一個客戶端連接上一個無線熱點時，它們之間會交換一些數據，如果我們能抓獲這些數據，我們便有望得到這個無線熱點的密碼。看完這篇文章，您将會收獲：

• 客戶端使用正确的密碼連接上無線熱點的過程
• 抓獲它們連接時傳輸的數據并從中解析密碼的手段

在進行這篇文章的實驗之前，請确定基本的環境已經準備好了：

無線網絡安全第一步：在虛拟機上配置kali

以及，對Kali系統一些基本的命令行操作也已經有所了解，也已經準備好了一塊今天實驗所必需的無線網卡：

無線網絡安全學習：網卡準備與常用的命令行操作

在學習的過程中，如果有疑問，可以私信作者，或者在文章下評論，我會竭盡全力為各位讀者答疑解惑。

在這一部分，我們會了解Wifi認證過程中的四次握手過程，這是我們接下來實驗的知識儲備。

首先，我們的數據通過無線的方式傳輸，也就是通過電磁波（也就是光）形式傳輸，是不如以有線的方式（電）傳輸安全的。因為電傳播的介質是導線，有線網絡的介質是網線，網線走到哪裡數據傳輸到哪裡，而無線網絡是以光的形式向外輻射的，光能到達的地方數據都能到達。

所以，在無線傳輸中，一定要有一種可靠的加密算法來保護我們的數據，保護它不讓它被不該知道的人知道。

最先被提出的加密方式是WEP，它是Wired Equivalent Privacy的簡稱。翻譯過來，就是有線等效保密。它是在IEEE 802.11最初提出時，作為其一部分被一同提出的。提出這個算法的委員會認為，這個加密方式和有線傳輸一樣安全，因此為它這樣命名。

很遺憾的是，這個号稱“與有線一樣安全”的加密方式的壽命僅僅持續了不到5年（1999年9月提出的IEEE802.11，在2003年被WPA淘汰）。它的漏洞實在太嚴重了，能夠解決它的安全問題的辦法，隻剩下更換更安全的WPA或者WPA2。

“……對 WEP 安全問題最廣為推薦的解法是換到 WPA 或 WPA2，不論哪個都比 WEP 安全。”——百度百科

取而代之的是WPA，Wifi Protected Access，直譯是Wifi保護訪問。在2004年又發布了IEEE802.11i，它修訂了之前的WPA，提出了更加可靠、安全的WPA2，這個加密方式被一直沿用至今，保護無線通訊的安全。下面，我們就來簡要了解采取這個加密方式加密的無線熱點的認證過程中，客戶端與路由器之間發生的故事，也就是四次握手：

①路由器向客戶端發送一個随機數（記為随機數1）。這是第一次握手。

②客戶端收到了這個随機數1，自己再産生一個随機數（記為随機數2）然後客戶端以随機數1、随機數2、輸入的Wifi密碼這三個參數，通過一種函數關系，生成一個密碼（記為PTK）

随即，客戶端将随機數2，它計算出來的這個PTK，發回給路由器。這是第二次握手。

③路由器收到了随機數2，它自己是知道自己的Wifi密碼的，于是它也通過随機數1、随機數2、自己的Wifi密碼這三個參數，通過客戶端中同樣的函數關系，生成一個PTK。

對比客戶端發過來的PTK和自己的PTK，如果通過固定的函數關系，運算出來的結果是一樣的，也就是發過來的PTK等于自己計算出來的PTK，說明三個參數（随機數1、随機數2、輸入的密碼）都是一樣的，也就是客戶端輸入的密碼正是自己的Wifi密碼，通過認證。反之，握手結束。

在這裡可能有的讀者會問：一個輸入隻對應一個輸出，但是一個輸出卻未必隻對應一個輸入？也就是說憑什麼就這樣認為輸入的密碼和正确的Wifi密碼相同？也有可能是雖然不相同，但是函數運算出相同的結果呢？ 這是一個好問題，能夠問出這個問題，就說明您已經确實地在思考了。生成PTK的這個算法，是我們軟件運算中最常見的，Hash，也叫散列運算。它将不同長度的輸入映射成長度相同、獨一無二的輸出，并且，沒有辦法從輸出确定唯一的輸入，因此，我們可以通過比較輸出來在不知道輸入的情況下比較輸入。 的确存在兩個輸入映射成同樣的輸出的情況出現，這也稱為哈希碰撞。 是有辦法避免哈希碰撞的情形的，采取某種措施，可以将碰撞的幾率降低到可以忽略的程度。有興趣的讀者可以在網上自行了解。 因此，在這裡，就認為輸入的密碼正是正确的Wifi密碼。

認證成功後，路由器發送另外的一個密鑰給客戶端。這是第三次握手。

④客戶端收到密鑰後，發送消息給路由器，告訴對方已經收到密鑰了。這是第四次握手。

四次握手的數據包都是以明文形式傳輸的，因此，我們可以通過捕獲四次握手的數據包（簡稱為握手包），來得到随機數1、随機數2，以及PTK。

将可能的Wifi密碼羅列出來，做成一個字典。我們将每個密碼和兩個随機數進行同樣的運算，再和PTK作對比，如果相同，說明該密碼就是正确的Wifi密碼。

更加有趣的實際操作部分

首先，我們設置一個Wifi，密碼就随便設置成12345678.

