Wi-Fiネットワーク：侵入と保護。 2）カーリー。 SSIDを非表示にします。 MACフィルタリング。 Wps

サイクルの最初の部分は habrasocietyによって非常に鮮明に歓迎されました。 前回の記事には多くの賢明なコメントが残されていましたが、心から感謝しています。 彼らが言うように、あなたがあなたの知識の欠陥を見つけたいならば、Habrに関する記事を書いてください。



この記事では、「隠された」ネットワークを検出する方法、アクセスポイントでMACフィルタリングをバイパスする方法、およびWPS（TP-LINK用語ではQSS）が「すべての家庭のバックドア」である理由について説明します。 その前に、ワイヤレスアダプターとアンテナがどのように機能し、 Kali Linux （例： Backtrack ）がワイヤレスネットワークへの侵入テストにどのように役立つかを理解します。



このすべては、何らかの形で、ここと他のリソースの両方ですでに以前に説明されていますが、このサイクルは、明確な結論で、簡単な言語で異なる理論と実践を一緒に収集することを意図しています。



それを読む前に、 材料に精通することを強くお勧めします-それは短いですが、すべての私たちのさらなる行動と結論はそれに基づいています。



目次：

1） 素材

2）カーリー。 SSIDを非表示にします。 MACフィルタリング。 Wps

3） WPA。 OpenCL / CUDA。 マッチング統計

Kali ... Kali Linux

最初の部分で現在のワイヤレスセキュリティメカニズムについて学習したので 、実際にこの知識を使用して、何か（当然、私たちのもの）をハッキングしようとします。 うまくいけば、私たちの防御は良くありません。



すべての操作は、 Kali Linux-kali.orgを使用して実行されます。 これは、以前はBacktrackと呼ばれていたDebianベースのビルドです。 このシステムに慣れるのがこれが初めての場合は、 Backtrackにあったものがすべて最新の形式であるため、すぐにKaliから始めることをお勧めします。



（読者は、 wifiway.orgなど、他の同様のアセンブリがあることを示唆しています。しかし、私はそれらを使用しませんでした。）



Windowsでは、説明されていることの多くを行うこともできますが、主な問題は、ワイヤレスアダプターのモニターモードのサポートの不足/不十分であり、パケットをキャッチするのが難しくなります。 興味深いのは、 CommViewとElcomsoftユーティリティに注意してください 。 それらはすべて特別なドライバーを必要とします。



Kaliはフラッシュドライブから使用するのに非常に便利です-Debian Wheezyから継承します （ その名前に鼻がありますか？ ）3つのモードでロードできる永続モードがあります：データを保存せずに作業（読み取り専用）、フラッシュドライブの別のセクション、いわゆる永続性、またはライブ/バニラモードで保存せずに動作する（つまり、読み取り専用で永続性のデータを使用しない-ディストリビューションの元のクリーンバージョン）。



しかし、もちろん、それをハードディスクにインストールしたい人は誰でも、ブートローダーと既に実行中のシェルの両方から簡単にこれを行うことができます。 OS（LVM）は暗号化されたパーティションをサポートします。 さらに、独自のKaliアセンブリを作成できます-パッケージの追加、ブートローダーの構成など。 これらはすべてドキュメントで詳細に説明されており、問題は発生しませんが、アセンブリには数時間かかります。



したがって、 ISOをダウンロードしてUSBフラッシュドライブに書き込んだとしましょう（* nix- dd



場合、Windowsの場合-Win32DiskImager ）。 次は？

持続モード

この記事はLinuxのマニュアルではありませんが、私自身がこのモードを起動するのに問題があったため、その操作を具体的に説明することにしました。



KaliをLive CDモードで使用することは非常に可能ですが、再起動（データと設定）の間にシステムの状態を保存できるようにする場合は、名前がpersistenceのフラッシュドライブに別個のext2-パーティションを作成する必要があります。作業中のUSBフラッシュドライブ。 パーティションが作成されたら、それをマウントし、 persistence.confという名前と次の内容を持つファイルのみを書き込みます。

 / union
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、 Kaliを起動するたびに、システムを起動するモードを指定する必要があります。 これを行うには、ブートローダーで、最初のLive (i686-pae)



アイテムLive (i686-pae)



（x64と同様Live (i686-pae)



