第1章 无线黑客的多项选择

1.1 开场：一些已经发生和正在发生的

通常情况下，目前绝大多数文献及资料中提及的无线安全都属于狭义无线安全范畴，主要对象仅为WLAN、Bluetooth等，但作为广义无线安全而言，包括的就不仅仅是WiFi、蓝牙，还包括3G、RFID、WiMax等多个方面的技术和协议等内容。在本书正式章节内容开始之前，先让我们来了解一下当前环境下已经发生和正在发生的⋯⋯

1.1.1 国内运营商的无线部署现状

1．来自3G的迫切需求

随着移动通信的发展，特别是3G网络及业务的推出，无线宽带市场得到了很好的培育，比如用户可以通过中国电信无线宽带客户端软件，选择无线宽带（WLAN）或无线宽带（3G）或无线宽带（1X）网络接入方式上网。而随着庞大的移动宽带用户需求，特别是高带宽的业务需求，更使得WLAN被视作可以实现与3G标准无缝链接的利器。根据资料显示，截至2009年底中国移动已经完成采购WLAN热点10.8万个，其中胖AP约1.8万个，瘦AP约9.06万个，计划新建WLAN热点11万个左右；而中国电信目前在全国有超过10万个WiFi热点；中国联通WLAN热点建设虽然落后于中国电信和中国移动，但在2009年也加快了部署速度。

目前，三大基础运营商在WLAN领域抢占热点区域的同时，也在挖掘已有用户资源。

· 中国电信

中国电信将天翼手机定义为“互联网手机”，通过CDMA+Wi-Fi的方式实现无线上网用户最佳体验，并把WLAN与已有的家庭宽带结合，用户只需开通“天翼通”业务，就可以用笔记本电脑、台式机或PDA在居室中的任何地方享受无线上网冲浪以及网上证券、远程教育或视频点播等网络服务。

· 中国联通

中国联通则依靠覆盖全国的高速骨干网络和各个城市丰富的城域网络资源，建立了覆盖全国主要城市热点地区的WLAN网络，推出了无线宽带互联网接入服务——无限伴旅（MobileOffice）。用户可通过内置WLAN无线模块的终端（如PC、PDA、手机等）或终端+WLAN网卡的方式获得中国联通的互联网接入服务和数据通信服务。

中国联通还可以为客户提供ADSL+WLAN、LAN+WLAN等组合宽带接入方式，用户不仅可以在家中上网，还可以在中国联通布网的商务酒店、休闲中心等公共区域实现Internet接入。

· 中国移动

中国移动TD-SCDMA+Wi-Fi是其2009年的战略重点之一。中国移动面向商务人士、集团客户推出“随e行”无线上网服务，在中国移动WLAN网络覆盖地区，用户的笔记本电脑、PDA等移动终端在配备WLAN上网卡时，就可通过WLAN方式高速接入互联网/企业网，在WLAN覆盖不到的地区则通过GPRS网络访问移动互联网。

2．无线城市进行时

2008年，中国WLAN市场保持了稳步增长势头，主要得益于电信重组政策的颁布、顺利贯彻落实，中国无线城市建设如火如荼地开展，运营商对WLAN网络的积极部署，国内自主品牌设备商积极运作以及产业链各方的良性竞争。

从产品角度看，中国WLAN市场的产品和解决方案正在走向更高层标准化、智能化，并具有更高的安全性能。随着WAPI标准在全球得到更加广泛、深入的认同和接纳的同时，越来越多符合WAPI标准的无线产品正在走向市场，投入使用。当然，无线城市建设不单单是WLAN技术，还涵盖了WiMax、Mesh等更多适合大规模部署的技术，不过鉴于最近几年国外一些无线城市陆续传来或悲或喜的发展结局，所以目前国内的无线城市建设仍处于一边摸索一边完善的阶段。不过随着3G网络的发展，相信在2010年无线城市建设将进入到一个跃升阶段。

3．新的主角：手机支付

进入2009年，随着3G的到来以及手机支付技术地不断成熟，移动支付变得更加便利。因此，银行以及运营商都加快了拓展手机业务的步伐。在巨大的市场面前，中国移动、中国电信、中国联通三家的手机支付业务，都已进入了试点商用阶段。全球调查结果显示，利用手机和短距离无线传输技术付款的“非接触式”移动支付服务也将在今后几年内迅速发展。

所谓“非接触式”移动支付指通过手机和读卡器等设备间的无线数据传输完成支付交易，这使手机具有银行卡的功能。其中，利用RFID技术进行手机移动支付是现阶段国内较为可行和现实的选择。那么“手机支付”要大规模发展，安全问题是首当其冲的，而网络安全却是一个不断出现新情况的复杂问题，如何应对这个问题，不仅仅是争取用户信心的问题，而且关系到整个产业的健康发展，此外，和网络安全问题紧密相连的就是个人隐私问题，隐私问题也许能用技术手段加以限制，但要真正解决，其复杂程度远远超出了技术的范畴。

正如一个国外的媒体所说：无线空间是今后欺诈者最大的机会，主要原因之一在于许多人仍然只把电话看做通信设备，而不是他们作为必须要加以信息安全保护的设备。

1.1.2 威胁来自何方

1．无线蹭网卡

自无线网络开始普及后，WiFi功能目前已经几乎成为笔记本电脑的标准配备。而所谓蹭网卡其实就是一块大功率的USB无线网卡，将这张“无线网卡”插在电脑上，会自动搜索邻居的无线网络，然后破解他的安全密码，强行“共享”他的无线网络。这就如强行蹭饭一样，所以这种网卡被叫做蹭网卡。

蹭网卡破解无线网络密码其实就是对该无线网络中传输的数据进行“抓包（数据流量包）”分析，然后暴力破解无线网络的密码，抓包越多，破解的速度也就越快。通过破解WiFi密码，不仅可能使电信运营商的用户流量和费用被盗取。更严重的是通过截获无线数据，还可以以此分析出用户的网银、邮件等其他数据。对于试图通过无线宽带出奇制胜的电信运营商来说，蹭网卡的出现证明了此前对于WiFi技术安全性的怀疑，更使中国电信巨资布设的WiFi热点遭遇威胁。而对于正试图大力发展手机支付，而又以WiFi“随e行”为重要补充的中国移动来说，无疑也是威胁重重。如图1-1所示为市面上常见的无线“蹭网卡”外形。

图1-1

随着“蹭网卡”的泛滥，中国电信方面也想出了解决的方法，虽然电信方面没有透露如何解决WiFi的安全性问题，但是根据中国电信已在泉州等地开展WAPI试验网，以及此前的无线设备招标中，中国电信亦要求所有的WLAN设备必须兼容WAPI标准，可以联想到WAPI将会在抵御“蹭网卡”方面起到关键作用。但即使如此，面对国内运营商部署的庞大WLAN热点数量，普通民众在短期内仍将遭受到“蹭网卡”的威胁。

2．RFID威胁

早在2003年，国内外诸如Blackhat、Defcon、Shmoon、Xcon等大型黑客及安全类会议中，就已经出现了针对WiFi、RFID等无线领域的安全隐患探讨。而最早发布破解WEP、WPA等无线加密攻击工具的也正是这些会议现场，甚至关于目前国内正在逐渐升温的RFID无线射频应用的安全及攻击技术，也在过去数年中得以快速地发展。

