及沒有任何連線控管，一般人都可以直接利用 Windows 內建的網路工具連線使用，更遑論有心人士，進入了企業網路之後，可能進行惡意的攻擊。

不安全的無線網路設定

許多企業目前在無線網路的安全防護，還是停留在只用基本的安全設定，例如：WEP 加密，或是 MAC Address 安全控管，甚至只是把 DHCP 關掉，讓連上基地台的人自已去設正確的網路 IP 的相關設定後才能連線，但這些基本的防護，對於一個有決心的駭客，卻可以輕易的破解。

駭客常見的攻擊方式，可能針對沒有加密的無線網路，監聽無線網路裡的資訊，伺機竊取重要的資訊 (帳號，密碼，郵件內容、即時通訊聊天內容，瀏覽的網頁資訊)。或是使用 MAC Spoofing 的方式，更改自己的無線網卡的 MAC Address，以突破 MAC Address 連線控制。也可能針對 WEP / WPA 加密機制，進行加密金鑰的破解，以進入企業的無線網路。

易遭攻擊的無線網路端點

無線網路的端點，也就是這些無線網路的使用者，近來已成為新興的攻擊目標，攻擊者利用這些端點電腦上的系統弱點，例如，無線網路卡驅動程式的漏洞，進行漏洞攻擊，以取得這些電腦的控制權限，進而利用這些電腦，當成進入企業無線網路的跳板。另外，駭客也可以利用無線網路釣魚的方式，假冒企業的認證網頁，騙取登入網路的帳號及密碼。

目前已經發現的無線網卡驅動程式有弱點的，包含了:
• D-Link DWL-G132 ASAGU.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• NetGear WG111v2 Wireless Driver Long Beacon Buffer Overflow Vulnerability
• NetGear WG311v1 Wireless Driver SSID Heap Buffer Overflow Vulnerability
• NetGear MA521 Wireless Driver Long Beacon Probe Buffer Overflow Vulnerability
• Broadcom BCMWL5.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• MADWiFi Linux Kernel Device Driver Multiple Remote Buffer Overflow Vulnerabilities
• Intel PRO/Wireless Network Connection Drivers Remote Code Execution Vulnerabilities
• Apple Mac OS X Airport Wireless Driver Multiple Buffer Overflow Vulnerabilities

而這些弱點，除了最後兩個還沒有公開的攻擊程式之外，其餘的都已經有相對應的攻擊程式可輕易的在網路上找到。

阻斷式攻擊癱瘓無線網路

駭客想要干擾企業無線網路的服務，或者是嘗試了多種的攻擊後徒勞無功，此時也許會想來個同歸於盡，癱瘓整個無線網路。或者針對某一個使用者的連線，讓他無法連線，於是使用『阻斷式攻擊』。在無線網路裡，阻斷式的攻擊主要有兩種方式：Radio Frequency Jamming (RF Jamming)，利用干擾頻道的方式，使正常的通訊在這個頻道裡無法進行溝通，以眾多的雜訊來干擾正常的通訊，而另一種則為 De-Authentication 攻擊，利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線。

常見的攻防測試工具

以上的這些弱點，在網路上都可以找到相對應的工具來做攻擊。甚至有 Open Source 的計畫，將許多好用的工具，做成了可開機光碟 (Live CD)，這些光碟可以在網路上下載，許多的企業資安或稽核人員，也都是利用這些光碟來執行安全評估、或滲透測試。目前常用的光碟，也是新一代的主流工具－BackTrack CD (http://www.remote-exploit.org/backtrack.html ) 而它的前身是知名的 Auditor Security Collection Live CD，集合了三百多種以上的網路安全工具。

而企業資安人員，可以做的攻防測試，以及它相對應的工具，介紹如下。

網路偵察

Kismet (http://www.kismetwireless.net/ )

在無線網路攻擊裡，要能夠先搜尋無線網路的所在，然後針對無線網路裡的設備，一一蒐集資訊。舉凡無線基地台的 SSID 、使用頻道、安全設定，以及訊號強弱，這些都是極為重要的資訊。