選択してTabを押します -カーネルブート行が表示されます。 そこで、最後にスペースと負荷のタイプを追加します。

• persistence 、「完全な不変性」-パーティション上のすべてのデータをロードし、作業中に変更されたデータを保存する
• persistence persistence-read-only 、「変更を保存しない永続性」-これらは2つの単語であり、スペースで区切って両方を指定する必要があることに注意してください。最初のモードがないと、このモードは開始しません（ライブモードがあります）。 このモードでは、以前にセクションに保存されたデータがダウンロードされますが、このセッション中の変更は保存されず、シャットダウン後、配布は元の状態に戻ります

ブートのタイプを指定しない場合、システムはライブ（バニラ）モードで起動します- 永続セクションは使用されず、ロード後にマウントして変更することができます。 ライブモードでの操作中のすべてのデータと設定は保存されず、一時メモリにのみ含まれます。









起動するたびにこれらのモードを駆動しないように、独自のKaliアセンブリを作成できます（ サイトの指示を参照）-必要なモードに入ることができるブートローダー設定があり、 persistence persistence-read-only



にpersistence persistence-read-only



ロードされるように-私の意見では、これが最も必要なものをすべて最初に設定してから、各セッションを最初から開始するので便利です。

ツールを使用、ルーク

会議は終わりました、私たちは別れ、私たちは別れます。



さて、ここでターミナルに着きました。 私たちの周りの誰が超音波で輝いているのか見てみましょう。

Wi-Fiアダプターモード

ただし、最初にワイヤレスアダプタ（ネットワークカード）を「ハッカーモード」- モニターモードに移行する必要があります 。



実際、物理レベルでの各Wi-Fiアダプター、またはむしろアンテナは、範囲内のデバイスによって送信された信号を拾います。 アンテナは、無関係なパケットを「受け入れない」ことはできません。 ただし、ドライバーは3つのモードで動作できます（ 実際には6ですが、これはこの記事の範囲外です）。

1. クライアントモード （ 管理モードでもあります ）-このアダプター向けではないパケット-は破棄され、残りは「受信」としてOSに転送されます。 このモードでは、破損したパケットも破棄されます。 通常の動作モードは「ホイッスルなし」です。
2. モニタモード （ rfmonモードも）-ドライバはパケットをフィルタリングせず、アンテナが拾ったすべてをOSに転送します。 チェックサムが正しくないパケットは破棄されず 、たとえばWiresharkで見ることができます。
3. 無差別モード -モニターモードは「半分」です。 ドライバーは、現在接続されている（関連付けられている）ネットワーク内で受信したパケットをOSに送信しますが、通常モードとは異なり、このネットワークの他のクライアント宛てのパケットは破棄されません。 他のネットワークのパケットは無視されます。 これは、何らかのネットワークに正常に接続してログインできる（開いているかどうかにかかわらず）場合にのみ機能することは明らかです。 モニターとは異なり、このモードはより少ないアダプターでサポートされています。 このモードおよびクライアントモードで作業している場合、ドライバーはOSに送信されたパケットから低レベルのチャネルヘッダーを削除します。

監視モードが必要なだけです。クライアントモードでは、自分宛てのパケットを見ることに興味はありませんが、有望なモードでは、まず何らかのネットワークに接続する必要があります。 破損したパケットと802.11ヘッダーの存在は別として、モニターモードは乱雑なモードと同じである可能性があり、アダプターの大部分がサポートしています。 唯一の問題は、すべてのアダプターがモニターモードで同時にデータを送信できるわけではないことですが、私は個人的にはこれに問題はありませんでした。









上の写真では、太線は異なるモードでインターセプトするパケットを示し、破線はアンテナでキャッチされたが、選択されたモードのためにドライバーによって破棄されたパケットです。



ターミナルを開いて実行します：

 airmon-ng start wlan0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

wlan0は、アダプターデバイスの識別子です。 * nixでは、これはwlan +シリアル番号（ wlan0、wlan1、wlan2など）です。 ifconfigまたはiwconfigを実行すると、アダプター番号を確認できます（これにより、ワイヤレスアダプターデバイスとその特定の情報のみが表示されます）。



airmon-ngがメッセージを表示する場合（ mon0で (monitor mode enabled on mon0)



、アダプターは正常にモニターモードになりました。



従うコマンドでは、アダプターの識別子も示されていますが、仮想識別子はmon0 （ mon1



など）であり、元の識別子mon1



ではありません。 mon0は、モニター機能で動作するように設計されたairmon-ngによって作成されたアダプターです。



現在、このモードは（私の経験では）すべてのアダプターの80-90％でサポートされており、最も一般的なものはAtheros、Intel、TP-LINKです。 後者は、最大30ドルの交換可能なアンテナを備えた外部アダプターを生産します（私はTL-WN722NC + TL-ANT2408CLを使用しました - それに 、USBのおかげでVMwareに接続できます）。 サポートされているアダプターのリストは、 Aircrack-ng wikiにあります 。