比如2008年，美国联邦法官甚至曾下令，禁止三名麻省理工学院（MIT）学生在Defcon黑客大会上示范如何骇入波士顿地铁系统使用的智能票卡。这三名学生原定在拉斯维加斯的Defcon黑客会议上示范“完全破解CharlieCard的几次攻击”。这种无线射频识别（RFID）卡是波士顿地铁T线目前使用的票卡，学生们还计划发布他们制作的关于此卡的Hacking软件。

虽然美国联邦地方法官下令，这些学生不得提供“得以协助他人以任何实质方法回避，或以其他方式攻击该系统安全的程序、资讯、软件代码或指令。”但法院的禁止令可能无济于事，因为登记参加Defcon的会众，早在法院裁决的两天前就拿到一片包含这次示范详细内容的光碟。在该光盘中详细地说明了如何复制和假造波士顿的地铁卡，其中甚至还提到，地铁的主管单位管理松散、毫无门禁可言，缺乏实际的安全防护。

令人遗憾的是，根据国内的发展现状以及技术表现，目前正在使用的诸如单位RFID身份识别卡、地铁RFID乘车卡、手机支付用RFID卡的安全性设计，比起国外很多较为成熟的城市和地区而言，仍然存在着一些差距。虽然说基础性设施建设及安全性设计上，仍然需要时间等诸多方面的考验，但是就目前已公开和未公开的RFID安全/Hacking资料显示，当前国内的RFID安全状况确实并不乐观，甚至已经有安全人员及黑客们找到了攻击、伪造、欺骗RFID行之有效的方法，只是鉴于当前大环境的约束下仅进行小范围的传播。但对于政府机构、保密单位、公共交通部门、运营商等采用RFID较多的部门而言，若不采取有效的措施或者防御性的尝试，相信很快将在黑色产业链中出现这么一个极具犯罪价值的分支领域。

3．移动终端自身面临的威胁

（1）智能手机安全

先来看看这样几个新闻。

2009年8月，中国移动正式发布自主研发OMS手机操作系统的Ophone手机，联想、戴尔、多普达等20余家手机厂商宣布了对Ophone的支持。OMS其内核为Linux，并基于以Google为代表的Android开放源代码基础上修改而成。

2010年2月，据透露，中国电信也在酝酿推出自己的手机操作系统，“可能也是在Android系统上进行开发”。这也是中国电信在推出移动品牌“天翼”后，对移动业务做出的又一举措。

2010年3月，中国联通董事长常小兵表示，中国联通手机终端会采用谷歌Android操作系统，同时推出具有WiFi功能的苹果iPhone手机。

2010年3月29日，由中国移动定制的两款黑莓手机（型号为8310和8910）在工信部电信设备认证中心网站上出现，业内预计这两款手机即将在中国市场上市，不过中国移动只提供针对企业集团的黑莓网络服务，并需要客户具备自有的企业邮件服务器，再由中国移动提供代理网关及安装。

⋯⋯

由以上可以看到，随着业务的扩展，运营商正在积极地策划发布新的手机平台，比如中国移动发布自主研发OMS手机操作系统的Ophone手机，其正是基于以Google为代表的Android开放源代码基础上修改而成的。而中国电信和联通也在酝酿在Android系统上开发自己的手机系统。同时正逐步引进国际上更具影响力的手机品牌，比如黑莓等。但是这些手机系统当中，或多或少都存在着一些可能导致严重问题的漏洞，这就对运营商的处理能力有了更高的考验。如表1-1所示仅为部分较为主要的手机系统及存在的第三方程序漏洞，由此可以看到目前国内的手机终端正在面临的安全隐患和风险。

表1-1 部分手机OS及第三方程序漏洞

（2）联发科的隐患

2008年至2009年，对于中国而言无疑是“山寨之年”，山寨手机以狂风扫落叶之势冲击手机市场，这些山寨手机绝大多数恰恰使用的是联发科的芯片。因此，联发科的手机芯片平台牵涉到绝大多数山寨机用户，甚至一度被誉为“山寨之父”。根据公开资料显示，2007年联发科年手机芯片片出货量高达1.5亿颗，全球市场占有率近14%。除了部分正规品牌手机使用联发科手机芯片，估计使用其芯片的山寨手机一年达上亿部。由此可见当年“联发科短信”事件造成的影响有多么深远。

遗憾的是，不光如此，仅根据笔者所在的ZerOne Security Team（ZerOne无线安全团队）及个人的研究和测试显示，目前国内采用联发科芯片的众多山寨手机在蓝牙、无线等硬件环境上仍然存在着较多的安全问题，个别的甚至存在比较严重的安全漏洞。如图1-2所示为某款采用联发科芯片的山寨智能手机，可以被攻击者从远程通过蓝牙非法侵入，并在不惊动用户的情况下，使用该手机拨打电话、查看及发送短信、查看电话簿信息等。图中的电话号码列表正是通过遍历获取的，并显示出指定的短信编码。具体内容请参考本书第9章。

图1-2

由于攻击者已经获得了该手机的全部控制权，更是可以依此做出更多严重的危害，比如拨打恶意声讯台诈取高额话费、骚扰他人、伪造短信骗取钱财、伪造身份等。

4．WLAN的不稳定因素

WiFi是无线互联协议WLAN中普及范围最广的技术联盟。不过在2002年前就有人对其安全性产生质疑，指出WEP加密由于其计算方法上的漏洞，可能遭遇暴力破解。其原理大致是，在WiFi发送的数据包中，每达到一定量级就会出现重复，但累计重复的报文到一定数值就可以直接破解出WEP加密密码。而WPA/WPA2加密也同样存在破解的风险，尤其是对于一些使用较为简单密码组合的无线网络来说。

此外，理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。若这些WLAN无线接入点的安全措施不够严密，则完全有可能被窃听、浏览甚至深入到内部网络。为了便于理解和参考，下面将目前针对WLAN的常见攻击和渗透技术整理成如图1-3所示的内容。其中，包含了针对无线网络的密码破解、欺骗、无线DOS、Wardriving等攻击内容。

图1-3

尤其是一些在机场、酒店等地部署的隶属于无线城市建设规划的无线热点，其面临的安全风险将导致更为严重的问题。如图1-4、图1-5所示，由于现行设计体系的问题，任何一个攻击者都可以在机场破解出当前的无线热点密码，从而不但可以连接至该无线热点进行深入攻击，还可以拦截、窃听、伪造、破坏通过该热点的全部无线网络数据。

图1-4

图1-5

除此之外，若该热点位于较为密集的商业区域或者繁华地段，如图1-6所示，带有目的的攻击者还可以通过RF阻塞攻击来将连接至该运营商无线热点的移动设备用户全部“踢”下线，从而造成无线基站工作不稳定、间接导致3G网络中断等状况发生。由于WLAN的告警及定位技术的缺乏，相对于灵活的攻击者而言，运营商及维护厂商将很难找到攻击源，也很难彻底有效地杜绝此类攻击。

图1-6

1.1.3 现实的面纱

1．针对WAPI设备的攻击

让我们回顾一下，2009年6月，在日本召开的会议上，WAPI获得包括美、英、法等十余个与会国家成员体的一致同意，将以独立文本形式推进为国际标准。由此，WAPI也成为无线计算机网络通信无线局域网技术领域除IEEE标准组织之外，唯一由ISO/IEC国家成员体（中国）直接提交的国际标准提案，成为又一个中国拥有自主知识产权标准的代表。

