无线渗透必备工具之战争驾驶下网卡与天线和蜂窝数据卡和GPS

网卡

1.发射功率

发射(Transmit，TX)功率当然是指你的网卡可以把数据传送到多远的距离，单位通常是毫瓦(mW)。大多数“客户级”(consumer-level)的无线网卡的发射功率是30毫瓦(+14.8dBm，单位全称是 decibel milliwatts)。“专业级”(professional-grade)的基于 Atheros 的无线网卡，在 UbiquiLi系统中的发射功率是300毫瓦(+24.8dBm)。Alfa的AWUS306H 无线网络目前握有十足的发射功率金牌，据称提供1000毫瓦(+30dBm)的功率。虽然发射功率很重要，但随便指定一张无线网卡，不要忘记它是与灵敏度参数息息相关的。

2.灵敏度

很多人判断一张无线网卡的优劣，往往只重点关注发射功率，而忽视网卡的灵敏度，这种看法是很肤浅的。假如有一张发射功率很大，但灵敏度很小的网卡，虽然能够将数据发送到很远的距离，但由于发射功率和灵敏度明显不匹配，最终这块网卡有可能无法接收对方的回复。人们经常会忽略灵敏度，是因为无线网卡的广告中，较少会强调这个参数的重要性。如果你能找到一个网卡的产品性能参数表，表上应该会列出灵敏度，该值通常也是以dBm为单位的。不过该值一般是负值，并且在测量灵敏度的时候，除去负号后的数字越大，灵敏度越好(如灵敏度为-90dBm的就比灵敏度为-86dBm的要好)。
一般“客户级”的无线网卡的灵敏度的标准值是-80~-90dBm。“专业级”的高端网卡则可能到达-93~-97dBm的灵敏度。

每增加3dBm的变化代表灵敏度加倍，比如信号源和测量的一方正在相向移动;每减少3dBm的变化代表灵敏度减半，比如信号源和测量的一方正在背向移动。

如果你发现需要把mW毫瓦转换成 dBm，不要害怕。dBm 功率恰巧是以 10为底的毫瓦功率的对数的10倍。公式是:10xlog10(mW)=dBm，或mW=10dBm/10。

发射功率是指网卡将无线信号传输到远距离的能力，单位通常是毫瓦（mW）或分贝毫瓦（dBm）。而灵敏度则表示网卡接收信号的能力，单位也是 dBm，但是灵敏度的数值是负值。灵敏度数值越大，表示接收信号的能力越好。

3.天线的支持

决定购买哪种网卡，最后要考虑的一项就是天线对网卡的支持。什么样的天线能够支持你的网卡?你需要先由天线开始考虑吗?如果你的工作职责就是确保公司的无线网络安全或者是对公司的无线网络安全进行审计，那你一定得想有一个或两个相当好的天线，这样才能精确地测量到你公司的信号泄漏到外边有多远。

目前，你的无线网卡上，通常会有0个、1个或2个天线插孔。如前所述，802.11n卡由于支持“多输人多输出”(MIMO)模式，所以你的网卡至少需要再安装两个外置天线(即使你的笔记本电脑中已经内置了一个无线网卡)。无线网卡与天线卡之间起连接作用的缆线连接器被称为“小辫子”(pigtail)。在这里，小辫子的作用仅仅是在卡上的任意插孔和连接天线上的任意插孔之间起到连接的作用。使用USB接口的外置无线网卡的好处之一，就是几乎所有的插座都无一例外地使用了相同的接口，该接口称为“反极性SMA”接口(reversepolarity SubMiniature versionA,RP-SMA)
幸运的是，大多数天线与一个特定的连接器相连。这个连接器称为“N型连接器(N-type connector)。特别需要说明的是，天线端通常是母头的“N型连接器”。这种标准的连接器接口意味着朋友间可以互借天线，而不用担心因为线缆接口和天线接口不是同一类型而无法使用。其他天线连接器类型也不是没有，所以在你假定天线有一个N型连接器之前一定要检查一下。表详细列出不同连接器的类型，以及其生产商的名称。

