破解静态WEP KEY全过程

破解静态WEP KEY全过程

广州卓讯盟科技有限公司 黄超毅

Email:huangchaoyi@gzpia.com/demonalex@dark2s.org

发现

首先通过NetStumbler确认客户端已在某AP的覆盖区内，并通过AP信号的参数进行‘踩点’（数据搜集）。

NetStumbler 下载地址 http://www.netstumbler.com/downloads/

通过上图的红色框框部分内容确定该SSID名为demonalex的AP为802.11b类型设备，Encryption属性为‘已加密’，根据802.11b所支持的算法标准，该算法确定为WEP。有一点需要注意：NetStumbler对任何有使用加密算法的STA[802.11无线站点]都会在Encryption属性上标识为WEP算法，如上图中SSID为gzpia的AP使用的加密算法是WPA2-AES。

 

破解

下载Win32版AirCrack程序集---WinAirCrackPack工具包（下载地址：http://www.demonalex.net/download/wireless/aircrack/WinAircrackPack.zip）。解压缩后得到一个大概4MB的目录，其中包括六个EXE文件：

aircrack.exe           原WIN32版aircrack程序

airdecap.exe           WEP/WPA解码程序

airodump.exe          数据帧捕捉程序

Updater.exe           WIN32版aircrack的升级程序

WinAircrack.exe       WIN32版aircrack图形前端

wzcook.exe           本地无线网卡缓存中的WEPKEY记录程序

我们本次实验的目的是通过捕捉适当的数据帧进行IV（初始化向量）暴力破解得到WEP KEY，因此只需要使用airodump.exe（捕捉数据帧用）与WinAircrack.exe（破解WEP KEY用）两个程序就可以了。

首先打开ariodump.exe程序，按照下述操作：

首先程序会提示本机目前存在的所有无线网卡接口，并要求你输入需要捕捉数据帧的无线网卡接口编号，在这里我选择使用支持通用驱动的BUFFALO WNIC---编号‘26’；然后程序要求你输入该WNIC的芯片类型，目前大多国际通用芯片都是使用‘HermesI/Realtek’子集的，因此选择‘o’；然后需要输入要捕捉的信号所处的频道，我们需要捕捉的AP所处的频道为‘6’；提示输入捕捉数据帧后存在的文件名及其位置，若不写绝对路径则文件默认存在在winaircrack的安装目录下，以.cap结尾，我在上例中使用的是‘last’；最后winaircrack提示：‘是否只写入/记录IV[初始化向量]到cap文件中去？’，我在这里选择‘否/n’；确定以上步骤后程序开始捕捉数据包。

下面的过程就是漫长的等待了，直至上表中‘Packets’列的总数为300000时即可满足实验要求。根据实验的经验所得：当该AP的通信数据流量极度频繁、数据流量极大时，‘Packets’所对应的数值增长的加速度越大。当程序运行至满足‘Packets’=300000的要求时按Ctrl+C结束该进程。

此时你会发现在winaircrack的安装目录下将生成last.cap与last.txt两个文件。其中last.cap为通用嗅探器数据包记录文件类型，可以使用ethereal程序打开查看相关信息；last.txt为此次嗅探任务最终的统计数据（使用‘记事本/notepad’打开last.txt后得出下图）。

下面破解工作主要是针对last.cap进行。首先执行WinAirCrack.exe文件：

单击上图红色框框部分的文件夹按钮，弹出*.cap选定对话框，选择last.cap文件，然后通过点击右方的‘Wep’按钮切换主界面至WEP破解选项界面：

选择‘Key size’为64（目前大多数用户都是使用这个长度的WEP KEY，因此这一步骤完全是靠猜测选定该值），最后单击主界面右下方的‘Aircrack the key…’按钮，此时将弹出一个内嵌在cmd.exe下运行的进程对话框，并在提示得出WEP KEY：

利用

打开无线网卡的连接参数设置窗口，设置参数为：

SSID：demonalex

频道：6

WEP KEY：1111122222（64位）

OK，现在可以享受连入别人WLAN的乐趣了。

 

