挨踢人

~ 原文刊於 『RUN!PC』 雜誌 2007 年 4 月號

的確，無線網路不管企業開放與否，都應該要有相對應的防護策略，同時，在企業懂得開始對有線網路做弱點評估、滲透測試的同時，針對無線網路，也應該要能夠定期做好弱點評估，或是滲透測試，確保防護策略確實有效。

企業無線網路潛藏的風險

選擇開放無線網路的企業，必須針對如何鞏固無線網路的防線，不使未授權的使用者輕易的連線使用，以及在通訊時的資料加密，不致讓企業的機密 外洩。而選擇禁止使用的企業，考量的重點是如何確認企業內部不會有私架的無線基地台，或是企業的員工不會不小心或故意連線到附近的無線網路，使得駭客可以 利用這些通道，直接繞過企業防火牆的阻擋，長趨直入企業的內部網路。這些安全的弱點，也是駭客們尋找的攻擊目標，而到底企業的無線網路裡，潛藏了多少安全 的危機，以下針對企業的無線網路，從駭客的角度來做一番檢視。

企業無線網路的弱點，包含了以下幾個常見的項目：
• 私架的無線基地台，使得企業的無線網路門戶洞開
• 不安全的無線網路設定，駭客可輕易破解
• 易於遭受攻擊的端點，成為駭客利用的跳板
• 阻斷式攻擊，造成網路的不穩定

私架無線基地台

企業無線網路裡，最大的安全漏洞，是私架的無線網路基地台。許多員工為了一時的方便，自己帶了一個無線基地台到公司使用，而這些基地台往往 是簡單的基地台，沒有進階的安全設定，或是員工根本也不知怎麼做安全設定，成為企業網路的一個缺口，讓一般人輕易的可以連線，進入企業的內部網路。這些開 放的網路，常常使用基地台出廠的預設設定，使用預設的網路名稱 (SSID)，例如：default，沒有加密的通訊，以及沒有任何連線控管，一般人都可以直接利用 Windows 內建的網路工具連線使用，更遑論有心人士，進入了企業網路之後，可能進行惡意的攻擊。

不安全的無線網路設定

許多企業目前在無線網路的安全防護，還是停留在只用基本的安全設定，例如：WEP 加密，或是 MAC Address 安全控管，甚至只是把 DHCP 關掉，讓連上基地台的人自已去設正確的網路 IP 的相關設定後才能連線，但這些基本的防護，對於一個有決心的駭客，卻可以輕易的破解。

駭客常見的攻擊方式，可能針對沒有加密的無線網路，監聽無線網路裡的資訊，伺機竊取重要的資訊 (帳號，密碼，郵件內容、即時通訊聊天內容，瀏覽的網頁資訊)。或是使用 MAC Spoofing 的方式，更改自己的無線網卡的 MAC Address，以突破 MAC Address 連線控制。也可能針對 WEP / WPA 加密機制，進行加密金鑰的破解，以進入企業的無線網路。

易遭攻擊的無線網路端點

無線網路的端點，也就是這些無線網路的使用者，近來已成為新興的攻擊目標，攻擊者利用這些端點電腦上的系統弱點，例如，無線網路卡驅動程式 的漏洞，進行漏洞攻擊，以取得這些電腦的控制權限，進而利用這些電腦，當成進入企業無線網路的跳板。另外，駭客也可以利用無線網路釣魚的方式，假冒企業的 認證網頁，騙取登入網路的帳號及密碼。

目前已經發現的無線網卡驅動程式有弱點的，包含了:
• D-Link DWL-G132 ASAGU.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• NetGear WG111v2 Wireless Driver Long Beacon Buffer Overflow Vulnerability
• NetGear WG311v1 Wireless Driver SSID Heap Buffer Overflow Vulnerability
• NetGear MA521 Wireless Driver Long Beacon Probe Buffer Overflow Vulnerability
• Broadcom BCMWL5.SYS Wireless Device Driver Stack Buffer Overflow Vulnerability
• MADWiFi Linux Kernel Device Driver Multiple Remote Buffer Overflow Vulnerabilities
• Intel PRO/Wireless Network Connection Drivers Remote Code Execution Vulnerabilities
• Apple Mac OS X Airport Wireless Driver Multiple Buffer Overflow Vulnerabilities