天线

市场上有不少各式各样的遵从802.11标准的天线。如果你之前从来没有购买或看到过款，那么，与天线相关的术语可能就会让你找不着北。所以在开始之前，需要学习一些基本术语。“全向天线”(omnidirectional antenna)是一种在所有方向上都能够发送和接收无线信号的天线。“定向天线”(directional antenna)是一种可以将信号集中于某一个特定的方向进行发送和接收无线信号的天线。两种类型的天线在不同情况下各有各的用武之地。
如果你以前从未使用过天线，千万不要抱着“最贵、最大的就是最好”的思想，初次去买的时候，逢大个的就买，最后只能是“只买贵的，不买对的”收场。相反，一个便宜的'磁性底座天线”( magnetic-mount omnidirectional antenna)就可以收到相当不错的效果，而其售价只要20或30美元。如果可行，先从懂行的朋友那里借个天线试试手，也不失为一个好办法，至少你可以知道，当前借到的这个天线还需要再增加点什么功能就可以满足自己的需要了，借此你也可以估算一下你心目中的天线大概需要花多少钱了。如果你有机械和电气方面的爱好，可以用一些易拉罐自助创建一个便宜的波导天线(waveguide antenna)，造价仅为几美元。这些摇摇晃晃的自制土天线，其接收效果却并不见得差，互联网上随处可以看到这类故事，你的天线也可以达到很好的效果。这需要你在车库里花上数小时，造出一个什么也看不出来，但却有一个带洞的罐和一个带奇怪的辐射模式的1dBi或 2dBi的增益的天线。当然，如果你感觉这个小爱好还算有趣，那么你不妨在网上找找，必定能找到很多这样的 DIY指南。
天线好坏的判断指标是“天线灵敏度”，它的单位是dBi(decibelisotropic，各向同性上的功率对比)。最后是一个关于天线灵敏度比较的提示:“天线灵敏度”就是天线指标的一个对比值，但不要随意进行两个 dBi数值大小的比较，因为这样可能会误导你对它们的直观印象。究其原因，是因为“天线灵敏度”每增加3dBi，天线的有效功率覆盖范围就会加倍。也就是说12dBi的天线的功率是9dBi的天线功率的两倍

1.基本部件

有相当多不同类型的天线，甚至有些博士论文通篇都是论证如何用不同的技术改进其性能的。当然，本节不会讨论这类内容，本节的目的是为读者提供一些实用的知识，帮助读者选择正确的天线，最后完成手边所要做的工作。
天线既不是变戏法，也不会向你的信号中注人魔幻的力量，而是将无线网卡正在产生的信号集中起来，并准确地发出去，或者接收来自外部的信号。可以想象一下，你的网卡产生的信号覆盖范围，其形状像一个三维球体(确切地说不是球体，但是先这么假定)。首先我们想象一下一个细管的喷泉，当喷口垂直向上，水压适中时，水会经由喷口向四周散开，形成一个类似没柄的苹果把儿处的形状，如果下面也对称想象成这样的形状，那么现在无线网卡产生的信号覆盖范围就是这样的一个形状，基于这个三维模型的想象，全向天线的工作原理基本上就是在这样一个竖放的“苹果”，可以增大发射功能，这个苹果不是等比例地扩大，而是由于电磁力的相互作用，两极的磁力相互抵消改变不大，但四周的范围却被扩大，这时的“苹果”被压扁，变成一个圆形的矮胖“大南瓜”平放在地面上的形状，这时，原本属于“大南瓜”上面和下面的垂直方向的能量被“压”到“大南瓜”侧面水平方向上的范围内，从而增加了这一区域的功率，所以这样在水平方向上的信号传得更远，但垂直方向上却达不到原来那么远。更重要的是，全向天线的增益越高，这个“大南瓜”的形状就越扁平。定向天线以同样的方式工作，只不过它将信号集中在一个方向发送，而在另一个相反的方向上接收信号。要记住一个重要特点:无论是哪种天线，信号发射的功率值一直是保持不变的，但信号发出的功率范围却是可以变化的，而所能变化的，只是天线的功率覆盖范围的形状。如果仍使用上述比喻，那就是“大南瓜”内的发射器功率是个恒定的常量，但“大南瓜”的厚度是可以变的，越接近于原来的球体，水平方向上“大南瓜”能到达的区域越小;反之,“大南瓜”越扁，水平方向上能达到的区域越大。
如前所述，全向天线的功率覆盖范围近似接近于“大南瓜”的形状，由于实施了变形所以扩大了原来的功率发射范围。如果你想开着车，借助于天线在街上寻找无线网络，那么全向天线可能是该工作的最佳工具。不过，在某些情况下，如果你希望能够更精确地调整信号，那么换用一个定向天线则会非常方便。试想一下，如果将全向天线中的“大南瓜”进行垂直中轴的等分，那么分后的每一个“扇形饼”就是一个定向天线的功率覆盖范围的形状其中“扇形饼”两个切边的夹角称为“波東宽度”(beamwidth)，定向天线比普通定向天线的波束宽度要小。这一点不难理解，夹角内的总功率是一定的，夹角越小，则“扇形饼”向远处延伸的范围越大。如果夹角足够小，那么全向天线中将“大南瓜”进行“压扁”的操作也是多余的，进而定向天线就简化为一个“锥体”的形状(试想一下夜晚打开手电筒，光柱所形成的形状)，这时，“波束宽度”越小，发射能量就越集中，发射的范围就越远(例如，我们在大声喊远处的人的时候，有时会用双手在嘴边形成一个喇叭状，以使声音能传得更远)。不过，“波束宽度”也有缺点，那就是很难瞄准对方。