無線チャンネル

Wi-Fiは、無線チャネルを介してデータを送信するための技術です。 つまり 、無線局と同じメカニズムを使用しないためのものです。 また、ラジオ局と同じように、1つの周波数（通常2.4 GHz）で大量のデータを送信すると、関連するものを特定することができなくなります。 これにはチャネルへの分割があります。



合計13のチャネルがありますが、13番目の最後のチャネルは不運であり 、一部の国では禁止されているため、1〜12が最もよく使用されます。 ただし、ワイヤレスアダプタにボリビア（BO）などの国を選択するか、この周波数が許可されているその他の国を選択することで、13日をオンにすることができます。 はい、よくあることですが、どのアダプターにも技術的な可能性がありますが、倫理的な好みによってブロックされています。



さらに、14番目のチャネル（日本人はいつものように区別されます）と5 GHzの周波数があり、さらに23のチャネルがあります。 一般に、2.4 GHzチャネルは部分的にオーバーラップし、さらにその幅は20および40 MHzになります。 このトピックは、さまざまなバージョンの標準が利用可能であるため、混乱を招きます。興味がある人は誰でもウィキペディアで読むことができます。 すでに言われたことは十分にあります。 これまでのところ、5 GHzはあまり使用されていませんが、以下で説明する手法はこの周波数にも適用されます。



一部のユーザーはチャネル13を使用してネットワークを隠していますが、この方法は、アダプターを目的の領域に転送するだけで十分なので、ここでは考慮していません。 例：

 ifconfig wlan0 down iw wlan0 reg set BO ifconfig wlan0 up iwconfig wlan0 channel 13
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ワイヤレスアダプタは、一度に1つのチャネルでのみデータを送受信できます。 ただし、現在のチャネルは任意に頻繁に変更できます-airodump-ngの周囲のワイヤレス伝送に関する完全な情報を取得するため（以下の広告後 ）、1秒間に数回チャネルを切り替え、遭遇するすべてをキャッチします。 これはチャネルホッピングと呼ばれます 。 これはシステムプログラムによっても行われます-たとえば、 NetworkManager



for GNOMEは、右上隅にワイヤレスネットワークのリストを表示します。



チャネルが固定されていない場合、一部のパケットが失われる可能性があります。アダプタが隣接チャネルに切り替わり、その時点で新しいパケットが前のチャネルを通過しましたが、そのアンテナはキャッチしませんでした。 これは、ハンドシェイクを傍受しようとする場合に重要です。したがって、ワイヤレスアダプタを使用し、チャネルのロックを許可しないすべてのプログラムを無効にするには、次のコマンドを使用します。

 airmon-ng check kill
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

killを使用しない場合、すべての疑わしいプロセスのリストが表示され、 killを使用するとそれらが完了します。 その後、アダプターは完全に自由に使用できます。 ワイヤレスアダプタは一般的なリソースであるため、ネットワークの簡単な概要を除き、アクションの前に上記のコマンドを実行することをお勧めします。 複数のプログラムが同時に使用できます（たとえば、 airodump-ngでネットワークのリストを取得し、同時にreaverでWPSを選択できます）が、いずれもチャネルを切り替えることができるため、開始時に修正することが重要です（通常、パラメータは-cまたは-と呼ばれます） チャンネル ）。

アンテナオーバークロック

領域の操作に加えて、 ifconfigは、デフォルトよりも高い電力でアダプターを動作させることができます。 結果はアダプターと地域のタイプに大きく依存し、長期間使用するとデバイスが破損し、一般的に鼻が焼ける可能性があるため、自己責任で使用してください。 成功すると、アンテナは弱い信号を受信できるようになります。

 ifconfig wlan0 down #       . iw reg set BO iwconfig wlan0 txpower 500mW # : iwconfig wlan0 txpower 30 ifconfig wlan0 up
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

通常の電力は15〜20 dBmです。 エラーがある場合、 Invalid argument



タイプのメッセージが表示されますが、表示されない場合があります。実行後、 iwconfigのtxpower値を確認してください。

彼らは私たちの中にいる

私たちは実施します：

 airodump-ng mon0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

airodump-ng-オンエアでパケットを収集するコマンド。 コンソールに2つのテーブルが表示されます。 見つかったワイヤレスネットワークは上部に表示され、クライアントは接続されているかどうかにかかわらず、いくつかのパケットをブロードキャストするアクティブなワイヤレスアダプター（たとえば、特定の名前のネットワークの検索）が表示されます。