Kistmet 是一個 802.11 Layer 2 的無線網路偵測、監聽、以及入侵偵測系統 (IDS)，能夠監聽 802.11b、802.11a、以及 802.11g 的資料。而 Kismet 的監聽技術，主要是利用被動 (Passive) 模式，收集無線網路的封包，偵測標準的開放網路、隱藏網路，藉由資料封包的分析，還能夠偵測到將一些關閉 Beacon 基地台的隱藏無線網路。

資安人員可利用這個工具，在企業內部尋找是否有私接的基地台，以及偵測企業內部員工可能連線的基地台。

圖一：利用 Kismet 偵察無線網路

WEP/WPA 加密破解

AirCrack-NG Suite (http://www.aircrack-ng.org/ )

AirCrack-NG 是一個相當完整的無線網路攻擊工具組，不但可以利用來做 WEP 加密金鑰的破解，也可以做 WPA-PSK 金鑰的字典攻擊。AirCrack-NG 不但有 Linux 版本，還有 Windows 版本，另外也有人寫了Windows AirCrack 的 GUI 程式，叫做 WinAirCrack，搭配 AirCrack-NG的使用。Linux 版的 AirCrack-NG 提供的工具較為完整，包含了以下的幾個程式：

• Airodump-ng：802.11 封包截取程式
• Aireplay-ng：802.11 封包注入程式
• Aircrack-ng：WEP 及 WPA-PSK key 破解主程式
• Airdecap-ng：WEP/WPA 封包解密程式
• Airmon-ng：802.11 網路監聽程式
• Packetforge-ng：802.11 封包製造程式
• Airtun-ng：802.11 加密封包蒐集及封包注入程式
• Tools：其他相關工具

不同於早期被動的收集封包，AirCrack-NG 在 WEP 加密金鑰的破解，可以採取更『主動』的封包注入的方式，製造偽造的 ARP Request 的封包，使得 AP 回應這樣的請求，而發出 ARP Reply 的封包，而當 AP 發出回應封包時，駭客就可以收集更多的『 IV 值』，加速 WEP 加密金鑰的破解，以一個 128 Bits 的Key，可能在三十分鐘之內被破解。

資安人員可以利用這個工具，針對企業的加密機制，驗證是否可能被駭客破解。

圖二：利用 AirCrack 於 30 分鐘破解 WEP 加密金鑰

無線網路釣魚

Airsnarf (http://airsnarf.shmoo.com/ )

Airsnarf 是一個結合了軟體驅動的基地台技術、DNS Server 設定、以及防火牆的 HTTP 重導技術，建立一個假冒的認證登入網頁，讓使用者連上基地台之後，自動取得 IP 位置，啟動瀏覽器時，會自動導向 Airsnarf 設計的首頁，當使用者輸入帳號密碼之後，這些資訊可以被攻擊者記錄下來。當然，攻擊者不會用Airsnarf 這個網頁讓使用者輸入帳號密碼，而會建立一個假冒的企業網路登入的網頁，來置換 Airsnarf 的這個網頁，於是在不知不覺中，企業的使用者已經被騙取了帳號密碼。

資安人員可以利用這個工具，進行企業內部的無線網路釣魚測試。

圖三：無線網路釣魚示意圖

阻斷式攻擊

void11 (http://www.wirelessdefence.org/Contents/Void11Main.htm )

假冒 De-Association 及 De-Authentication 訊框攻擊，是最常使用的阻斷攻擊，
利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線，雖然使用者會自動的再發出連線及認證的請求，但攻擊者若是持續的發送這些訊框，將使得使用者一直連線斷線，無法正常使用網路。

不過目前已經有許多基地台，針對這樣的弱點做改進，因此企業的資安人員，可以利用這個或相關工具，測試企業使用的基地台是否有受到阻斷式攻擊的可能。

偽冒 MAC 位址

SMAC (http://www.klcconsulting.net/smac/ )