然後，我們讓我們的物理電腦連接上這個Wifi。

打開我們的Kali Linux，使用airodump-ng wlan0mon來掃描周圍的Wifi

這個PWR最大的Wifi當然就是我設置的無線熱點啦，因為離得最近，信号最好，所以PWR也最大。CH說明是在11信道。

使用airodump-ng --bssid **:**:**:**:**:** -c 11 -w test wlan0mon來指定嗅探的Wifi，并把抓到的握手包包保存在當前目錄cap.cap裡。當然如果你沒有抓到握手包就不會有test.cap這樣的文件。這樣可以僅得到這個Wifi及連接上的客戶端的信息。

現在就能清晰地看到，我的電腦是這個Wifi的唯一的客戶端。我們已經得到了我手機網卡的Mac和我電腦的無線網卡的Mac了。（但其實你們并沒有得到）

之前我們說過，握手包是隻有在客戶端和路由器認證的時候才會發送的數據包，除非我們等到第二個客戶端連上我的熱點，不然是抓不到握手包的。

但是，有一個辦法能讓我們更快地拿到這個握手包。那就是deauth攻擊。

路由器有能力要求客戶端和自己解除連接。當它要這樣做的時候，它會發送一個deauth數據包給客戶端。然後客戶端就會和路由器斷開連接。但是這并不是客戶端網卡的意願，它沒有那麼好打發，被踹掉之後會第一時間嘗試重新連接上這個路由器。

而deauth攻擊的原理就是模拟路由器發這個deauth數據包給客戶端。如果你不想讓你煩人的室友在寝室大聲玩網絡遊戲，而他又恰好連着寝室的wifi，就一直對他使用deauth攻擊吧。

我們新建一個窗口，使用aireplay-ng -0 2 -a **:**:**:**:**:** -c --:--:--:--:--:-- wlan0mon這個命令，使用wlan0mon網卡對mac地址為**:**:**:**:**:**的路由器的mac地址為--:--:--:--:--:--的客戶端發送時長為2秒鐘的deauth攻擊。

發送了之後，就會在原來的airodump-ng那個窗口的右上角，出現一行

WPA handshake：你的WIFI的MAC地址

就說明已經抓到握手包了。如果沒有抓到，可以增加攻擊時間，或者調整無線網卡接收器的角度。

我們按ctrl c退出，輸入ls，看到的确有cap文件了。

然後将含有12345678的字典文件（随便在網上找個字典都不可能沒有12345678）passwd.txt也放到這裡。執行命令

aircrack-ng -w passwd.txt cap-01.cap

提示KEY FOUND! [12345678]，的的确确找到這個密碼了。

虛拟機跑字典的速度比較慢，使用物理機結合GPU一起運算，跑字典的速度随着配置的提升速度最高可以達到幾百萬。

總結

今天我們學習了wifi認證的四次握手，以及通過deauth攻擊使已經連接的客戶端與路由器重新連接來抓取握手包，并通過字典來套wifi密碼的操作。

但不要以為學會這招就可以為所欲為地蹭網了。

誠然隻要字典夠大，跑得夠快，理論上來說，wifi密碼總能破解的。

但是，随便計算一下。假設我們采取10位的wifi密碼，每一位有a-z,A-Z,0-9，26 26 10=62種可能，也就是62^10種密碼的可能，每一密碼的長度是10字節，那麼我們的字典文件就至少有8*10^17字節，粗略換算，就是800000TB。還有特殊符号，以我們的普通電腦的運算速度……

但是，有規律的密碼，比如說簡單的拼音加上數字，比如說電話号碼，比如說固話，比如說生日，這些信息列舉出來的大小還是在可以接受的範圍的。

反過來，使用這些有規律的密碼，被破解出來的可能性就更大了。

但是，現在又出現了一種新的認證。像去肯德基麥當當這些公共wifi，它們都不設密碼的。要求用手機号收驗證碼認證。

學習是永遠都不能停下來的。一停止學習，就會落後于時代。

如果您在閱讀的過程中産生了什麼疑問，或者實際操作産生了什麼問題，請在文章下方留言，我一定竭盡全力為您解答。

關注以獲得更多資訊。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部