经过近十年的发展，国产无线网络安全标准WAPI已经在国内的多个重大项目中实施和应用，比如北京奥运会上WAPI无线系统的成功应用。所以在2009年，移动、电信、联通三家电信运营商在WLAN设备招标采购中也明确规定入选产品必须要支持国产WAPI安全标准。而在中国移动公布的2009年无线宽带网络（WLAN）设备招标结果中，支持WAPI的设备总体份额占到九成以上。我国无线宽带标准WAPI大规模应用正在运营商的推动下变成现实。如图1-7和图1-8所示为几款支持WAPI加密的无线网络设备。

图1-7

图1-8

就目前而言，WAPI的加密强度确实可以满足大规模部署的需求，但是尽管无法和WiFi无线网络一样通过对关键数据包的拦截来进行密码破解，WAPI仍面临着其他角度的安全威胁。举一个简单的实测例子。

若攻击者能够接入已部署WAPI设备所在的网络环境，就可以通过简单的会话劫持攻击获得该无线设备的管理员会话，一旦成功，攻击者将直接访问数据备份页面，来将当前全部的配置导出。比如访问如下地址。

如图1-9所示，该页面为数据备份页面，在此页面中攻击者可以轻松地将当前AP的配置文件下载。配置文件中包含了大量的敏感信息，尤其在工业AP中更是如此，对于本次测试的对象——某大型运营商内部全面部署的某厂商WAPI无线网络节点设备（瘦AP）也同样如此。

图1-9

一般到这里，攻击者的目的已经达到，他们已经可以通过对配置文件的详细分析，获取到诸如管理员密码、无线配置密码等内容。对于该已部署在某运营商内部的无线网络设备而言，厂商在设计时已经考虑了诸多的安全问题，比如在配置文件中默认管理员admin的密码就不再是明文或者简单的base64加密，而是采用了SHA256这样的强化算法。如图1-10所示黑框部分，在passwd.conf配置文件中，“passwd=”后面不再是密码明文，而是经过SHA256运算过的SHA256 Hash值，即常说的SHA256哈希值。

图1-10

不过除了暴力破解外，思维灵活的攻击者们不一定会去破解其内容，只需要将新的密码通过SHA256算法得出对应的Hash，直接将原配置文件覆盖即可。关于无线网络设备攻防的内容请参看本书第4章。

除此之外，由于WAPI是为运营级的电信运营商设计开发的。而电信运营商对基站工作的切换、漫游等都需要精确的时间控制，因此时钟同步问题对于移动通信的重要性不言而喻。而WAPI恰恰是为全国漫游的无线网络准备的，对于时间的精准性有着较高的要求。所以一旦AP里内置的时间同步服务器地址不正确，WAPI客户端就会出现无法连接的提示。换句话说就是NTP服务的重要性将在WAPI的部署中尤其体现。

虽然，在测试时只需要把NTP地址换成中国国家授时中心的IP地址，并设置AP自动从互联网上获取时间即可避免一些明显的问题。但作为恶意的攻击者而言，完全可以通过发送伪造的NTP服务器信息或者攻击区域NTP服务器的方式，来干扰甚至破坏正常的WAPI通信。若没有更为高级的NTP验证方式存在，这也将成为攻击WAPI的一个方向。

2．无线厂商的为难之处

（1）终端设备防护仍主要以杀毒为主，防火墙为辅

众所周知，目前国内手机病毒正呈上升趋势，愈演愈烈。而由于智能手机的特殊性，可以预见，其在未来几年内的传播速度与危害程度将远大于PC上的病毒。试想如果某病毒依附于某些祝福类短信，随着短信传入数以亿计的手机用户，再由手机传入整个无线或有线网络，其后果可想而知。不过之前由于手机系统的开放性不如PC，病毒制造者对其认识的程度较低，病毒种类还比较少，并且目前还没有制造出足以引起人们重视的案例，因此还没有引起用户和部分杀毒厂商的重视。

在过去的数年间，国内的各大杀毒软件厂商都推出了针对智能手机终端的杀毒软件，以应对市场的需要。手机杀毒软件的出现，意味着厂商也开始侧重对智能手机单机防护理念的理解和实现，个别厂商已经打出了将杀毒软件和防火墙结合在一起的手机防护软件合集。但随着手机系统开发环境的逐步完善和公开，再加上无线网络的发展以及相关的应用，比如手机支付等业务的日益丰富，未来的手机杀毒需求也将会更加复杂、对安全的要求也将愈加强烈。如图1-11、图1-12和图1-13所示为几款市面上较为流行的手机杀毒软件。

图1-11

图1-12

图1-13

但仍显遗憾的是，目前市面上主要的手机版杀毒软件，虽然都可以通过WAP信息查看最新的手机病毒、蠕虫、木马等有害程序信息，不过很明显的是绝大部分软件仍然过分照搬了其在PC端的杀毒模式，没有充分考虑手机安全领域的特性。比如最新的安全资讯通告、手机系统补丁自动检测与升级等。所以，针对发展迅猛的移动业务而言，仍有相当一段时间，手机终端用户仍面临着“裸奔”的风险。

（2）对无线设备无严格安全规范依据

正如本文前几节所提及的WAPI无线设备安全规范的问题，相信无线厂商也曾做过这方面的努力，但是收效颇微。据悉，之前国内成立的WAPI测试实验室是WAPI标准和相关扩展协议、规范、指导性技术文件的研究、测试单位。但是在安全分析、风险分析、（软硬件）漏洞发掘等角度，仍然缺乏一个明确的指导方向和定义。尤其是对目前国内厂商生产的WAPI无线设备安全性测评上，既没有较为全面及权威的方案和标准依据，也没有强势安全厂商的介入和合作，这也就间接导致了可能存在较多采用非正常手段绕过WAPI验证的技术存在。相信类似的安全问题将会在WAPI设备大规模部署使用后逐步呈现出来，也将会对新移动业务产生较大影响。

1.1.4 看似遥远，实则可期

2010年是飞速发展的一年，随着3G的普及，如何确保现有业务和增值服务快速、稳定的推广和发展，是运营商考虑的重点。那么，难以避免的安全性问题，若处理不当或者未做规划与准备，也将成为制约发展的瓶颈。不过，无线网络的各级组织和单位都已经在针对无线安全做着积极的努力。

2009年8月，笔者在华南某运营商无线安全软课题的研究项目中，围绕特定的应用模式，从无线网络的接入、认证、组网结构，一直到协议层面都进行了较为全面的分析，取得了多项研究成果，为以后无线网的大规模部署把了一次安全的关。

而说到WAPI，纵然还存在可被攻击的风险点，但相对于既有的无线网来说，安全的门槛已经提高了很多。那么对于运营商来说，如何提升无线网络安全防护的门槛呢？相信这是一个不小的挑战。2009年底笔者曾在西北某省运营商的安全评估项目中，展开对无线网络安全的安全评估工作。并在经过大量的设备测试和实验论证后，初步设计出《无线网络节点设备安全配置规范》，其中包含5大方面27个分支38个安全配置点，完全满足目前已部署的802.11无线网络和正在部署的WAPI认证无线网络安全需求，为目前日益发展的无线网络基本安全防护提供了依据和参考。