偽冒 MAC 位址的工具有很多，而這個工具有簡單的操作畫面，能夠讓你迅速找到想要更改的 MAC 位址。因此，資安人員，利用像 Kismet 的偵察工具，找到正在與基地台連線的網卡的 MAC 位址，變更自己的 MAC 位址，來嘗試是否可以突破MAC Address 控管而取得連線。

封包監聽 / 分析

Wireshark (http://www.wireshark.org/ )

Wireshark 的名字大家比較陌生，不過若是提到 Ethereal，相信很多人都曾使用過。Wireshark 是延續 Ethereal 的免費封包分析工具，可以即時分析封包，或是將載入利用 Kismet 或 Airodump 截取的封包，分析封包裡的資料。

因此，資安人員在做無線網路的攻防測試時，也常常需要用到它來做輔助工具。

弱點攻擊

MetaSploit Framework (http://www.metasploit.com/ )

完整的無線網路攻擊工具，當然還要包括弱點攻擊的工具，尤其是針對無線網卡驅動程式的弱點，已經有人提供 MetaSploit 的攻擊程式。在做攻防測試時，若是有發現有員工使用的是前面所列的無線網卡，則可利用 MetaSploit 的攻擊程式，嘗試取得這些電腦的控制權，進而找到進入企業無線網路的跳板。

結語

以上的這些工具，大部份都可以在 BackTrack 或是 Auditor CD 裡找到，使用者不需要自己再編譯或是安裝工具，只要利用這些光碟開機，即可進行攻防測試。另外，無線網路的安全工具相當多，同一種用途也有不同的工具，以上只介紹常用的知名工具，其他更多的工具，可以參考相關書籍或是網路上論壇的介紹。

無線網路攻防演練的目的，在於找出企業無線網路的弱點，進而在駭客攻擊之前，能夠消弭可能被駭客入侵的安全漏洞。所謂「知己知彼，百戰不殆」，資安人員除了應用相對應的安全防護之外，了解駭客可能的攻擊手法，並定期的實施無線網路弱點評估或滲透測試，可以防患未然，並適時適當的調整無線安全防護策略。

作者簡介：

莊添發 (Thomas Chuang)

l           CISSP。

l           美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士。

l           『WiFi Hacking! 無線網路駭客攻防戰』作者。

l           目前任職賽門鐵克擔任資訊安全資深技術顧問。

l           曾任職資訊公司亞太區資深資安顧問。

l           主要領域為資安防護規劃、風險管理與弱點評估、攻擊與滲透測試，以及無線網路安全，並且也曾擔任Foundstone Ultimate Hacking 講師，於亞太區六個國家十餘個城市開課。

6月4日

[企業弱點管理的基本準則 SANS/FBI Top 20]

<原文刊於 ITHome 2004 資安特刊 >

近幾年來，企業資訊安全的危機，來自於蠕蟲的攻擊，佔了相當大的一部份。SQL Slammer、Blaster、Sasser 這些蠕蟲，利用攻擊這些在軟體本身上的弱點，造成全球數十億美元的損失。事實上，根據美國電腦危機處理中心(CERT/CC)的研究報告指出，超過99% 的資訊安全事件，都是針對已知弱點所造成的破壞。顯示企業安全的成敗除了被動式的防禦，主動預防式的弱點管理之有效執行，才能解決問題的根源。

弱點管理與企業安全

從2002年至2004年間，CERT/CC接獲回報的弱點數，每年將近四千個，平均一天超過十個以上的新弱點，在企業內有限的人力之下，如何能在利用弱點的蠕蟲產生之前及時修補，將是企業的挑戰。尤其目前弱點公布至蠕蟲流行的時間已從1999年的288天，至2004年的十天反應時間，如何能從企業內部眾多的數位資產裡，找出弱點的所在，從何處著手來做好弱點管理，考驗著資安人的智慧與能力。

弱點管理從何管起?