2.天线特性

每一个无线黑客至少需要一个全向天线。全向天线基本上有两种类型:9~12dBi的“基站天线”( base-station antenna)和5~ 9dBi增益的“磁性底座天线”(magnetic-mountantenna)。“磁性底座天线”的设计原理是利用磁性直接吸附在汽车的顶部,“基站天线”的设计是可以直接插入到一个AP接人点设备中。
“基站天线”通常外套一个白色PVC管,，长度是30或48英寸。长度越长，增益越高，并且价格越贵。当“战争驾驶”时，从“可接收性”(reception)上来说，尽管增益较低，“磁性底座天线”一般比“基站天线”接收更好些，这一点不难理解，汽车本身就是一个大铁盒子，对无线信号具有很强的屏蔽作用，所以在汽车里边，接收效果无疑会差很多。不过，如果你想在办公楼里使用全向天线，12dBi增益的“基站天线”效果明显更好。
接下来说一下各种“定向天线”。到目前为止，最流行的是廉价的波导天线(有时称为Cantenna“，不妨称为“手工易拉罐天线”)。一个典型的“手工易拉罐天线”可以获得12dBi的增益。相比波导天线的平均性能上有较大提升的是“八木天线”(Yagi)。增益为15和18dBi的“八木天线”很容易找到，但它们往往比波导天线明显贵很多。

3.全向天线

“全向天线”通常是用磁性底座将天线吸附在一辆汽车的车顶。这些天线一般配置比较低，不引人注目，增益通常是5~9dBi范围内，价格为20~40美元。对于喜欢“战争驾驶的黑客来说，一个基本的“磁性底座全向天线”是必备的。

4.定向天线

波导天线

俗称“手工易拉罐天线”(Cantenna)，一般都比其他的定向天线便宜，并且有大约 30度左右的“波束宽度”(beamwidth)和15dBi的增益范围。虽然比起专业天线商品这种天线在执行任务的时候并不完全理想，但这种形式的天线可以很容易地由成套的模块半
成品或零配件制作手工组装完成。

板状天线(panelantenna)

通常有13~19dBi的增益，和35~17度的“波束宽度”。“波束宽度”越小，意味着增益值越大。这些天线一般售价都在30美元~50美元之间。对喜欢“渗透测试”攻击的黑客来说，板状天线是个不错的选择，究其原因，板状天线的面板是一个平板，相比于其他的定向天线，更容易隐藏。

八木天线(yagi antenna)

通常可以有30度的“波束宽度”和15~2ldBi的增益。当大多数人想到“长相很吓人”的天线时，可能就会想到八木天线。

抛物面天线(parabolic antenna)

可以提供最大的增益和最窄的“波束宽度”。一个标准的抛物面天线具有 24dBi的增益和5度的极窄的“波束宽度”。“波東宽度”这么窄，就意味着很难“瞄准”目标，换句话说，就是在安装这种天线的时候，为了进行两点间“点对点(point-to-point)的回程线路(backhaul)测试，所以必须进行很专业的安装。

5.射频放大器

如果在你的系统里添加一个射频放大器(或双工放大器的发送模式)，那么这将大大增加系统的发射范围。如果再增加一个接收放大器(或双工放大器的接收模式)，也将同样大大提高天线的接收灵敏度。不过，缺点是，放大器(amplifer)在放大信号的同时，也放大了信号噪音。因此，我们会建议先使用“定向天线”收发信号，然后再使用放大器放大信号。如果还是觉得放大的效果不够，或者如果你已打算好不惜花上数百元来改进无线设备，那么下面就是要记住的基本思路。
任何在市面上能见到的802.11放大器都是双向收发的，这意味着系统可以在需要发送的时候自动切换到发射模式，而在有数据到达时自动切换到接收模式。在802.11的Wi-Fi无线网络通信中，一个只有发送功能或只有接收功能的放大器是没有用处的。放大器的另一个重要特征是它的增益控制(gain control)，一般放大器具有固定增益型、可变增益型或自动控制增益型三种。可变增益型放大器因为增益效果可变，因而使用灵活;固定增益型放大器的成本更低;自动控制增益型放大器则有智能，可以将放大器的发射功率始终保持在一个设定的值上，也就是说，你不必担心输入端现在提供的是多大功率，因为放大器会“多增少降”进而使之平衡在所需要的功率点上。如果你打算从上述三种型号中选择一种，那么建议使用一个自动控制型增益放大器。RFLinx 2400SA是一个不错的自动控制型增益放大器，适合于那些从事802.11无线网络攻击的黑客们。