ちなみに、後者は特に興味深いものです。希望するネットワークを親切に提供し、オドノクラシニキで今流行しているものを見ることができるからです。 先日、 Karmaの 記事が同主題KarasikovSergeyによってこの主題で公開されました-しかし、これはすでにこのシリーズで有害な浸透の危機にonしているため、このトピックについては触れません。 しかし、これは本当に問題であり、よく知られているものも含め、デバイスが許可なくすべてのネットワークに固執しないように注意する価値があります。アクセスポイントの信頼性はチェックされず、侵入者のネットワークにいる可能性があります。 あらゆる意味で。





しかし、私たちの波に戻りましょう。 airodump-ngの出力例を次に示します。

  CH 1 ][ Elapsed: 6 mins ][ 2014-06-06 12:45 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:18:E7:xx:xx:xx -67 108 0 0 11 54e. WPA2 CCMP PSK infolan22451 F8:1A:67:xx:xx:xx -88 132 0 0 1 54e. WPA2 CCMP PSK TP-LINK 48:5B:39:xx:xx:xx -1 0 0 0 5 -1 <length: 0> BSSID STATION PWR Rate Lost Frames Probe (not associated) 4C:B1:99:xx:xx:xx -73 0 - 1 0 66 dlink 48:5B:39:xx:xx:xx 1C:7B:21:xx:xx:xx -81 0 - 1 0 21
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

使用可能なワイヤレスネットワークがある最初の表の列：

1. BSSIDは、ワイヤレスネットワークの一意のMACアドレスです。 ネットワークカードのMACアドレスと同様に、これらはコロンで区切られた16進形式の6つの数字です。例： AA:00:BB:12:34:56
   
   
   
   他のほとんどのチームに渡されます。
2. PWR-信号強度。 これは負の数です。 0に近いほど、信号は強くなります。 通常、快適な仕事のために、この数は最大-50、ビデオ通信では最大-65、VoIPでは最大-75です。 -85未満、特に-90未満の値は、非常に弱いと見なすことができます。 この数は、送信機の出力とアダプターのアンテナゲインによって異なります（外部アダプターのゲインは0〜12 dB、外部の1-2メートル全方向性アンテナ-最大24 dB）
3. ビーコン -このアクセスポイントによって送信された「ビーコン」の数—このワイヤレスネットワークの存在、信号強度、その名前（BSSID / ESSID）およびその他の情報を近くのデバイスに通知するパケット。 接続に使用します。 デフォルトでは、アクセスポイントは通常100ミリ秒（1秒あたり10回）ごとにビーコンを送信するように設定されていますが、間隔は1秒に増やすことができます。 ビーコンが存在しないことは、ワイヤレスネットワークが存在しないことを示すものではありません。非表示モードでは、アクセスポイントはビーコンを送信しませんが、ネットワークの正確な名前がわかっている場合は接続できます。 そのようなネットワークを検出する方法について-以下。
4. #Data-このアクセスポイントから送信されたデータパケットの数。 これには、HTTPトラフィック、ARP要求、許可要求（ハンドシェイク）などがあります。 ネットワークに接続されているクライアントがない場合、または何も送信しない場合、この値は変更されず、0になる場合があります。
5. ＃/ sは、1秒あたりのデータパケット数です。 ＃このネットワークが監視された時間で割ったデータ。
6. CHはチャネル番号です。 すでに上で説明したように、Wi-Fiの利用可能な範囲全体が14チャネルに分割されています。 アクセスポイントと、それに応じて、クライアントは特定のチャネルでデータを送信し、この列は、このアクセスポイントとそのクライアントがどのチャネルに関連付けられているかを示します
7. MBは、Mbps単位の伝送速度（チャネル幅）です。 末尾のドットは、アクセスポイントが短いプリアンブルをサポートしていることを示します。 値11、54、54eを確認できます。 通常、これはあまり気にしません。
8. ENC-ワイヤレスネットワークのタイプ-OPN（オープン）、WEP、WPA、WPA2。 このパラメーターに基づいて、適切な攻撃スキームを選択します。
9. CIPHER-ハンドシェイク後のデータ暗号化のタイプ。 TKIPとCCMPがある場合があります（ 前半の概要を参照）。
10. AUTHは、一時キーを送信するための認証メカニズムです。 PSK（WPA（2）の共通パスワード認証）、MGT（RADIUSキーを備えた別のサーバーを備えたWPA（2）エンタープライズ）、OPN（オープン）のいずれかです。
11. ESSIDは、ワイヤレスネットワークの名前です。 これは、Windowsの「ワイヤレスマネージャー」に表示され、アクセスポイントの設定で指定するものです。 これはユーザー名であるため、一意ではない場合があり、すべての内部操作でBSSID（アクセスポイントのアダプターのMACアドレス）が使用され、これは単なる表示名です。