在2001年，SANS機構與FBI集合了資安專家的意見，共同公佈了一份文件，以”Stop the Break-Ins!”為標題，列出了十項網路上最危急的重大弱點，提供企業在面對成千上萬個弱點時，能夠有優先順序的準則，先致力於最危險的弱點修補。而後在2002年增加為二十項，並從2003年起分為Windows Top 10及Unix Top 10。而事實證明，SANS/FBI每年公佈的前二十項最重要的弱點，這些弱點也是後來這些蠕蟲如Blaster, Slammer, Code Red, 或是 NIMDA所利用的弱點。

最近的一份報告(2004年10月)公佈的前二十項重大弱點如下：
Windows平台的前十大弱點：
• W1 Web Servers & Services
• W2 Workstation Service
• W3 Windows Remote Access Services
• W4 Microsoft SQL Server (MSSQL)
• W5 Windows Authentication
• W6 Web Browsers
• W7 File-Sharing Applications
• W8 LSAS Exposures
• W9 Mail Client
• W10 Instant Messaging

UNIX平台的前十大弱點：
• U1 BIND Domain Name System
• U2 Web Server
• U3 Authentication
• U4 Version Control Systems
• U5 Mail Transport Service
• U6 Simple Network Management Protocol (SNMP)
• U7 Open Secure Sockets Layer (SSL)
• U8 Misconfiguration of Enterprise Services NIS/NFS
• U9 Databases
• U10 Kernel

在這份新的清單內，值得注意的是，W10 Instant Messaging 是第一次進入排行榜。隨著IM軟體使用者的大幅增加，在IM上的弱點也逐漸被發掘，不管是在 MSN，Yahoo Messenger或者AOL上，都存在著弱點，類型包含了檔案傳送時或ActiveX Controls上的緩衝區溢位，雖然這些IM主要為一般使用者使用，但可能造成企業內部員工的機密資料外洩，或是使得員工無法工作，降低生產力，造成企業損失。另外W8 LSAS Exposure的弱點也因Sasser的流行，加入了Top 20。

優先修補的對象
雖然了解了弱點修補的項目，但企業內龐大的資產數量，如何確認何者應為優先修補的對象？雖然各個企業對於資產重要性的定義或有出入，但以下幾個類別，可以列為工作的重點：

1. 具有外部連線的主機
很多企業在設計網路架構時，內部與外部網路，常常並沒有分開，所以這些有外部連線的主機，常常為第一攻擊目標，也是駭客進入內部網路的大門。所以應列修補的重點。
2. 伺服器
常用的郵件、檔案、DNS、Domain Controller等伺服器，關係著企業的正常運作與否，因此需要優先防護，以免於不管是來自內部（蠕蟲、病毒、Insider…）或外部（駭客、Script Kiddies…）的攻擊。
3. 資料庫
儲存著企業的重要資料及機密。
4. 重要系統
交易系統、ERP、人事資料系統等公司日常營運所使用的系統。
5. 防火牆及網路設備
防火牆為企業安全防護的城牆，當然應隨時檢視其自身之安全。而網路設備例如Router、Switch等設備，若受攻擊，則企業的網路也立刻受到影響。
6. 其他重要人事之主機
CEO、財務、人事管理者所使用的電腦裡常存有企業的重要機密資料，也應列為檢測重點。

弱點管理的工作，無法一次修補所有的資產，有系統的做好資產清查，分門別類，了解資產的重要等級，針對這些重要的資產，優先做處理，才能使得努力有所成效。

Top 20 弱點的影響

SANS/FBI的這些弱點，究竟對企業會造成那些的危害，可分為以下幾類：
1. 系統完全被非法擁有
利用這些弱點，攻擊者可以得到系統管理者的權限。竊取系統內的重要資料或更進一步利用這些主機發動DDoS攻擊。
2. 資訊或檔案的外洩
攻擊者無法獲得完全的權限，但可以讀取更改資訊及檔案，造成資料的完整性、隱私性、可用性受到破壞。
3. 執行任意程式碼
利用這些弱點，攻擊者可以在主機上執行任何的程式碼，通常此種攻擊若有系統權限或配合提升權限的方法，可以進一步達到完全擁有主機的目的。
4. 阻斷式攻擊
攻擊者攻擊這些弱點，使得主機上的服務中斷，無法提供正常的運作。
5. 感染及散播病毒
由於軟體本身上的弱點，造成執行了惡意的程式碼或病毒程式。
6. 散發Spam信件
利用Email服務上的弱點，大量散發郵件。