回想起2009年在北京举行的中国软件安全峰会上，在我做完“手机终端设备安全”演讲后，与同为演讲者的来自运营商研究院的专家就终端设备交流时，对方也表达出目前运营商在移动终端设备安全、手机支付安全上的探索和迫切需求，将投入重点力量进行安全研究。

可以看到，无线网络中可能还存在诸多的安全风险，但通过多部门、多方面的携手努力，在未来的数年里，定会有力地促进无线安全的发展和完善，也会为无线城市的发展提供更为安全的无线应用环境。也希望本书能在其中起到一定的参考及辅助作用。

接下来，为了方便理解本书的正式内容，让我们从实际应用技术角度上，对过去数年内无线安全/Hacking技术做一个回顾。

1.2 主流无线攻击技术回顾

回顾2006年到2009年间的无线安全及攻击技术，经历了最早的研究、尝试、工具生成、私下传播到网站论坛的公开讨论等数个步骤，其中绝大多数内容都已经被国内外大量的无线黑客们所掌握。那么，本书作为《无线网络安全攻防实战》一书的延续，并不会用过多的篇幅讲述这些早已在2007年及2008年《无线网络安全攻防实战》一书中详细阐述的内容，但为了后面章节的理解，本节中将先对这些主流的无线攻击技术进行简单的回顾。

1.2.1 攻击WEP加密无线网络

由于无线WEP加密本身多个算法的脆弱性，使得该类型加密早已失去了其原本安全设计的意义。早在2007年，笔者就已经将详细的破解操作文章发表并被国内大量的网站、论坛及刊物引用。但遗憾的是，即使这样，直到目前，国内仍然有50%以上的无线用户在使用WEP加密。下面简要回顾一下目前针对有客户端环境和无客户端环境下破解WEP的几类方法，并将重点的步骤进行说明。在开始之前先回顾一下有客户端和无客户端环境的区别。

一般当前无线网络中存在活动的无线客户端，即有用户通过无线连接到无线AP上并正在进行上网等操作时，这样的环境称之为有客户端环境。而所谓无客户端环境指这样三种情况：一是当前无线网络中存在已连接的无线客户端，但该无线客户端没有进行上网等网络操作，处于几乎没有无线流量的状态；二是当前无线网络中没有任何无线客户端，但当前有用户通过有线方式连接至该无线路由器，并通过该无线路由器进行上网等操作；三是当前无线路由器上没有任何用户连接，无论有线无线。其中第三种情况在仅通过无线网络的情况下是几乎不可能进行破解的。

1．注入攻击（有客户端环境）

由于WEP破解基于有效数据报文的积累，也就是常提到的IVS。当收集到足够数量的IVS数据报文后，Aircrack-ng就能够进行破解。虽然说依靠单纯的等待也能够抓取足够数量的报文，但如何提高数据包的捕获速度也是无线黑客们考虑的重点。作为目前最为广泛使用的无线WEP攻击中，主要采用的就是通过回注数据报文来刺激AP做出响应，从而来达到增大无线数据流量的目的。

就以最为广泛使用的Aircrack-ng工具为例，下面将破解WEP的标准步骤列举，然后将其中最关键的步骤予以详细说明。如表1-2所示wlan0为无线网卡名称，mon0为处于激活状态下的无线网卡名称。

表1-2 破解WEP的标准步骤

其中，较为关键的几个步骤如下：

在激活无线网卡后，就可以开启无线数据包抓包工具，这里使用Aircrack-ng套装里的airmon-ng工具来实现，不过在正式抓包之前，一般都是先进行预探测，来获取当前无线网络概况，包括AP的SSID、MAC地址、工作频道、无线客户端MAC及数量等。只需打开一个Shell，输入具体命令如下：

        airodump-ng  mon0

在看到预攻击的目标，比如这里为SSID名为TP-LINK的无线路由器，接下来输入命令如下：

        airodump-ng  --ivs  -w longas  -c  6  wlan0

参数解释：

--ivs这里的设置是通过设置过滤，不再将所有无线数据保存，而只是保存可用于破解的IVS数据报文，这样可以有效地缩减保存的数据包大小，若不使用该参数则自动保存为.cap文件；

· -c这里设置目标AP的工作频道，一般通过预探测获知目标无线路由器工作频道，这里就是6；

· -w后跟要保存的文件名，这里w就是“write”，是“写”的意思，这里就写为longas。需要注意的是：这里虽然设置保存的文件名是longas，但是生成的文件却不是longase.ivs，而是longas-01.ivs。这是因为airodump-ng这款工具为了方便后面破解时调用，所以对保存文件按顺序编了号。以此类推，在进行第二次攻击时，若使用同样文件名longas保存的话，就会生成名为longas-02.ivs的文件。

按下Enter键后，就可以看到如图1-14所示的界面，airodump-ng开始抓取无线数据包。

图1-14

若连接着该无线路由器/AP的无线客户端正在进行大流量的交互，比如使用迅雷、电驴进行大文件下载等，则依靠单纯的抓包就可以破解出WEP密码。但是无线黑客们觉得这样的等待有时候显得过于漫长，于是就采用了一种称之为“ARP Request”的方式来读取ARP请求报文，并伪造报文再次重发出去，以便刺激AP产生更多的数据包，从而加快破解过程，这种方法就称之为ArpRequest注入攻击。具体输入命令如下：

        aireplay-ng  -3  -b  AP的mac   -h  客户端的mac  mon0

参数解释：

· -3指采用ARPRequesr注入攻击模式；

· -b后跟AP的MAC地址，这里就是前面探测到的SSID为TPLINK的AP的MAC；

· -h后跟客户端的MAC地址，也就是前面探测到的有效无线客户端的MAC；

最后跟上无线网卡的名称，这里就是mon0啦。

按Enter键后将会看到如图1-15所示的读取无线数据报文，从中获取ARP报文的情况出现。等待片刻之后，一旦成功截获到ARP请求报文，将会看到如图1-15所示的大量ARP报文快速交互的情况出现。

图1-15

此时回到airodump-ng的界面查看，如图1-16所示可以看到，作为TP-LINK的packets栏的数字在飞速递增。

图1-16

在抓取的无线数据报文达到了一定数量后，一般都是指IVs值达到2万以上时，就可以开始破解，若不能成功就等待数据报文的继续抓取，然后多试几次。注意，此处不需要将进行注入攻击的Shell关闭，而是另外开一个Shell进行同步破解。输入命令如下：

        aircrack-ng  捕获的ivs文件

关于IVs的值数量，可以从如图1-17所示的界面中看到，当前已经接受到的IVs已经达到了1万5千以上。那么经过很短时间的破解后，就可以看到图中出现“KEY FOUND”的提示，紧跟后面的是16进制形式，再后面的ASCII部分就是密码啦，此时便可以使用该密码来连接目标AP了。一般来说，破解64位的WEP至少需要1万IVs以上，但若是要确保破解的成功，应捕获尽可能多的IVs数据。比如图1-18所示的高强度复杂密码破解成功依赖于8万多捕获的IVs。

图1-17

图1-18

注意： 对于捕获的多个数据包可以一并使用，只要在载入文件时使用longas*.cap即可，这里的星号指代所有前缀一致的文件，如longas-01.cap、longas-02.cap等。尤其是对于一些采用较为复杂组合的WEP密码（如图1-18所示），捕获多个Cap文件，然后导入一起来破解是件很常见的事情。