附参考文章：

 

【无线网路安全篇】
这两年来，ADSL与Cable不断地削价竞争带动了全民宽带的热潮，当年「宽带」还是个新名词，更是各大媒体争相报导的主题，但今日看来再平常不过了。宽带的使用人口数已迈入疲缓成长的阶段，有需求的人都已安装，而观望的人仍观望，在这个看似饱和的市场中，业界与消费者都期盼新技术或新应用能激起新的需求浪花。于是「无线网路」便肩负起再造市场需求的责任。

注重生活品质和工作效率的现代人，不断运用科技改进信息设备的便利性与实用性，设备「无线化」已大势所趋，从无线鼠标键盘到笔记型计算机，现在这股无线风潮已延烧到网路设备上。

1999年，IEEE提出802.11无线局域网标准(Wireless Local Area Networks)，WLAN因此诞生，愿景是让PC、NB或PDA等行动装置，以无线的方式登入网路，传输介值从有形的网路线，转变为无形的空气，就如同听广播或收看卫星节目般自然。WLAN目前适合用来建构非大型的局域网，例如家中、小型办公室、图书馆等，或是公众点(Hot Spot)。理论上一台基地台可支持254台计算机使用，但真正的实际值约16-32台，过多的计算机会使流量激增导致Crash，这也是无线区网不适合大规模建置的原因。

相较于传统的有线网路，无线局域网节省了布线的成本，能更快速的架构起网路环境，对于用户来说则大幅增加了行动力与便利性。

但「水能载舟亦能覆舟」，网路无线化带来了使用上的便利性，却也带来了安全上的隐忧。对企业来说，e化已经引爆出许多信息安全问题，从红色警戒到布雷斯特，瘫痪主机、塞爆网路、工作延宕……，企业已饱尝「科技副作用」，不得不钜资投入信息安全的善后与预防工作，因此若安全问题仍与无线网路形影不离，那么企业也只能观望再观望。

WEP不够安全

传输介质从有形的网路线变成无形的空气，对于经常越权存取数据与窃听他人沟通行为的骇客来说实是件容易的事。消费者在采购无线网路设备时，一定有看过或听过WEP加密机制，产品的彩盒上也都会注明支持64或128bit的WEP加密（目前是面上每款产品最少都支持64位元WEP），当然，矽统科技所开发的SiS160、SiS162与SiS 163无线网路芯片也支持WEP加密。WEP安全协定的英文全名为wired equivalent privacy protocol，是由Wi-Fi联盟制定，预期提供一个跟使用有线网路一样的安全等级。

无线网路十分的方便，理论上WEP也可以保护无线网路的私密性，另外也可防止未经授权就存取无线网路。但是事实上，无线网路在安全性上确实有欠缺考量的地方，使得有心人士能非法存取无线网路上传输的数据；另一方面，有心人士也可能使用您的无线网路为非作歹，而您就成为了代罪羔羊。

2001年八月，两位以色列魏兹曼研究所的专家与一位思科公司的研究员，在多伦多的密码会议中公布破解加密技术的结果。这三位解密专家利用装置无线网路卡的笔记型计算机，成功窃取网路中的一小部分数据，在不到一小时内即破解用户密码。此外，AT&T实验室的研究员也号称可以同样的方法成功破解密码。目前网路上到处都可找到破解WEP的工具。很难想像经过各界专家研究公布的WEP会是如此薄弱，无怪乎消费者对无线网路裹足不前。无疑的，安全性是目前无线区域发路在发展上的一大重要问题，如何克服用户对于安全性的考量是当前刻不容缓的当务之急。

为何WEP能轻易被破解？这是因为WEP使用的加密法RC4有著技术本质上的问题，加上WEP后天的缺陷使得WEP变得薄弱不已。WEP加密的原理与过程大致如下：RC4一开始使用40bits的WEP key和24bits的乱数产生一个签章(Initialization Vector)来加密每个封包的数据，由于每个封包都经过加密，所以就算有心人士撷取了封包，也会因为没有WEP key而无法解读原始数据。