弱點檢測的方法與工具

針對這二十項弱點，企業內部的IT人員，該如何來檢測數位資產上是否有這些弱點？在SANS 網站上公佈的最新文件裡，有詳細的列出了每一個弱點的影響系統版本、如何檢測、如何免除危險，以及相對應之CVE/CAN編號。然而，從2001年公佈的 Top 10一直演進到目前版本的Top20，事實上其包含的項目，己成數倍增長。最新公佈的這一份文件，所涵蓋的相關弱點相當的多，其列出之相關CVE/CAN 編號，超過五百個項目，若是完全以人工來找尋這些弱點，則是工程相當浩大的任務。因此目前市面上有相對應的弱點評估/管理系統，提供針對SANS/FBI Top 20項目而做的檢測。

SANS網站上所列舉的弱點評估/管理系統如下：
- Foundstone Enterprise Vulnerability Management System (www.foundstone.com )
- eEye Retina Network Security Scanner (www.eeye.com/retina )
- Preventsys (www.preventsys.com )
- Qualys (www.qualys.com )
- Sara (www-arc.com/sara)

其他還有一些非針對SANS/FBI Top 20的弱點掃描系統，
- Nessus (www.nessus.org )
- SAINT (www.saintcorporation.com )
- Nmap (www.insecure.org )

修補方法與建議

在找尋到這些弱點之後，IT人員又該如何來進行修補？一般的修補工作，可以分為以下幾種類型：
1. 上相對應的Patch或更新版本
針對系統或服務，廠商都會提供Patch檔，針對這些弱點做修補，這一類型的修補工作，佔相當大的比率，執行時應注意的是對於重要的上線系統，應該先做測試，評估其是否有其他的不良影響。
2. 參考廠商或專家提供的Best Practices建議，更改設定
一般的廠商及專家會提供最佳設定的建議給使用者，例如Apache、IIS Server這些都有安全設定的建議，使用者應該參考這些建議，補強預設Configuration的不足。
3. 關掉不必要的服務
沒有再使用的服務，應該直接將其移除或關閉。常見的情況為預設安裝作業系統時，一併裝設了很多沒有在使用的服務而不自覺。這些沒有在使用的服務，往往也疏於管理更新。
4. 使用Host-based Firewall跟IDS
這些防禦機制，如果正確的設定，可以有效的防止攻擊者使用這些弱點。
5. 最小權限原則(Least Privilege)
合理定義每個使用者的權限，避免過度的權限給予攻擊者機會。

安全了嗎?

修補了SANS/FBI Top 20，事實上即可消彌目前常見的重大資安事件。以US-CERT公布當前最常發生的重大資安事件為例 (2005/03/14, http://www.us-cert.gov/current/current_activity.html ) 這些目前流行的資安事件，都在Top 20建議的修補範圍之內。下表列出其與弱點之關聯：

事件名稱	對應SANS/FBI Top 20之弱點	說明
W32/MyDoom Revisited	W6, W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。其新變種也利用IE IFRAME的弱點進行攻擊。
MySQL UDF Worm	W5	這一個蠕蟲並未利用任何MySQL的弱點，而是利用其安裝在Windows平台時簡易的密碼或無密碼設定的弱點。
Santy Worm	W1, U2	利用phpBB佈告欄程式的弱點，達到控制Web Server的目的。
W32/Sober Revisited	W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。
W32/Bagle Revisited	W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。