場合によっては、一部の列で数値-1を見ることができ、最後の列<length: 0>



見ることができます。 これらは、データを明確な形式でブロードキャストしないが、クライアントが正しいESSIDとパスワードを使用して明示的な接続要求を行ったときにのみ応答するワイヤレスネットワークの兆候です。また、アクセスポイントはビーコンをまったくブロードキャストせず、名前を知っているクライアントがビーコンに接続したときにのみアクティブになります。airodump-ngが十分長い時間実行されたままで、この期間に新しいクライアントが非表示のネットワークに接続すると、「非表示」ネットワークに対応する行が自動的に開かれ、チャネル番号、ESSID、および保護データが表示されます。この場合、接続の瞬間を見逃さないようにチャネルを修正する必要がある場合があります（以下を参照）。



ワイヤレスクライアントを含む2番目のテーブルの列：

1. BSSID-クライアントが接続されているアクセスポイントのMACアドレス（最初の表を参照）。（関連付けられていない）が指定されている場合、クライアントはすべてのネットワークから切断されますが、アダプターは機能しています（おそらく、使用可能なネットワークを探しています）。
2. STATION — MAC- . - , . Linux/Mac ., Windows . MAC- , , , MAC .
3. PWR — . 0, / (. ).
4. Rate — airodump-ng (. ), ( ) ().
5. ロストの私たちのシステム（クライアントではなく）が登録されていないことを、失われたパケットの数- 。送信されたパケットにはカウンターがあるため、これは簡単に計算できます。
6. フレームまたはパケット -このクライアントからキャッチしたデータパケットの数（最初の表の#Dataを参照）。
7. プローブ -クライアントが接続しようとしたワイヤレスネットワークのESSID名のリスト。周囲に表示されるネットワークではなく、クライアントが以前に接続したネットワーク、または非表示のネットワークがリストされている場合があります。これに基づいて、前述のようにKarmaのような攻撃を整理できます。

Airodump-ngの起動オプション（組み合わせることができます。詳細は以下の部分で）：

• airodump-ng -c 3 mon0
  
  
  
  — №3 — (- ).
• airodump-ng -w captures.pcap mon0
  
  
  
  — captures.pcap
  
  
  
  — offline- WEP/WPA ( ).
• airodump-ng --essid " " mon0
  
  
  
  — (/) . , .
• airodump-ng --bssid 01:02:03:AA:AA:FF mon0
  
  
  
  — MAC- (BSSID). --essid .

…

日常生活では、隠れたネットワークの検出/接続/ハッキング/奪取が非常に困難であることがよくあります（必要に応じて下線を引く）。ただし、すでに示したように、「隠された」ネットワークは、その存在に関するビーコンを1秒間に10回送信または送信しないが、空のESSIDおよびその他のフィールドを持つネットワークにすぎません。これが違いの終わりです。



クライアントがそのようなネットワークに接続するとすぐに、ESSIDとパスワードを送信します。そのようなネットワークが範囲内に存在する場合、アクセスポイントは要求に応答し、認証とデータ転送のすべての通常の手順を実行します。また、クライアントがすでに接続されている場合-アクティブなアダプターのリストに表示され、切断されます。



接続された各クライアントは、そのBSSIDによってベースステーションと通信します。これは、正確に両方のairodump-ngテーブルに表示されるものです。。クライアントをネットワークから「切断」することができます。その後、再接続する必要があります-その瞬間にairodump-ngはすべての識別子とキーでハンドシェイクをインターセプトします。または、目的のチャネルでairodump-ngを使用してラップトップの電源を数時間オンのままにして待機することもできます。ちなみに、右上隅の「検死」が成功する[ Decloak: 00:00:11:11:22:22 ]



と、アクセスポイントのBSSIDを含むフォームのメッセージが表示されます。





クライアントの切断は、すべてのワイヤレス規格で提供され、aireplay-ngを使用して行われます（私たちがすでに知っている3つのユーティリティはすべて、Aircrack-ngプロジェクトの一部であり、セット内の薄い素材を操作するためのあらゆる種類のツールが含まれています）：

 aireplay-ng wlan0 --deauth 5 -a AP_BSSID -c CLIENT_BSSID
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