而這些弱點，除了最後兩個還沒有公開的攻擊程式之外，其餘的都已經有相對應的攻擊程式可輕易的在網路上找到。

阻斷式攻擊癱瘓無線網路

駭客想要干擾企業無線網路的服務，或者是嘗試了多種的攻擊後徒勞無功，此時也許會想來個同歸於盡，癱瘓整個無線網路。或者針對某一個使用者 的連線，讓他無法連線，於是使用『阻斷式攻擊』。在無線網路裡，阻斷式的攻擊主要有兩種方式：Radio Frequency Jamming (RF Jamming)，利用干擾頻道的方式，使正常的通訊在這個頻道裡無法進行溝通，以眾多的雜訊來干擾正常的通訊，而另一種則為 De-Authentication 攻擊，利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線。

常見的攻防測試工具

以上的這些弱點，在網路上都可以找到相對應的工具來做攻擊。甚至有 Open Source 的計畫，將許多好用的工具，做成了可開機光碟 (Live CD)，這些光碟可以在網路上下載，許多的企業資安或稽核人員，也都是利用這些光碟來執行安全評估、或滲透測試。目前常用的光碟，也是新一代的主流工具 －BackTrack CD (http://www.remote-exploit.org/backtrack.html) 而它的前身是知名的 Auditor Security Collection Live CD，集合了三百多種以上的網路安全工具。

而企業資安人員，可以做的攻防測試，以及它相對應的工具，介紹如下。

網路偵察

Kismet (http://www.kismetwireless.net/)

在無線網路攻擊裡，要能夠先搜尋無線網路的所在，然後針對無線網路裡的設備，一一蒐集資訊。舉凡無線基地台的 SSID 、使用頻道、安全設定，以及訊號強弱，這些都是極為重要的資訊。

Kistmet 是一個 802.11 Layer 2 的無線網路偵測、監聽、以及入侵偵測系統 (IDS)，能夠監聽 802.11b、802.11a、以及 802.11g 的資料。而 Kismet 的監聽技術，主要是利用被動 (Passive) 模式，收集無線網路的封包，偵測標準的開放網路、隱藏網路，藉由資料封包的分析，還能夠偵測到將一些關閉 Beacon 基地台的隱藏無線網路。

資安人員可利用這個工具，在企業內部尋找是否有私接的基地台，以及偵測企業內部員工可能連線的基地台。

圖一：利用 Kismet 偵察無線網路

WEP/WPA 加密破解

AirCrack-NG Suite (http://www.aircrack-ng.org/)
 
AirCrack-NG 是一個相當完整的無線網路攻擊工具組，不但可以利用來做 WEP 加密金鑰的破解，也可以做 WPA-PSK 金鑰的字典攻擊。AirCrack-NG 不但有 Linux 版本，還有 Windows 版本，另外也有人寫了Windows AirCrack 的 GUI 程式，叫做 WinAirCrack，搭配 AirCrack-NG的使用。Linux 版的 AirCrack-NG 提供的工具較為完整，包含了以下的幾個程式：

• Airodump-ng：802.11 封包截取程式
• Aireplay-ng：802.11 封包注入程式
• Aircrack-ng：WEP 及 WPA-PSK key 破解主程式
• Airdecap-ng：WEP/WPA 封包解密程式
• Airmon-ng：802.11 網路監聽程式
• Packetforge-ng：802.11 封包製造程式
• Airtun-ng：802.11 加密封包蒐集及封包注入程式
• Tools：其他相關工具

不同於早期被動的收集封包，AirCrack-NG 在 WEP 加密金鑰的破解，可以採取更『主動』的封包注入的方式，製造偽造的 ARP Request 的封包，使得 AP 回應這樣的請求，而發出 ARP Reply 的封包，而當 AP 發出回應封包時，駭客就可以收集更多的『 IV 值』，加速 WEP 加密金鑰的破解，以一個 128 Bits 的Key，可能在三十分鐘之內被破解。

資安人員可以利用這個工具，針對企業的加密機制，驗證是否可能被駭客破解。

圖二：利用 AirCrack 於 30 分鐘破解 WEP 加密金鑰

無線網路釣魚

Airsnarf (http://airsnarf.shmoo.com/)

Airsnarf 是一個結合了軟體驅動的基地台技術、DNS Server 設定、以及防火牆的 HTTP 重導技術，建立一個假冒的認證登入網頁，讓使用者連上基地台之後，自動取得 IP 位置，啟動瀏覽器時，會自動導向 Airsnarf 設計的首頁，當使用者輸入帳號密碼之後，這些資訊可以被攻擊者記錄下來。當然，攻擊者不會用Airsnarf 這個網頁讓使用者輸入帳號密碼，而會建立一個假冒的企業網路登入的網頁，來置換 Airsnarf 的這個網頁，於是在不知不覺中，企業的使用者已經被騙取了帳號密碼。

資安人員可以利用這個工具，進行企業內部的無線網路釣魚測試。

圖三：無線網路釣魚示意圖

阻斷式攻擊

void11 (http://www.wirelessdefence.org/Contents/Void11Main.htm)