由上表顯示，目前流行的這些蠕蟲與病毒，其實也都被涵括在這個Top 20的項目內，只要能持續修補這些重點項目，則已經能夠阻擋這些常見的攻擊活動。

持續的有效進行弱點管理

來自於網路上的威脅雖然日新月異，但其實也不完全是無跡可尋。面對成千上萬個弱點，其實只要能夠掌握住重點，則這些修補工作就能具有效益，而不是花了很多的精力在修補一些不會對企業造成任何危害的弱點。畢竟企業內部弱點修補的工作是永無止境的。

義大利的經濟學家Vilfredo Pareto在1906年提出的20-80理論，事實上也可應用在弱點管理的工作上。百分之20的弱點，會為企業帶來百分之80的風險。找出那些百分之 20的弱點，優先修補這些弱點，可立即大幅降低企業風險。而這些所謂的百分之20的弱點在那裡？SANS/FBI Top 20，即是一個相當重要的指標。

“Protecting the Right Assets • From the Right Threats • With the Right Measures”，在做弱點管理時，使用正確的弱點管理系統為你做正確的評估，以SANS/FBI Top 20為方向找出正確的威脅，如此，企業才能保障資產的安全。

下午 03:22 | 新增回應 | 永久連結 | 發佈至您的部落格 | Articles

[HotSpot – 駭客無線網路攻擊]

<原文刊於 ITHome 2004 資安特刊 >

前言你是否有這樣的經驗，打開電腦，啟動無線網卡，然後試著讓Windows XP幫你自動找尋可用的無線網路，想要在 Coffee Shop或者甚至是路邊，享受無線上網的樂趣。

而現在隨著無線設備價格的平民化，想要在路旁找一台無線基地台，似乎也不是難事，尤其是在一些Coffee Shop 更是以提供無線上網為號召，吸引隨時隨地想上網的人。然而，就在無線基地台所在都有的情況下，當你啟動你的無線網卡時，可能，你己經暴露在無形的危機裡。

目前無線網路的駭客工具，在網路上都可以很容易得到。而且所需要的專業知識，也愈來愈低。HotSpot裡常見的駭客攻擊行為，以及他們所利用的工具，如以下所述。

偵察
首先，駭客找了一個可以放心進行攻擊的好位置，然後對這一個無線環境，做一番的「偵察」工作。這一類的工具有很多，最基本的，可以利用Windows XP 所內建的無線網卡設定工具。在Windows XP SP2以前的 Wireless Zero Configuration 的設計裡，它會自動利用你己使用過的SSID先去做尋找無線基地台的工作，所以，若是你己經將一些常用的Default SSID加入你的Preferred Network List 裡，可以加快你發現無線基地台的時間，也可以發現一些SSID 廣播被關掉的基地台。

在Windows 裡另外一個常用的工具，那就是 NetStumbler。NetStumbler的功能比Windows內建的工具好些，提供你SSID，MAC 地址，頻道，加密與否以及訊號強弱的資訊，此時你就可以利用這些找到的SSID試著去做連線。

這些Windows平台下基本的工具，並無法提供你更進一步攻擊所需要的資訊，例如，正在連線的工作站的MAC地址，這樣的資訊是你突破MAC Address Access Control List限制所必需要的資訊。目前並無這類免費的工具，而付費的工具有AirDefense Mobile 以及 AirMagnet。當然，如果你對Linux有些基本認識，你可以使用無線駭客的最愛的免費工具--Kismet。

Kismet提供了相當完整的無線偵察功能，也是War Driving常使用的工具。此時駭客感興趣的是無線基地台的SSID，MAC Address，使用頻道，以及是否使用WEP或其他的認證機制。同時也收集使用者的MAC Address，IP等資訊。而且，Kismet也可以將封包存下來，讓你用破解WEP 的工具來進行WEP解密。

連線有了這些偵察工具的幫忙，駭客第一步就是找到一個可以連線的基地台。完全沒有安全防護的基地台，到處都是。而一般常見的安全機制有在基地台端的有MAC Address Control List，WEP加密，在後端與付費系統整合的認證，有利用MAC或Session來做認證。MAC Address Control List可以從無線網路偵測的工具裡找到有用的MAC Address，駭客只要利用像SMAC這樣的工具，將自己的網卡改為同樣的MAC地址，則可輕鬆破解。WEP加密，則可利用AirSnort直接花時間去破解，也可利用Kismet所抓到的封包，使用WEPcrack等工具去做字典攻擊。