警告：このコマンドは例外であり、airmon-ngを使用して作成されたmon0ではなく、実際のワイヤレスアダプターの識別子を受け入れます。起動時に、コミットされていないチャネルに関するエラーが表示されたり、右上隅にairodump-ngが表示されたりする場合、一部のプログラムまたはサービスがアダプターを強制的にチャネルからチャネルにジャンプさせます（同じairodump-ngである可能性があります）。冒頭で説明したように、ヘルプ。



[ fixed channel -1 ]



airmon-ng check kill







上記のコマンドは、アクセスポイントが古いキーが無効であることをクライアントに通知する状況をシミュレートします（ハンドシェイクを繰り返して、つまりパスワードとネットワーク名を再度転送することで更新する必要があります）。メッセージは、おそらくアクセスポイントからクライアントのアドレスに送信され、ネットワークから切断してセッションデータを更新する必要があります。このタイプのパケットは暗号化されていない（つまり、認証の前でもコマンドを実行できる）ため、送信者の「アイデンティティ」を確立できないという単純な理由で対抗することはできません。パケット内のMACアドレスは偽造され、-aおよび-cの後に渡した値。頻繁に発生する停止のみを監視し、いくつかの対策を講じることができます。--deauthの



後往復で送信される認証解除パケットの数があります。通常は3〜5で十分ですが、30以上を指定できます。簡潔に--deauth



するために、-0



（ゼロ）に置き換えることができます。



そのため、2番目のテーブルairodump-ngに次の行があるとしましょう。

 BSSID STATION PWR Rate Lost Frames Probe 4F:B1:A4:05:5C:21 5B:23:15:00:C8:57 -54 0 - 1 0 1266 homenet, XCom
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初の列は-a（基地局MAC）の値で、2番目の列は-c（クライアントMAC）の値です。airodump-ngを再起動し、チャネル5（これは攻撃されたステーションのチャネルです）で修正し、次のターミナルウィンドウでクライアントを切断します。

 airodump-ng -c5 mon0 aireplay mon0 -0 5 -a 4F:B1:A4:05:5C:21 -c 5B:23:15:00:C8:57
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

信号が十分に強い場合、パケットの数は多く、クライアント/アクセスポイントは私たちを聞いた-それらは互いに切断し、接続されたときに再びネットワークに関する情報を送信し、airodump-ngはそれらとラインを表示します[ Decloak ]



。



ご覧のとおり、非表示ビーコンを使用したこのトリックは、誰かが1日に2、3回接続するホームネットワークに使用できますが、それでも常にではありません-しかし、文字通り1つのコマンドとそれに対する保護によって明らかになるので、企業ネットワークには間違いなく機能しませんいや私の意見では、プライベートネットワークの場合でも、これは利点よりも不便である可能性が高くなります。名前を手動で入力する必要があり、ベースステーションがアクティブかどうかは不明です。



また、-c（クライアントMAC）は省略できます。アクセスポイントに代わってブロードキャストパケットが送信され、すべてのクライアントが切断されます。ただし、これは今日ほとんど機能しません-ドライバーはそのようなパケットを無視します、問題がクリーンでないと正しく信じているためです-アクセスポイントは常に誰に接続されているかを認識し、特定のクライアントに向けてパケットを送信します。

MACフィルタリング-とても簡単

ネットワークを作成した後の最初のことは、クライアントのリストを特定のMACアドレスのセットに制限することであり、パスワードは一般に役に立たないという推奨事項をよく耳にします。ただし、この制限は、秘密のネットワークが発見されるのと同じくらい簡単です。



実際、各クライアントは、ネットワークに接続されているかどうかに関係なく、パケットを送信するときにMACアドレスを明らかにします。airodump-ngテーブルでは、これらのアドレスはSTATION列に表示されます。したがって、何らかの理由でそこに到達できないネットワークを見るとすぐに（Linuxは通常Unspecified failure



接続段階でそれについて報告し、Windowsは長い間考えてから不明なエラーを報告します）、次にこのネットワークに接続しているクライアントをリストに表示します- MACアドレスを取得して、自分のMACアドレスを変更できます。結果は異なる場合があります。ノックすることさえあります。アクティブなクライアントでこれを行うと、ネットワークにクローンが表示され、クライアントは送信しなかったパケットに対する応答を受信するため、「失敗」する場合があります。その結果、ユーザーの問題について警告するかどうかにかかわらず、接続が切断されるか、動作し続ける場合があります。しかし、最良のオプションは、MACに書き込み、それが離れたときに接続することです。