2．ChopChop攻击（无客户端环境）

ChopChop攻击属于无客户端破解攻击方式的一种，专门针对当前无线网络中不存在无线客户端连接或者仅存在少量无线客户端连接的情况，可以使用Aircrack-ng无线破解工具套装实现。不过下面就直接使用破解WEP常用到的图形化傻瓜式工具SpoonWEP2来实现。

SpoonWEP2是一款工作在Linux下图形界面自动化WEP破解软件，是由ShamanVirtuel基于Aircrack-ng的源代码编写的。它能够在黑客们指定工作的无线网卡后，自动进行WEP注入式攻击，并会在软件的右侧显示当前获取的WEP数据流中关键的IV值数量，在达到破解所需的数量后，会自动调用aircrack-ng破解程序进行WEP加密破解。需要强调的是，这款工具需要使用者先安装或者升级Java支持环境。

下面看看具体的使用方法，一样地，会对较为重要的步骤予以详细解释说明。

和前面讲到WEP破解一样要进行预先探测，来获取当前无线网络概况，包括AP的SSID、MAC地址、工作频道、无线客户端MAC及数量等。

接下来，打开SpoonWEP2工具，选择上方的“ATTACK PANEL”即攻击面板标签，在界面中间设置攻击方式及无线客户端MAC。这里选择为“CHOPCHOP & FORGE ATTACK”即之前所说的注入攻击方式。然后在“Inj Rate”处设定发包速率，可以设置为600以上，这里就直接设置为1000。

然后在中间的Victim Mac处设定预攻击的AP的MAC地址，由于是在无客户端破解模式下，所以Client Attack处是不可以填写的。确认无误，单击左上角的“LAUNCH”即可开始攻击，如图1-19所示。

图1-19

在单击“LAUNCH”后，在SPOONWEP2的一侧也将出现一个airodump-ng的Shell调用界面，在此shell中，能看到当前的AP及合法的客户端的无线报文交互情况。

在等待一会儿后，可以清楚地看到IVS的快速增长，如图1-20所示。

图1-20

在捕获了足够数量的无线数据报文后，SpoonWEP2将自动破解出WEP密码。如图1-21所示，在工具界面的下栏出现的“WEP Key：【5A：65：72：4F：6E：65：53：65：63：54：65：61：6D】”即为目标AP所使用的WEP密码。

图1-21

把上面显示的WEP Key复制到前面章节提到的ASCII转换工具中，具体如图1-22所示，只要在上栏中破解出的16进制内容即“5A65724F6E655365635465616D”输入，注意把原来中间的冒号去掉，单击“十六进制转字符串”按钮就可转换成常用的ASCII码“ZerOneSecTeam”。接下来，攻击者只要在连接时注意区分大小写就可以连接该无线网络了。

图1-22

3．Fragment攻击（无客户端环境）

同样地，作为Fragment攻击，也是专门针对当前无线网络中不存在无线客户端连接或者仅存在少量无线客户端连接的情况所使用，同样可以使用Aircrack-ng无线破解工具套装实现。不过这里还是使用SpoonWEP2来实现。具体步骤如下：

接下来，在SpoonWEP2的主界面上方选择“ATTACK PANEL”即攻击面板标签，在界面中间设置攻击方式及无线客户端MAC。这里选择为“FRAGMENTATION & FORGE ATTACK”即之前所说的注入攻击方式。然后在“Inj Rate”处设定发包速率，可以设置为600以上，这里就直接设置为1000。

然后在中间的Victim Mac处设定预攻击的AP的MAC地址，由于是在无客户端破解模式下，所以Client Attack处是不可以填写的。确认无误，如图1-19所示，单击左上角的“LAUNCH”即可开始攻击，如图1-23所示。

图1-23

单击左上角的“LAUNCH”，即可开始针对无线WEP加密的攻击和注入。如图1-23所示，可以看到在工具的中间栏中显示出当前攻击的状态，而在下栏中出现“13 IVS CAPTURED”及“WEP Key：Not Found”的显示，这里的意思即是说当前已经捕获到13个包含IV值的数据报文，但是通过这些报文还远远不能破解出WEP密码。

在单击“LAUNCH”后，在SPOONWEP2的一侧也将出现一个如图1-24所示的Shell，其实就是一个airodump-ng的调用界面，在此Shell中，能看到当前的AP及合法的客户端的无线报文交互情况。

图1-24

在捕获了足够数量的无线数据报文后，SpoonWEP2将自动破解出WEP密码。注意观察，当在工具界面的下栏显示“ATTACK FINISHED”即攻击完成。这里显示的结果将如图1-21所示一样。

1.2.2 攻击WPA加密无线网络

1．传统WPA-PSK加密破解

WPA-PSK的破解基于WPA-PSK握手验证报文数据的获取与识别，攻击者只要能够获取到WPA-PSK握手数据报文，就可以导入Aircrack-ng进行暴力破解。下面将破解WPA-PSK的标准步骤列举，然后将其中最关键的步骤予以详细说明。

注意： 如表1-3所示wlan0为无线网卡名称，mon0为处于激活状态下的无线网卡名称。

表1-3 破解WPA-PSK的标准步骤

其中，较为关键的几个步骤如下：

和破解WEP时不同，这里为了获得破解所需的WPA-PSK握手验证的整个完整数据包，无线黑客们将会发送一种称之为“Deauth”的数据包来将已经连接至无线路由器的合法无线客户端强制断开，此时，客户端就会自动重新连接无线路由器，黑客们便有机会捕获到包含WPA-PSK握手验证的完整数据包。关于Deauth的概念及原理，请参考本书后面无线D.O.S的章节，此处具体输入命令如下：

        aireplay-ng  -0  1  -a  AP的mac  -c  客户端的mac  wlan0

参数解释：

· -0，采用deauth攻击模式，后面跟上攻击次数，这里设置为1，大家可以根据实际情况设置为5～10不等；

· -a，后跟AP的MAC地址；

· -c，后跟客户端的MAC地址；

按下Enter键后将会看到如图1-25所示的deauth报文发送的显示。

图1-25

此时回到airodump-ng的界面查看，如图1-26所示可以看到在右上角出现了“WPA handshake”的提示，这表示获得到了包含WPA-PSK密码的此握手数据报文，至于后面是目标AP的MAC，这里的AP指的就是要破解的无线路由器。

图1-26

若没有在airodump-ng工作的界面上看到上面的提示，那么可以增加Deauth的发送数量，再一次对目标AP进行攻击。比如将-0参数后的数值改为10，如图1-27所示。

图1-27

在成功获取到无线WPA-PSK验证数据报文后，就可以开始破解，输入命令如下：

        aircrack-ng   -w  dic  捕获的cap文件

参数解释：

· -w，后跟预先制作的字典，这里是BT4下默认携带的字典。

按Enter键后，若捕获数据中包含了多个无线网络的数据，也就是能看到多个SSID出现的情况。这就意味着其他AP的无线数据皆因为工作在同一频道而被同时截获到，由于数量很少所以对于破解来说没有意义。此处输入正确的选项即对应目标AP的MAC值，按Enter键后即可开始破解。如图1-28所示为命令输入情况。

图1-28

如图1-29所示可以看到，在双核T7100的主频+4GB内存的配置下，经过不到1分钟的等待，就成功破解出了密码。在“KEY FOUND”提示的右侧，可以看到密码已被破解出来。密码明文为“longaslast”，破解速度约为450 key/s。若是能换成4核CPU的话，还能更快一些。