但问题是签章中的乱数数字长度只有24 bits，也就是2*24次方可能的值，所以当2*24次方的值都用完时，同样的签章又会在封包中重复产生，也就是说，有心人士只要窃取足够的封包，就一定可以比对出WEP Key，进而将加密后的数据还原成明码。

WPA标准替无线网路增添安全性

Wi-Fi联盟公布Wi-Fi Protected Access（WPA）无线通讯新安全标准，无线网路厂商纷纷表示支持，为提高无线网路安全性，核心逻辑芯片组领导厂商矽统科技不遗馀力，抢先在市场上推出支持WPA的802.11b无线网路芯片SiS 160与SiS162，SiS163亦全面支持WPA 2.0及802.11i的802.11g。

WPA的出现能有效解决过去WEP轻易遭破解的问题，坚定一般消费者市场的信心，并预期能带动部分企业用户市场使用无线网路的意愿，尤其若对行动网路有较大需求时(如会客室、会议室、展览室等网路布建)，相信支持WPA的SiS 162/SiS163能满足传输速度、稳定性、安全性等各层面的需求。

WPA是即将推出的802.11i标准技术的其中一部分，2002年由Wi-Fi联盟公布。以下是Wi-Fi用来解释WPA意义的简单公式，这个简单的公式说明了WPA的组成架构以及每个基本元素。

WPA=TKIP+MIC+802.1X+EAP

在这个公式中，802.1x和延伸认证协定（EAP）是WPA的认证机制。无线局域网的用户都必须提出身份证明，经过对照查核数据库证实为合法用户后，才能使用无线局域网，每个要登入网路的人都必须经过这样的认证过程。在企业中，数据库的验证工作则通常有专责服务器来完成。不过为了简化使用方式，让所有WLAN的用户都方便使用，所以WPA提供了一个不需额外设备的简易认证方式，称为预先公用金钥，只需在每个WLAN的无线基地台无线网路卡网桥等输入单一密码，当密码相符合，Client端便会被视为合法用户，并获得WLAN的存取权限，对用户来说就如同Windows「登入网域」般自然。

刚刚提到WEP最主要的问题，在于加密机制本身的缺点(RC4)，使得封包中的金钥过于相似，当然，WPA针对加密机制加以补强，公式中的TKIP和MIC便是在在WPA里便扮演著强化加密的角色。

请主动捍卫信息安全
由于WLAN具有易安装，以及提供企业内部随处存取企业资源的上网能力等特性，因此使用数量日益增加；但令人惊讶的是，绝大多数的企业却未启动无线 安全功能！

即便无线网路安全芯片已支持WEP、WPA，但通常设备出厂默认值是不启动的，因此要请读者特别注意，一定要「主动」捍卫自己的无线网路信息安全，将WEP和WPA启动，此外，千万要记得更改出厂默认的SSID值，最好是不容易猜到的字串，更不可以把SSID当作密码来设定，只是在作业上可能会稍微麻烦，因为当基地台的SSID更改时，所有使用该SSID的装置也得跟著修改。另外，用户也可用实体的方式来保护信息安全，例如在建筑内装设遮蔽讯号的装置，让建筑以外的人无法接收到无线讯号。

对高度重视信息安全的企业、政府机关或是军事单位来说，可以采取额外的机制来保护信息安全，例如在WLAN上架设VPN。透过VPN建立的安全通道来传输数据，能确保企业内部数据在网际网路上传输时的隐密性，不过VPN无法保证企业内部区网的安全性，因为只要是WLAN的合法IP就有使用网路的权限，因此VPN的重点在于IP管理。

当然，若能从VPN到防毒、防骇都作全盘的建置，便可期望达到滴水不漏的信息安全，但对广大消费者而言，VPN不是个经济实惠又方便的解决方案，此时采购支持WPA及802.1x安全规格的产品才是最经济实惠且有效的解决方式(例如SiS162/SiS163)，因为WPA及802.1x能对所有要使用WLAN的用户作身份认证，确认为合法用户后才可进行链接，有效遏止非法人士的入侵，而且无须加装硬件设备，在使用上更轻松容易。