蜂窝数据卡

在通过“战争驾驶”模式采集无线信号的时候，蜂窝数据卡(cellulardatacard)是必不可少的。有了这些卡，你就可以在采集数据的同时，实时下载地图和GoogleEarth(谷歌地球)上的实时地理图像，还能从互联网上下载预先忘了下载的任何软件工具。令人惊讶的是这些卡大部分都在Linux操作系统上有较好的表现。从操作系统的角度来看，系统会把这些卡作为一个串行设备(serial device)，该设备与操作系统之间通过基本的 AT指令集进行通信。你几乎可以将该设备看作是一个拨号连接时使用的调制解调器。如果你正在考虑购买一个蜂窝数据卡，那么在订购之前，你需要先核查一下所要购买的蜂窝数据卡是否支持你的无线网络系统所需要的那些特定模式。比如AT&T公司的蜂窝数据卡不支持 Linux操作，所以你也别指望该公司的技术支持来帮助你解决因他们公司蜂窝数据卡而引起的 Linux的问题。通常情况下，大多数中国华为公司的蜂窝数据卡(Huawei card)可以很好地运行在 Linux操作系统上。

GPS

许多基于802.11协议的扫描工具都可以使用“全球定位系统”(GlobalPositioningSystem，GPS)接收器。这意味着，扫描软件可以把从GPS接收器读到的经度和纬度与一个给定的AP接人点关联起来。对于GPS接收器，一个可喜的地方在于几乎所有可以连接到计算机的接收器都使用统一的通信协议，这个通信协议被称为“美国国家海洋电子协会(National Marine Electronics Association，NMEA)标准协议，简称“NMEA协议”。只要你有一个可以使用NMEA协议的GPS设备，那么它可能就会在你的操作系统上很好地工作。

1.鼠标式和手持式接收器的对比

GPS接收器有两个系列:一种是鼠标式，另一种是手持式。鼠标式GPS接收器是一种后面拖出长长连线的 GPS接收器，因为像鼠标，所以有了这样的名称。鼠标式GPS接收器本身不能单独使用，只能跟别的设备联合起来使用。比如与笔记本电脑或PDA一起使用。有些鼠标式GPS接收器是防雨的，这种设计无疑是可以将它贴附到汽车的车顶上。其他的设计也有在车内使用的。通常情况下，鼠标式的GPS接收器都使用USB接口，不过，也有使用其他连接方式(比如蓝牙通信)的。不推荐使用蓝牙通信的GPS接收器，因为蓝牙也工作在 2.4GHz的范围内，当你进行“战争驾驶”操作的同时，蓝牙的无线信号会干扰天线的工作。
如果你已经有了一个GPS接收器，先插到电脑上，看看你的操作系统是否能认出这个设备，只有认出设备才有继续的可能。在不同的操作系统上，完成这一识别动作的操作方式差别很大，下面分别说明。在Linux系统上，在计算机上插入该设备后，还应该通过dmesg命令检查一下输出信息，运气好的话，你会看到一个“/dev/tyUSB0”列表项弹出，这就意味着Linux操作系统识别到这个设备了，否则的话，就说明该设备不支持Linux。在OSX操作系统上，用户几乎肯定需要安装一个“USB转串口”的转换器驱动程序，否则不能识别。在Windows操作系统上，即使用户拥有并安装好所有必需的驱动程序，可能还需要运行一款名为GPSGate的软件，然后应用程序才能从这款GPS接收器中实时接收 GPS信息。GPSGate之所以可以帮助应用软件和设备进行交互操作，是因为程序的作用是创建一个虚拟串口，然后将该GPS接收器所用的USB口或蓝牙口数据转到这个虚拟串口上，这样使用GPS 数据的应用程序只需要同这个虚拟的串口进行通信就行了。如果你还没有GPS接收器，并且正在寻找合适的GPS接收器，以便满足你想购置一套精良“战争驾驶”行头的念头，那么推荐使用 GlobalSat 公司的BU-353。这款 GPS接收器的“USB转串口”接口使用的是Prolifc公司的p12303芯片组，具有可靠的跨平台的支持特性(注意:Windows8除外)。这种鼠标式GPS接收器还支持“广域增强系统”( Wide AreaAugmentation System，WAAS°)，从而可以显著提高 GPS坐标的准确度，大约 35 美元就可以买到。本书后面与GPS坐标有关内容基本上都是使用BU-353作为例子的。