图1-29

2．WPA PMK Hash破解

最近两年，关注WPA PMK Hash破解的人开始逐渐增多，我们也来简单回顾一下这一技术的发展。

2003年7月瑞士洛桑联邦技术学院Philippe Oechslin公布了一些实验结果，他及其所属的安全及密码学实验室（LASEC）采用了时间内存替换的方法，使得密码破解的效率大大提高。作为一个例子，他们将一个常用操作系统的密码破解速度由1分41秒，提升到13.6秒。这一方法使用了大型查找表对加密的密码和由人输入的文本进行匹配，从而加速了解密所需要的计算。这种被称作“内存-时间平衡”的方法意味着使用大量内存的黑客能够减少破解密码所需要的时间。以下为提取的Windows下用户密码保存的状态，可以看到是由一串字符编码组成，这样的字符串我们称之为NTLM Hash（此为Hash的一种）。

        User1:1001:732b2c9a2934e481cd0a8808b19097ef:778620d5d5de064154e689fa
    4790129f:::
        User2:1002:a042f67a99758fd727b99b2375d829f9:6127ee12a83da34fc19953e5
    38e4d580:::

一些受到这样匹配查询原理启发的黑客们事先制作出包含几乎所有可能密码的字典，然后再将其全部转换成NTLM Hash文件，这样，在实际破解时，就不需要再进行密码与Hash之间的转换，直接就可以通过文件中的Hash散列比对来破解Windows账户密码，节省了大量的系统资源，使得效率能够大幅度提升。当然，这只是简单的表述，采用的这个方法在国际上就被称为Time-Memory Trade-Off，即刚才所说的“内存-时间平衡”法，有的地方也会翻译成“时间-内存交替运算法”。其原理可以理解为以内存换取时间，如图1-30所示。

图1-30

具体算法方面的内容本书就不再涉及，对于想进行更高深层次探究的读者，可以仔细参考2003年的这篇详细文档《Making a Faster Crytanalytical Time-Memory Trade-Off》以及2005年的文档《Time-Memory Trade-Offs: False Alarm Detection Using Checkpoints》，在本节后面会给出链接。

利用该原理制作的包含大量NTLM Hash的Hash库就被称之为Tables，其中最出名的就是Rainbow Tables（也称之为彩虹表）。而正是由于利用了该原理制作的Rainbow Tables的存在，使得普通电脑在5分钟内破解14位长足够复杂的Windows账户密码成为可能，如图1-31所示。

图1-31

从图1-31可以看到，类似于c78j33c6hnws、yemawangluo178、38911770这样的Windows账户密码几乎全部在180秒即3分钟内破出，最短只用了5秒，个别稍长的密码破解也没有超过5分钟。

那么，采用了类似于Rainbow Tables原理，通过Pre-Compute（预运算）的方式，来进行提前运算以生成WPA-PSK加密Hash，从而建立起来的WPA-PSK Hash Tables，被广泛地用于WPA-PSK的高速破解。其中，每一个Hash都是由64个16进制数的字符串组成，如下列所示。

        1d27360df93735ae9645a359764d67ff40e4978606f549d13237950e34772568

这些字符串是由于WPA-PSK加密本身使用预共享密钥计算得出所致，该序列目前暂无有效的逆运算方法。需要说明的是，使用一般的工具是无法读取hash文件的。

关于使用WPA PMK Hash破解的效果，下面以同样配置的主机为例。如图1-32所示，在一般字典模式下，使用Cowpatty破解时的平均破解速度为153.61pass/s，即每秒钟破解153.61个密码。而在WPA Tables破解模式下，平均破解速度可达到100927.35 pass/s，通过如图1-32和图1-33所示的对比可以看到，破解速度提升了不止数倍，而是原来的近100倍。

图1-32

图1-33

当然，要说明的是，这些Tables的建立效率非常低下，加上每一个Hash都需要指定预攻击AP的SSID，想要建立一套针对所有常见接入点，并采用简单密码的WPA-PSK Hash Tables，其生成文件占据的硬盘空间需要2GB～5GB或以上。国外最早公布无线WPA Table的是一个名为The Church of WiFi的无线黑客组织，该组织在过去的两年里成功建立了庞大的WPA Table库，并将其简化的WPA-PSK Hash Table版本提供免费下载，但遗憾的是，即便是简化版本，其大小也已经超过了30GB。

而在国内，为了方便无线安全爱好者学习，ZerOne无线安全团队已经从团队内部的大型WPA PMK Hash库中提取出一小部分内容，专门制作出无线安全破解专用的DVD光盘，并于2008年11月在广州举行的全国首届无线安全交流会上公开发布并提供了免费下载。光盘封面如图1-34和图1-35所示，其中包含的WPA PMK Hash Table已全部经过测试可用，所含SSID均为ZerOne无线安全团队在对多个省会城市进行多次实地War-Driving无线探测的基础上，从汇总数据中精心挑选出国内使用频率最高的前62个SSID整理而成。光盘里除了包含多达40余种8位以上生日类密码组合外，还包括了8位以上普通用户常用密码组合，总容量达4.4GB，可用于进行无线安全密码破解测试、无线渗透测试及安全评估等。

图1-34

图1-35

该DVD光盘内除了主要包含的大容量WPA-PSK/WPA2-PSK破解用Hash Table以外，为方便使用者学习及借鉴，还附带了由ZerOne安全团队近年来对一些省会城市进行War-Driving的官方探测汇总报告，此外，还准备了相关无线安全教程的文档及资源列表。希望借此给国内的无线安全同行研究无线网络安全带来实质性的帮助。

不过要强调一点，单纯依靠这4GB的Hash，并不能解决实际破解中遇到的所有密码组合类型，这张DVD仅为测试时学习使用。更何况通过基本概率论的计算结果，大家应该也都知道密码破解是永远也做不到100%成功的，只是在理论上尽可能包含更多地可能性罢了，比如若不嫌麻烦，完全可以将WPA-PSK密码设置成大小写字母+数字且长度超过16位，这样这些Hash就基本派不上用处了。当然，这也会给实际连接造成很多不便，比如经过实测发现WPA密码若稍微复杂一点且长度为12位以上基本上很多AP的响应就变得很缓慢甚至很难连接上，所以目前绝大多数正在使用的WPA-PSK密码仍然以8～10位为主。

1.2.3 小结

本节所述的主流无线攻击技术目前仍在被国内外的无线黑客、爱好者及安全人员广泛使用。但众所周知，随着时代的发展，技术永远不会停滞不前，那么又有什么新的技术或者设备被提出或使用呢？接下来看看1.3节，无线黑客的新选择。

本节相关链接：

1．《Making a Faster Crytanalytical Time-Memory Trade-Off》一文下载地址：

http://lasecwww.epfl.ch/～oechslin/publications/crypto03.pdf

2．《Time-Memory Trade-Offs: False Alarm Detection Using Checkpoints》一文下载地址：

http://lasecwww.epfl.ch/～oechslin/publications/oechslin-indocrypt-05.pdf

3．著名的无线黑客组织Church of WiFi的WPA Rainbow Tables项目。

官方网址：http://www.churchofwifi.org

4．由Shmoo无线黑客组织公开的33GB简化版WPA Rainbow Table下载，资源网址：http://umbra.shmoo.com:6969

1.3 无线黑客的新选择

随着无线城市在全球多个国家和地区的实现以及WiFi热点从无到有再到现在的随处可见，基础网络的成功建设使得一些成熟的无线技术被应用在更多的领域上。那么在无线Hacking领域，除了Wlan技术本身依然受到关注外，以往的无线Hacking研究的重点也开始从计算机主机终端转向了移动终端设备，而在破解目标上也从简单的WEP转向企业WPA认证，同时在无线技术上也开始侧重蓝牙、Zigbee、RFID等其他短距离无线通信技术。此外，随着高性能运算模式的多样化，黑客们也找到了很多方法来提升破解的效率。