假冒 De-Association 及 De-Authentication 訊框攻擊，是最常使用的阻斷攻擊，
利用 802.11 管理訊框 (Management Frame) 沒有任何加密及驗證機制的弱點，以假冒的 De-Association 及 De-Authentication 的訊框，迫使連線中的使用者斷線，雖然使用者會自動的再發出連線及認證的請求，但攻擊者若是持續的發送這些訊框，將使得使用者一直連線斷線，無法正常使用 網路。

不過目前已經有許多基地台，針對這樣的弱點做改進，因此企業的資安人員，可以利用這個或相關工具，測試企業使用的基地台是否有受到阻斷式攻擊的可能。

偽冒 MAC 位址

SMAC (http://www.klcconsulting.net/smac/)

偽冒 MAC 位址的工具有很多，而這個工具有簡單的操作畫面，能夠讓你迅速找到想要更改的 MAC 位址。因此，資安人員，利用像 Kismet 的偵察工具，找到正在與基地台連線的網卡的 MAC 位址，變更自己的 MAC 位址，來嘗試是否可以突破MAC Address 控管而取得連線。

封包監聽 / 分析

Wireshark (http://www.wireshark.org/)

Wireshark 的名字大家比較陌生，不過若是提到 Ethereal，相信很多人都曾使用過。Wireshark 是 延續 Ethereal 的免費封包分析工具，可以即時分析封包，或是將載入利用 Kismet 或 Airodump 截取的封包，分析封包裡的資料。

因此，資安人員在做無線網路的攻防測試時，也常常需要用到它來做輔助工具。

弱點攻擊

MetaSploit Framework (http://www.metasploit.com/)

完整的無線網路攻擊工具，當然還要包括弱點攻擊的工具，尤其是針對無線網卡驅動程式的弱點，已經有人提供 MetaSploit 的攻擊程式。在做攻防測試時，若是有發現有員工使用的是前面所列的無線網卡，則可利用 MetaSploit 的攻擊程式，嘗試取得這些電腦的控制權，進而找到進入企業無線網路的跳板。

結語

以上的這些工具，大部份都可以在 BackTrack 或是 Auditor CD 裡找到，使用者不需要自己再編譯或是安裝工具，只要利用這些光碟開機，即可進行攻防測試。另外，無線網路的安全工具相當多，同一種用途也有不同的工具，以 上只介紹常用的知名工具，其他更多的工具，可以參考相關書籍或是網路上論壇的介紹。

無線網路攻防演練的目的，在於找出企業無線網路的弱點，進而在駭客攻擊之前，能夠消弭可能被駭客入侵的安全漏洞。所謂「知己知彼，百戰 不殆」，資安人員除了應用相對應的安全防護之外，了解駭客可能的攻擊手法，並定期的實施無線網路弱點評估或滲透測試，可以防患未然，並適時適當的調整無線 安全防護策略。

作者簡介： 

前言
你是否有這樣的經驗，打開電腦，啟動無線網卡，然後試著讓Windows XP幫你自動找尋可用的無線網路，想要在 Coffee Shop或者甚至是路邊，享受無線上網的樂趣。

而現在隨著無線設備價格的平民化，想要在路旁找一台無線基地台，似乎也不是難事，尤其是在一些Coffee Shop 更是以提供無線上網為號召，吸引隨時隨地想上網的人。然而，就在無線基地台所在都有的情況下，當你啟動你的無線網卡時，可能，你己經暴露在無形的危機裡。

目前無線網路的駭客工具，在網路上都可以很容易得到。而且所需要的專業知識，也愈來愈低。HotSpot裡常見的駭客攻擊行為，以及他們所利用的工具，如以下所述。

偵察
首先，駭客找了一個可以放心進行攻擊的好位置，然後對這一個無線環境，做一番的「偵察」工作。這一 類的工具有很多，最基本的，可以利用Windows XP 所內建的無線網卡設定工具。在Windows XP SP2以前的 Wireless Zero Configuration 的設計裡，它會自動利用你己使用過的SSID先去做尋找無線基地台的工作，所以，若是你己經將一些常用的Default SSID加入你的Preferred Network List 裡，可以加快你發現無線基地台的時間，也可以發現一些SSID 廣播被關掉的基地台。

在Windows 裡另外一個常用的工具，那就是 NetStumbler。NetStumbler的功能比Windows內建的工具好些，提供你SSID，MAC 地址，頻道，加密與否以及訊號強弱的資訊，此時你就可以利用這些找到的SSID試著去做連線。