2.Linux 上的 GPS

在 Linux操作系统上，GPS接收器基本上就是一个串行设备。如果你有一个Garmin公司的 USB 接口GPS接收器，那么你就需要使用 garmin_gps驱动程序。如果你的 GPS 接收器采用的是Prolifc公司的p12303芯片组的BU-353设备，那么在Linux操作系统上，该设备的驱动程序使用相同的名称。
如果你的GPS接收器不能正常工作，那么你需要卸载并重新加载“USB转串口”转换器的内核模块(kermelmodule)。这个操作可以通过下面的命令来完成。
#modproberpl2303(or garmin usb)

#modprobe pl2303(or garmin usb)

#dmesgtail-n 100
假设上面的编译操作完成，那么在“/dev”目录中，应该会看到有某种“字符设备(character device)了(例如“/dev/ttyUSB0”)，这意味着，驱动程序已安装成功，之后就可以从该设备上读取到GPS设备的信息。
这个时候，即使你已顺利完成驱动程序的加载操作，并且设备也开始正常工作，但是其实你也只是保证了设备正常地接入到Linux操作系统中，要读取GPS信息，还需要有两步操作步骤。第一步是运行gpsd程序，该程序是一个GPS读取的守护进程，其作用是将GPS信息读取到内存中，而当有应用程序向它提出请求时，它又会把GPS信息给这个应用程序。这样做的优点很明显，那就是多个不同的应用程序都可以按各自的节奏随意向它请求当前的GPS 信息。出于调试目的，你只需要运行“gpsd-D2-n-N /dev/ttyUSB0”命令即可。如果系统开始按“国家海洋电子协会”的NMEA协议的格式的GPS提示信息开始滚动(由于数据太多，所以只能滚动显示)，说明当前gpsd正处于良好状态。如果你仅仅是拿到GPS信息即可，那么 gpsd的滚动信息就可以直接读到，但要结合具体的应用，就还需要运行执行上面提到两个操作步骤中的第二步，第二步操作就是运行使用GPS信息的应用程序，由于gpsd的存在，这些程序都可以独立地，不受任何影响地，各自同时从gpsd处获得当前的GPS信息。一个方便的实用工具名叫“cgps”(即curses gps)。在Linux的命令行中，不需要带任何参数，只要运行cgps，该程序就会自动连接到上面提到的gpsd运行实例上，并开始显示当前的所有 GPS 信息

3.Windows 上的GPS

在 Windows7操作系统中,“设备管理器”(Device Manager)会自动检测硬件的变动，并加载正确的驱动程序，以及给该驱动程序分配合适的串口(COMport)。不幸的是，即使在Windows7上运行很好的驱动程序，在过渡到Windows8之后，驱动程序中也明文规定禁用BU-353芯片。这个时候，Windows8的用户(也许叫“受害者”更合适)要想使用这个芯片，只能安装一个旧版本的驱动程序以便作为一个替代方案。在Windows8中，BU-353驱动程序的主文件有两个，其中ser2pl.sys用于32位Windows8中,ser2pl64.sys用于64 位的 Windows 8中替代方案详细的方法在网上可以找到。图1-12显示了一个在64位Windows8.1操作系统中BU-353驱动的详细信息，注意其中ser2pl64.sys的版本是一个较早的版本号 3.3.2.102

4.Macs 上的GPS

默认情况下，对基于p12303芯片组的“USB转串口”转换器的驱动程序，OSX操作系统并没有提供过滤产品。但是在该芯片生产商Proli6c公司(“旺玖科技”)的主页(http://www.prolifc.com.tw/)上可以很容易找到这样一条信息，那就是在安装p12303的驱动程序以后，插入BU-353设备，系统会创建一个新设备“/dev:”。
[macbookpro]$ ls -l /dev/tty.usbserial*

crw-rw-rw-1root wheel 18 , 16 Mar 4 18:39 /dev/tty.usbserial
KisMAC知道如何与此设备进行通信。该程序是一款运行在OSX操作系统上流行的被动式扫描器名称。