1.3.1 手机安全，新的战场

随着越来越多的智能手机和相关服务的普及，尤其是随着手机的屏幕越来越大、处理器的速度越来越快，智能手机用户正在越来越多地使用手机浏览网页、进行即时通信等操作。而作为在投资银行中占据一席之地的瑞士瑞信银行也曾在2010年初预测，到2015年亚洲智能手机用户数量将达到3.47亿。那么，作为目前功能正在越发全面及强大的智能手机，其面临的安全问题也将成为限制和困扰智能手机应用发展的瓶颈。下面就一些主要的安全问题进行简单的说明。

1．无线WLAN

随着移动通信的发展，特别是3G网络及业务的推出，无线宽带市场得到了很好的培育，用户可以通过运营商无线宽带客户端软件，选择无线宽带（WLAN）或无线宽带（3G）或无线宽带（1X）网络接入方式上网。而随着庞大的移动宽带用户需求，特别是高带宽的业务需求，更使得WLAN被视作可以实现与3G标准无缝连接的利器。

正如1.1.1节所述，截至2009年底中国移动已经完成采购WLAN热点10.8万个，其中胖AP约1.8万个，瘦AP约9.06万个，计划新建WLAN热点11万个左右；而中国电信目前在全国有超过10万个WiFi热点；中国联通WLAN热点建设虽然落后于中电信和移动，但在2009年也加快了部署速度。在中国移动WLAN网络覆盖地区，用户的笔记本电脑、PDA等移动终端在配备WLAN上网卡时，就可以通过WLAN方式高速接入互联网/企业网，在WLAN覆盖不到的地区则通过GPRS网络访问移动互联网。

而无线WLAN作为3G网络有效补充的重要性日渐突出，其安全性也开始遭到质疑。比如，当用户使用智能手机的WiFi模块在机场、酒店及咖啡屋等环境连接无线网络时，将一样面临无线连接密钥破解、无线数据被拦截、伪造、欺骗等不同类型的攻击，甚至也会遭到针对手机操作系统的缓冲区溢出、病毒等危害更为严重的攻击行为。在本书第2～7章节中将会讲述更多的无线网络及设备攻击与防护内容。如图1-36所示为在机场候机厅内可搜索到的无线网络分布图。

图1-36

2．蓝牙Bluetooth

而作为智能手机上必带的蓝牙功能，可以说从2003年起，就被无线黑客们爆出了多个严重漏洞及安全风险。虽然经过了蓝牙1.1、2.0、2.1这样版本的升级换代，但至今仍面临着诸多的安全隐患和威胁。尤其是国内在最近几年热销的一些山寨机型，甚至面临着通过蓝牙被恶意读取电话簿、拨打电话等多种严重威胁。如图1-37所示为针对某山寨智能手机进行的蓝牙攻击测试，并成功地在未出现任何提示的情况下，获取到该手机内存储的全部号码记录。在本书第7章中将详细介绍目前蓝牙方面的主要攻击手段及防护方法。

图1-37

3．GSM网络

自从1991年GSM网络出现以来，随着研究人员不断地深入，这种网络的安全性在不断降低。1998年，A5/1和A5/2密码加密算法被攻破。不久，商业监听设备就已经出现，不过其高昂的价格致使破解技术仍然掌握在特别部门和少数人手中。直到2008年Blackhat黑客大会上，安全专家David Hulton和Steve Muller演示了突破GSM通话加密的场景。

他们花了约7百美元购买了Universal Software Radio设备，这种设备能够监听最高至3GHz频段的任何信号。两人修改了软件，使其能够捕捉到基站发射出来的GSM信号。他们将这些捕捉到的信号与诺基亚3310手机信号做了对比，这款手机有一个软件功能，可以检查GSM网络的工作情况。Hulton和Muller通过研究GSM手机如何鉴别基站以及建立一个加密通话，然后制造了一台大内存的机器，利用现场可编程门阵列（Field Programmable Gate Array）来解密加密通话。通过他们的研究和演示，证实GSM通话已经可以在20英里（32公里）或更远距离外被人监听，而攻击者并不需要购买过于昂贵的专业设备。

他们攻破GSM通话的原理是破解A5/1密码加密算法，经过完善攻破技术后，他们已经就能够利用更先进的硬件在30分钟或者更短时间内窃听GSM网络95%的通话。这对当前很多国家仍在使用的GSM网络可谓是一个严重的打击。

类似地，针对GSM的攻击方法目前已经不仅仅出现在国内外一些大型的黑客/安全会议上，在一些站点及讨论群中，已经出现了涉及手机犯罪、诈骗、非法监听等技术的演示和交易。对于在GSM网安全防护技术发展上相对缓慢的国内运营商来说，将会面临一场艰巨的拉锯战。

1.3.2 升级的无线攻击

对家庭用户或小型企业SOHO环境而言，并不需要过于复杂的方式来确保无线网络的安全，因此WPA也提供了一个较简单、不需其他附加设备也可使用的模式，即WPA-PSK（Wi-Fi Protected Access with Pre-Shared Key，即预先共享密钥式Wi-Fi保护访问）。要使用WPA-PSK，只需要在每组WLAN节点（无线AP、无线路由器、客户端网卡等）输入单一密码。只要密码相符，客户端便会获得WLAN的访问权限。

而在企业网络中，采用的WPA-Enterprose认证所需要的数据库信息检索和比对的工作通常则由专门的服务器，如Radius来完成。RADIUS服务器则取代了WPA-PSK认证过程中的单一密码机制，这样，无线AP/路由器将会把用户的认证请求传送到RADIUS服务器，服务器则以它的记录来比对用户的身份认证，并依此来认可或是拒绝网络存取权限，接着发出集体密钥给所有设备，这样设备就能够开始进行数据加密和传送/接收。如图1-38所示为在iPhone上配置无线网卡连接采用WPA-Enterprise认证的无线网络。

图1-38

那么，面对开始增长的企业无线网络部署现状，如何突破企业无线认证的封锁和限制，也开始成为无线黑客们所关心的一个方向，在本书第6章将着重讨论关于企业无线认证实现及安全风险。

1.3.3 全新的GPU技术

作为当前高端显卡的重要组成部分，GPU从一开始出现就吸引了众多的目光，而自从GPU在通用运算领域中崭露头角后，很多安全人员和黑客们也被其强大的运算能力所吸引。现在随着GPU运算能力的日益提高，作为实现其概念的全球最大显卡厂商NVIDIA也推出了一系列庞大的GPU产品家族开发和发展计划，其目前最新的Tesla系列产品更是以“个人超级计算机”这样强势的姿态展现在世人面前。

那么，作为无线安全领域的黑客和安全研究人员，也早已开始尝试使用GPU来加快密钥破解、注入等方面的运算。如图1-39所示为在Linux下使用NVIDIA GeForce 8800GT进行无线WPA PMK Hash运算。在本书第2章中较为详细地介绍了使用GPU技术来加速破解WPA-PSK的具体原理和实现。