這些Windows平台下基本的工具，並無法提供你更進一步攻擊所需要的資訊，例如，正在連線的工作站的MAC地址，這樣的資訊是你突破MAC Address Access Control List限制所必需要的資訊。目前並無這類免費的工具，而付費的工具有AirDefense Mobile 以及 AirMagnet。當然，如果你對Linux有些基本認識，你可以使用無線駭客的最愛的免費工具--Kismet。

Kismet提供了相當完整的無線偵察功能，也是War Driving常使用的工具。此時駭客感興趣的是無線基地台的SSID，MAC Address，使用頻道，以及是否使用WEP或其他的認證機制。同時也收集使用者的MAC Address，IP等資訊。而且，Kismet也可以將封包存下來，讓你用破解WEP 的工具來進行WEP解密。

連線
有了這些偵察工具的幫忙，駭客第一步就是找到一個可以連線的基地台。完全沒有安全防護的基地台，到 處都是。而一般常見的安全機制有在基地台端的有MAC Address Control List，WEP加密，在後端與付費系統整合的認證，有利用MAC或Session來做認證。MAC Address Control List可以從無線網路偵測的工具裡找到有用的MAC Address，駭客只要利用像SMAC這樣的工具，將自己的網卡改為同樣的MAC地址，則可輕鬆破解。WEP加密，則可利用AirSnort直接花時間 去破解，也可利用Kismet所抓到的封包，使用WEPcrack等工具去做字典攻擊。

至於整合付費系統的認證機制的服務，在此類的認證，常常會先允許你連線到基地台，取得合法IP，但未付費時，則無法使用Internet。此時，駭客的攻擊手法就得因地制宜了。

一旦駭客連上了HotSpot 的無線基地台，即使他無法破解HotSpot的付費認證機制，但他卻可以對在HotSpot的其他使用者，進行攻擊，甚至可以竊取合法用戶的資料，來登入HotSpot的付費系統。

監聽
駭客最基本的功夫，即是利用Sniffer來監聽沒有加密的內容。常見的Sniffer工具有很 多，現在更有針對特殊應用程式及Protocol設計的程式，例如MSN Sniffer讓你看得到別人的聊天內容，HTTPDetect讓你知道別人在瀏覽什麼網頁，像WinSniffer，Cain或ACE Password這樣的工具，自動幫你搜集利用明碼(Plain-Text)傳送的密碼，例如Email，FTP，或Telnet。另外Ethereal 及Airopeek這種功能強大的Sniffer，也是駭客常用的工具。

Evil Twin
除了監聽之外，進一步的駭客攻擊，則會利用Man-in-the-middle，來 操弄其他的使用者。駭客使用兩張無線網卡，一張與HotSpot的無線基地台連線，另一張網卡則利用軟體驅動成”Soft AP”，並且設成和HotSpot一樣的SSID，欺騙其他的使用者來與其連線。駭客的筆記型電腦，此時即設成了所謂的『Evil Twin』，偽裝成和HotSpot一樣的”攣生AP”，靜待受害者連線。此時駭客可再設置一個和HotSpot付費登入一樣的網頁，讓使用者輸入其帳號 密碼，然後再將他重新導向到真正的付費畫面，使用者就在不知不覺中，被騙取了帳號密碼。MITM攻擊的工具，則有著名的Monkey Jack，HotSpotter或是其他可以使用軟體驅動成Soft AP的無線網卡。

癱瘓
最後，駭客也可以發動阻斷式攻擊(DoS Attack)，癱瘓HotSpot的無線基地台，此種攻擊可以是單純的阻礙使用者連線，也可暫時中斷使用者連線，然後增加使用者連到駭客設置的Soft AP的機會。阻斷式攻擊可以針對某一台基地台，中斷所有的連線，使用工具為hunter_killer，或是針對某一台主機與基地台的連線，例如 wlan_jack等工具。

Client端攻擊
除了以上這些無線網路下特有的攻擊模式，事實上，當駭客與使用者在使用同一個無線網 路的時候，有線環境下的攻擊，也可以一一應用在WLAN裡。最簡單的攻擊，則是掃描使用者的漏洞，或是用字典攻擊法猜取使用者的Windows 管理者密碼，尤其是一般人對密碼設置的不重視，使用過於簡單的密碼或過短的密碼(低於8位數)，admin, password, 1234, 123456, abc123若是你有使用類似的簡單密碼，在幾秒鐘之內，駭客即可猜到，然後若你的電腦為所欲為：讀取檔案，裝設木馬，完全控制你的電腦。

自我防衛
了解了HotSpot裡所可能進行的無線網路攻擊的行為，對一個單純的想要在HotSpot裡品嚐咖啡，享受無線上網樂趣的使用者，以下的幾點建議，將可有效的加強自身的防護