Linuxでは、アダプターのMACを次のように変更できます（有線ネットワークと無線ネットワークの両方で機能します）。

 ifconfig wlan0 down ifconfig wlan0 hw ether 00:11:22:AA:AA:AA ifconfig wlan0 up
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初に、すべてのmon- interface を無効にする必要があります。獲得した置換が原因とすることができるかどうかを確認してくださいifconfig wlan0



ラインに- HWADDR MACを超えるべきです。



さらに、* nixにはmacchangerがあります。これを使用すると、ランダムなMACを自分で設定できます。init.dに入れると、ブートごとにMACが異なるため、敵は完全に困惑します（ifconfigなどの有線および無線アダプターで機能します）。

 #  MAC: macchanger -r wlan0 #  MAC: macchanger -m 11:22:33:AA:BB:CC wlan0 #  MAC: macchanger -s wlan0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Windowsでは、レジストリを操作する必要がありますが、このトピックについてはGoogleに相談することをお勧めします。（alexeywolfに代表される読者は、これを自動的に行うTMACツールを提案しています。）

おっと

私たちはすべてを正しく行い、アクセスポイントはからの63桁のパスワードで侵入不可能なWPA2-PSK-CCMPを使用し/dev/urandom



ます。これで十分ですか？WPSルーターがある場合、特に古いルーターの場合はそうではありません。









上の図は、PINコードを使用してクライアントをアクセスポイントに接続するプロセスを示しています。 PIN-8桁。通常、ルーター自体に貼り付けられます。 WPSをサポートするクライアントは、通常のWEP / WPAパスワードまたはPINを使用してネットワークに接続できます。最後のクライアントを入力すると、ネットワークパスワードが純粋な形式で受信されます。



標準によると、PINの最後の桁はチェックサムです。つまり、残りの桁に基づいて計算できます。したがって、可能なすべての組み合わせを整理する場合、10 ^7回の試行が必要になります（ベース-可能な文字数（0-9-10）、範囲-ストリングの長さ）-1,000万（約116日）、 1秒間に1つのコードを試してみると。通常、速度は数倍低くなるため、選択には1年以上かかります。



ただし、標準に誤りがあります。承認プロセスはいくつかの段階で行われます。弊社から送信されたPINが正しい場合、アクセスポイントは成功を報告します。 PINの最初の4桁が正しいが、4〜7の数字が正しくない場合、アクセスポイントはM6パケットを送信した後に通知します。最初の4桁でエラーが発生した場合は、M4パッケージの後で-を見つけます。この問題は2011年末に発見され、ここで説明されています。熱い追求で、この研究の著者はreaver-wpsを作成し、それがGoogle Codeで公開されました。また、元の脆弱性の説明文書を見つけることもできます。



したがって、PINが99741624であるとしましょう。 PINを使用して接続しようとしています9974 0000- M6パケットの送信後に許可拒否を受け取ります（コードの前半が正しいため）。 0000 1624で接続すると、M4の後に障害が発生します。



ご覧のように、主な問題は、2番目にエラーが含まれていても、コードの1つの部分の正確性について学習できることです。それは何を与えますか？今では、1000万の組み合わせの代わりに、10 ⁴ + 10 ³ = 11 000 だけを試す必要があります。これは、1週間だけでなく、15時間で行うのが現実的です。



注：最後のチェックサムはチェックサムであり、自分で計算するため、選択の数値は8ではなく7になります。したがって、選択する必要はありません。以下の例では、これは＃です。



もう一度見てみましょう。0000000＃から検索を開始します。M4の後の失敗（最初の4桁のエラー）。0001000＃に変更します。M4の後の失敗。0002000＃。M4。9974 000＃に到達します。ああ！M6の後の失敗。最初の4桁が推測されます。



次-まったく同じ。コードが半分になったら、2番目のコードを徐々に増やします。9974 001＃。失敗 9974002＃。失敗 <...> 99741624。受け入れられた



これは、Wi-Fi Unprotected Setup「Protected Wi-Fi settings」の本質です。

リーバー

そして、アクセスポイントがその職務をどれだけ忠実に果たしているかを確認します。WPSを備えたルーターがない場合- この攻撃が脅威にならないように、常に隣人をテストできます。