至於整合付費系統的認證機制的服務，在此類的認證，常常會先允許你連線到基地台，取得合法IP，但未付費時，則無法使用Internet。此時，駭客的攻擊手法就得因地制宜了。

一旦駭客連上了HotSpot 的無線基地台，即使他無法破解HotSpot的付費認證機制，但他卻可以對在HotSpot的其他使用者，進行攻擊，甚至可以竊取合法用戶的資料，來登入HotSpot的付費系統。

監聽駭客最基本的功夫，即是利用Sniffer來監聽沒有加密的內容。常見的Sniffer工具有很多，現在更有針對特殊應用程式及Protocol設計的程式，例如MSN Sniffer讓你看得到別人的聊天內容，HTTPDetect讓你知道別人在瀏覽什麼網頁，像WinSniffer，Cain或ACE Password這樣的工具，自動幫你搜集利用明碼(Plain-Text)傳送的密碼，例如Email，FTP，或Telnet。另外Ethereal 及Airopeek這種功能強大的Sniffer，也是駭客常用的工具。

Evil Twin除了監聽之外，進一步的駭客攻擊，則會利用Man-in-the-middle，來操弄其他的使用者。駭客使用兩張無線網卡，一張與HotSpot的無線基地台連線，另一張網卡則利用軟體驅動成”Soft AP”，並且設成和HotSpot一樣的SSID，欺騙其他的使用者來與其連線。駭客的筆記型電腦，此時即設成了所謂的『Evil Twin』，偽裝成和HotSpot一樣的”攣生AP”，靜待受害者連線。此時駭客可再設置一個和HotSpot付費登入一樣的網頁，讓使用者輸入其帳號密碼，然後再將他重新導向到真正的付費畫面，使用者就在不知不覺中，被騙取了帳號密碼。MITM攻擊的工具，則有著名的Monkey Jack，HotSpotter或是其他可以使用軟體驅動成Soft AP的無線網卡。

癱瘓最後，駭客也可以發動阻斷式攻擊(DoS Attack)，癱瘓HotSpot的無線基地台，此種攻擊可以是單純的阻礙使用者連線，也可暫時中斷使用者連線，然後增加使用者連到駭客設置的Soft AP的機會。阻斷式攻擊可以針對某一台基地台，中斷所有的連線，使用工具為hunter_killer，或是針對某一台主機與基地台的連線，例如 wlan_jack等工具。

Client端攻擊除了以上這些無線網路下特有的攻擊模式，事實上，當駭客與使用者在使用同一個無線網路的時候，有線環境下的攻擊，也可以一一應用在WLAN裡。最簡單的攻擊，則是掃描使用者的漏洞，或是用字典攻擊法猜取使用者的Windows 管理者密碼，尤其是一般人對密碼設置的不重視，使用過於簡單的密碼或過短的密碼(低於8位數)，admin, password, 1234, 123456, abc123若是你有使用類似的簡單密碼，在幾秒鐘之內，駭客即可猜到，然後若你的電腦為所欲為：讀取檔案，裝設木馬，完全控制你的電腦。

自我防衛了解了HotSpot裡所可能進行的無線網路攻擊的行為，對一個單純的想要在HotSpot裡品嚐咖啡，享受無線上網樂趣的使用者，以下的幾點建議，將可有效的加強自身的防護

没有评论:

发表评论

订阅：博文评论 (Atom)

关注Linux 及系统架构

页面

2013年8月13日星期二

Wifi 无线攻防战术

[無線網路安全－企業無線網路的攻防演練]

[企業弱點管理的基本準則 SANS/FBI Top 20]

[HotSpot – 駭客無線網路攻擊]

没有评论:

发表评论

网页浏览总次数