 

 

无线局域网概念介绍

 

无线局域网的英文简称是WLAN（Wirel Local Area Network)，国内目前使用最多是802.11a/b/g。

频道(Channel)
802.11g可兼容802.11b，二者都使用了2.4G微波频段，最多可以使用14个频道(Channel)。各国的规定的2.4G频率范围略有不同，在中国802.11b/g可以使用1-11频道，在同一区域可以有3个互不干扰的频道。家用微波炉也在这一频率范围会对信号有影响。蓝牙也在2.4G内，但蓝牙功率很小因此不会有大的影响。802.11a使用了5G无线频段，在同一区域可以有12个频道，一些高端的迅驰网卡支持802.11a。

带宽(bandwith)
802.11b: 11M,5.5M,2M,1M
802.11g: 54M,48M,36M,24M,18M,12M,9M,6M
802.11a: 54M,20M,6M

AP(Acess Point)
无线接入点，是一种网络设备，无线网卡与AP相连，通过AP与其它网卡交换信号，AP通常还有RJ-45以太网口用以与有线网相连。简单地说AP就象一个Hub。

Infrastructure
基础架构通讯方式，无线网卡通过AP进行无线通讯。

Ad-Hoc
一种无线网络通讯方式，各个网卡不经过AP直接进行点对点的通讯，当使用人比较少又没有AP但仍然想通过无线方式交互信息时可以用Ad-hoc方式应急。

SSID(System Set ID)
SSID用来区分不同的网络，最多可以有32个字符，如我们用的wep.net.sjtu。网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。

WEP(Wired Equivalent Privacy)有线等效保密
为了保证数据能通过无线网络安全传输而制定的一个加密标准，使用了共享秘钥RC4加密算法，密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。使用静态(Static)WEP加密可以设置4个WEP Key，使用动态（Dynamic）WEP加密时，WEP Key会随时间变化而变化。

开放式与共享式验证(open or shared Authentication)
无线设备之间认证的模式，通常使用静态WEP加密时使用共享方式，使用802.1x动态WEP加密时使用开放认证方式。

WPA(Wi-Fi Protected Access)
Wi-Fi联盟制定的过渡性无线网络安全标准，相当于802.11i的精简版，使用了TKIP(Temporal Key Integrity Protocal)数据加密技术，虽然仍使用RC4加密算法，但使用了动态会话密钥。TKIP引入了4个新算法：48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code,MIC)以及密钥重获/分发。WPA极大提高了无线网络数据传输的安全性但还没有一劳永逸地解决解决无线网络的安全性问题，因此厂商采纳的积极性似乎不高。目前Windows XP SP1可以支持WPA。

802.1x认证
静态WEP秘钥难于管理，改变秘钥时要通知所有人，如果有一个地方泄漏了秘钥就无安全性可言，而且静态WEP加密有严重的安全漏洞，通过无线侦听在收到一定数量的数据后就可以破解得到WEP秘钥。802.1x最初用于有线以态网的认证接入，防止非法用户使用网络，后来人们发现802.1x用以无线网可以较好地解决无线网络的安全接入。802.1x 的EAP-TLS通过数字证书实现了用户与网络之间的双向认证，即可以防止非法用户使用网络，也可以防止用户连入非法的AP。802.1x使用动态WEP加密防止WEP Key被破解。为解决数字证书的发放难题人们对TLS认证进行了改进产生了TTLS和PEAP，可以用传统的用户名口令方式认证入网。我校无线网络的802.1x可以同时支持EAP-TLS，TTLS和PEAP。

WAPI(WLAN Authentication and Privacy Infrastructure)无线局域网认证与保密基础架构
中国提出的一个无线网络通讯的安全标准，国标代号GB15629.11。

Wi-Fi
是Wi-Fi联盟(Wi-Fi Alliance)的标记，参看http://www.wi-fi.org。Wi-Fi联盟是1999年成立的非盈利性的国际组织，致力于基于802.11的无线网络产品的互通性认证。目前拥有200家会员单位。