WPSの脆弱性を悪用するために、Kaliにはいくつかのユーティリティがありますが、私の意見では、最も明白で柔軟なのは同じ略奪者です。呼び出し構文：

 reaver -i mon0 -c 5 -b AP_BSSID -va
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さらに、以下を示すことができます。

• -m OUR_MAC-アダプターのMACアドレスを変更した場合（上記のMACフィルタリングを参照）、このパラメーターを新しい（非工場）MACで指定します。
• -e ESSID — reaver , BSSID; — ESSID , .
• -p PIN — 8- WPS, ( - ). — .
• -vv — / , M4 M6 . .

reaverは、アクセスポイントがそれらのいずれかを受け入れたことを検出するまで、11,000を超える組み合わせを繰り返します。検索速度は、信号強度/基地局までの距離に大きく依存し、1秒あたり3から30の範囲です。通常、1つのネットワークでは最大10〜15時間かかります。Reaverを



中断するにはCtrl + Cを使用します。このネットワークの現在の進行状況を保存し、再起動すると中止されたPINで開始されます。ライブモード（読み取り専用）で作業している場合は、セッションデータを永続的なメディアに書き換えてから、次回の起動時にそのメディアに書き戻すことができます。このフォルダには、ビュー名と内部で検索されるすべての番号のリストを含むテキストファイルが含まれています（最初の行は、再起動時に検索を開始するPIN行番号です）。/etc/reaver/



AP_MAC.wpc







2年前、彼らはHabréでのWPS についてだけでなく、書いたので、より多くの情報を見つけるのは簡単です。



（mailbrush はまた、カリにあり、同様のタスクを実行するbullyに注意を払うことを勧めました。）

どうする

現在のところ、唯一のオプションはWPSを無効にすることです。あなたまたはあなたの友人がネットワークを「セットアップ」するのが困難な場合（これは信じがたいことです）-新しいデバイスを接続したときにのみWPSをオンにしてください。確かに、一般的にすべてのルーター/ファームウェアがこの機会を与えるわけではありませんが、私がこのように見えなかったら、私は別のものに行っていただろう。



しかし、すべてがそれほど悪いわけではありません。新しいファームウェアは、レート制限を使用した選択の可能性を制限します-許可の試行が数回失敗すると、WPSは自動的に無効になります。一部のモデルでは、短い時間内に失敗した入力が行われた場合でも、シャットダウン時間がさらに長くなります。ただし、特定のケースで徹底的なチェックを行った後にのみこれに頼ることができます-シャットダウン時間が短いか十分に長くならないことが判明する可能性があります-11,000の組み合わせは非常に小さく、1分に1回の試行でも範囲全体を使用する最大8日間。同時に、PINはネットワークパスワードとは別に変更されるため、PINの検索を複雑にすることなく、PINを何度でも更新できます。



ところで、Webでは、ルーターを強制的に再起動するエクスプロイトを使用して、ロックを時間通りにバイパスする実験を見つけることができます-もちろん、WPSタイムアウトはリセットされ、選択を再び続けることができます。したがって、「WPSに対する保護」に頼るべきではありません。

ネットワーク列挙

最後に、略奪者に代わるものについての永遠についてのいくつかの言葉。reaverは、BSSIDパラメーターとして渡したネットワークを攻撃しようとしますが、WPSをサポートしていない可能性があります。この場合、プログラムはハングアップし、30分後にネットワークが見つからなかったことを報告します。郡内のどのネットワークがWPSをサポートしているかを確認するには、いくつかの方法があります。



Waiting for beacon...

• airodump-ng WPS , , ( )
• wash -i mon0 WPS-enabled , , Ctrl+C . , , WPS, (. rate limiting )
• iwlist wlan0 scan , WPS
• wifite — ; , , . : WPS

また、非常に多くの人に愛さあり運命（Macintosh用とアナログ- KisMAC）が、私の意見では、それはあまりにも空想です。どちらにもGPSが統合されており、広いエリアでネットワークを探索する（ワードライビング）場合に役立ちます。



それはすべて、侵入の不正行為方法です。 3番目の部分は、ネットワークに接続したときにクライアントハンドシェイクを傍受し、CPUとGPUを使用してWPAのパスワードを選択することです（2）。記事の校正に関する有益なコメントについては、同志chem_uaに



感謝します。グラフはgliffy.comで作成されました。いつものように、ケースについてのコメントは大歓迎です。内容：1）材料2）













カーリー SSIDを非表示にします。MACフィルタリング。WPS

3） WPA。OpenCL / CUDA。マッチング統計