图1-39

下面，在开始本书中具体实战章节前，为便于广大读者的学习和实验，先来着重讲解一下移动攻防测试环境的搭建。

1.4 USB移动攻防测试环境搭建

很多经常使用Aircrack-ng的读者朋友应该会发现，由于无线网卡自身芯片支持度的原因，有很多工作在Windows XP/2000/2003下的无线探测及攻击类工具是无法和这些无线网卡的驱动程序正常工作的。甚至有很多工作在Windows下的无线攻击程序里是无法直接使用大部分型号无线网卡的，而只有少数无线网卡才可以通过升级将原有驱动替换的方式使得工具识别，比如多款采用Atheros芯片组的TP-Link无线网卡就必须替换原有厂商驱动才可以被OmniPeek、Windows版Aircrack-ng等识别。

尽管现在的Linux安装已经极为简单，但是安装Linux并配置环境也会是一件比较烦琐的事情。虽然通过VMware、Virtual PC等虚拟机平台可以轻松地使用USB接口的无线网卡，但是也很可惜地失去了使用笔记本自带无线网卡、PCMCIA型无线网卡以及台式机下PCI无线网卡的机会。

那么，除了使用VMware虚拟机及安装双系统外，还有什么办法可以使得安全人员和攻击者也能够轻松地在Linux下进行无线Hacking呢？答案很简单，只需要打造一款能够开机启动运行的U盘启动型的BackTrack4 Linux就可以满足需要了。比如图1-40所示的大容量U盘及如图1-41所示的超薄型U盘，不但方便携带而且便于隐藏，实在是安全人员和攻击者进行渗透测试的首选。

图1-40 Kingston的U盘

图1-41 超薄型U盘

注意： 在开始制作U盘启动型操作系统之前，都应该先对U盘进行格式化。

1.4.1 最简单的方法

制作USB启动盘前，需要先将操作系统镜像准备好，由于本书主要涉及无线网络安全部分，所以会推荐一些适用于打造U盘版的无线安全/Hacking用Linux操作系统，具体如表1-4所示。

表1-4 推荐操作系统

由于BackTrack4 Linux中包含的工具比较符合无线安全测试的需要，所以本节就以该Linux为蓝本。首先，将事先下载好的BackTrack4 Linux ISO镜像文件内的所有内容直接释放到U盘里，具体可以用WinISO或者Winrar实现。然后使用syslinux来建立一下引导文件即可，具体步骤如下。

· syslinux

下载地址：http://www.cn.kernel.org/pub/linux/boot/syslinux

· BackTrack4 Final

下载地址：http://www.backtrack-linux.org/downloads

这步很简单，使用Winrar或者WinISO打开镜像文件，选择解压缩或者释放到指定目录，设置为U盘即可。可使用WinISO或者WinRAR来打开ISO文件，然后解压缩到U盘下即可。如图1-42所示，使用WinISO打开BT4的ISO镜像文件，在菜单栏上选择“释放到”（英文的话，就选择“Extract”），然后再选择U盘驱动器名称即可。

图1-42

BT4目前的版本为BackTrack 4 Final版，其ISO原镜像大小为1.46GB，所以应注意准备的U盘空间至少应为2GB，建议使用4GB以上的U盘更为合适。

        syslinux   g:

其中：

· g：，为所用U盘，这个根据自己情况而定，这里使用的是syslinux版本为3.80。

按Enter键后若没有出错提示即表示成功，如图1-43所示，此时就可以把制作好的U盘随身携带，然后在需要的时候插入笔记本或者主机USB接口，在BIOS中设置为开机引导，重启后就可以进入BackTrack4 Linux。

图1-43

1.4.2 关于Unetbootin

1．关于UNetbootin

除了上述的方法之外，也可以使用一些专门制作U盘启动LiveCD的工具实现，网上关于此类工具有很多。本节推荐一款名为UNetbootin的软件，在Windows下使用起来非常方便。该软件介绍如下。

· UNetbootin

官方网站：http://unetbootin.sourceforge.net

支持系统：Microsoft Windows 2000/XP/Vista，Linux

软件简介：UNetbootin允许使用者在Linux或者Windows下轻松地创建可启动的Live USB驱动盘，而无须烧录一张CD。支持Windows 2000/XP/Vista/7。

如图1-44所示可以看到UNetbootin主界面上的下拉菜单中支持的Linux非常丰富，不但包括较为常见的Ubuntu、FreeBSD、Linux，还包括很多并不出名的操作系统，其界面也很简单，非常容易上手。

图1-44

对于想要使用UNetbootin制作其他类型LiveCD的读者朋友，可以参考表1-5中给出的Linux详细支持列表。

表1-5 当前支持的Linux系统列表

2．安装UNetbootin

Windows下的安装很简单，将安装程序从官方网站下载到本地后，只需要直接双击下一步即可。而在安装Linux下载版本时，请注意先使用下述命令来给该安装文件赋予权限后再安装。具体命令如下：

        chmod  +x  ./unetbootin-linux

1.4.3 使用Unetbootin

下面就以安全测试常用的BackTrack4 Linux系统为例，来制作U盘版攻防测试平台。注意，在制作前应先对U盘进行格式化处理，具体步骤如下。

打开UNetbootin，在“Diskimage”即磁盘镜像位置处选择要制作的LiveCD镜像文件，这里就选择本地保存的BackTrack4 Linux镜像文件，即bt4-final.iso文件。如图1-45所示，注意在UNetbootin主界面设置好镜像文件后，查看一下当前界面下方“USB设备”对应的驱动器名称是否正确，这里显示的是“G：\”，在制作的时候一定要确保此处插入的是U盘，不要由于使用的USB设备较多，结果导致选错驱动器的低级错误出现。

图1-45

在图1-45中单击“确定”按钮后，UNetbootin会自动从镜像文件中抽取文件并写入到U盘里，并在将文件复制完毕后，自动安装BootLoader引导工具。如图1-46所示，由于BackTrack4体积较大，故整个过程将持续5～10min。

图1-46

如图1-47所示，一旦制作完毕会出现重启计算机的提示，这里无须重启直接选择退出即可。现在，这个U盘就已经被成功打造成可以开机直接启动引导的BackTrack4 Linux攻防测试平台。

图1-47 制作完成

在重启后进入计算机BIOS设置界面，在启动项选择从USB设备启动。这里以常见的BIOS为例，如图1-48所示，在“First Boot Device”（第一启动设备）处，排在第一位的就是USB-HDD，即U盘启动方式。

图1-48

需要注意的是，由于主板厂商的不同，可能会出现BIOS主界面不同的情况。这里只要在Boot项里将位置First Boot（第一启动项）设为USB设备启动即可。如图1-49所示为Thinkpad笔记本的BIOS中启动选择菜单界面，如图1-50所示为HP惠普笔记本的BIOS中启动修改界面，在这两幅图中都选择了U盘启动方式。

图1-49

图1-50

只要保证启动U盘制作过程没有出错、BT4系统镜像文件本身没有读取错误以及UNetbootin下载版本完整没有错误三个方面的正确，那么就能够看到如图1-51所示的BT4正常启动界面，选择合适的内容即可。

图1-51

至此，U盘版移动攻防测试环境就已经搭建完毕，下面就正式开始本书的无线攻防内容。