7.04 feisty
C/Perl decrypt.pl 擷取、解碼元件
(修改 Aircrack-ng 原始碼)
Ubuntu Server 7.04 feisty
C 擷取封包:airodump
破解 WEP/WPA 金鑰:aircrack-ng WEP/WPA 封包解密:airdecap-ng 監聽分析器 Ubuntu Server
7.04 feisty
C++ library: libnids、ACE、Boost、
libvmime、libmysqlclient, uuid InterceptDecoder
通聯記錄檢視器 Ubuntu Server 7.04 feisty Tomcat Web Server Appfuse framework
Java/JSP
乙、 硬體
無線網路卡 Dlink DWL-G122 H/W Ver:C.1 F/W Ver:3.00 (兩組) Dlink 802.1g/24.GHZ Wireless H/W Ver:C3 F/W Ver:4.31 無線網卡驅動程式 (RalinkRT73 (http://rt2x00.serialmonkey.com/rt73-cvs-daily.tar.gz) /
Madwifi)
圖 30:多點監聽佈署環境
圖 31:多點監聽佈署設定
若點選單ㄧ WIAP 圖示,則可啟動單一主控台操控選定的 WIAP,此時轉換 為單點模式。
(2) 單點 WIAP 監聽
假設一開始使用者已經知道監聽目標之資訊。使用者需要將無線監聽主控台 啟動,如圖 32,並連結監聽收集伺服器。通常無線監聽主控台佈署於運算能力 較強的主機,負責主控移動式無線網路封包收集裝置,與執行還原封包與破解 WEP/WPA 金鑰。
圖 32: 啟動監聽命令伺服器
與伺服器連線後,使用者可在 AP 模式獲知偵測到的無線存取點,並可選擇 各 AP 查看其詳細資訊與存取該 AP 的 client。如下圖 33 為主控台 AP 模式畫面。
圖 33:主控台 AP 模式
使用者選擇 Netlab_Keroro 存取點後,按下送出監聽參數按鈕;或由 STA 檢 視模式,在 STA 列表選擇監聽對象,如圖 34,並按下送出監聽參數,待監聽命 令伺服器開始擷取無線網路封包,圖 35 顯示監聽命令伺服器開始擷取 AP 名稱:
Netlab_Keroro,BSSID:00:0D:0B:6C:F3:B5 的無線封包。
圖 34:主控台 STA 模式
圖 35:監聽命令伺服器擷取封包
按下停止按鈕之後,結束擷取封包動作,並將擷取 BSSID:00:0D:0B:6C:F3:B5 的無線封包儲存為.cap 檔,檔名格式自動設定為時間_BSSID,如圖 36。
圖 36:終止封包收集
新擷取的網路封包存成.cap 檔後會加入”選擇來源分析檔”列表中,如下圖 37,使用者選擇解密等級 64bit 預設為等級 2,加密的位元可 64/128/256 bits 擇一,
其中選擇來源分析檔列表中型態 0 為 open system、WEP 為 1、WPA-PSK 為 2。
選定需要進行金鑰破解的來源檔案,呼叫監聽命令伺服器開始破解金鑰,如下圖 38 所 示 , 監 聽 命 令 伺 服 器 執 行 aircrack-ng 進 行 64bits , 檔 名 為 20071018213027_00:0D:0B;6C:F3:B5.cap 之 WEP 金鑰破解。
圖 37:選取破解金鑰檔案
圖 38:監聽命令伺服器破解金鑰
當金鑰破解完成後,金鑰會自動加入金鑰列表,如圖 39。
圖 39:破解後金鑰列表
使用者按下通聯記錄分析按鈕後,選擇指定分析檔案,系統會自動判斷該檔 案是否已經存有金鑰,填入/更新金鑰欄位,使用者點選開始分析,系統將自動 分析.cap 檔案,如圖 40 所示。
圖 40: 指定分析檔案
監聽命令伺服器接到分析命令,將會執行 decap(解密封包),隨後執行 decode(分析封包),如圖 41。待伺服器執行封包解密分析完畢,會將封包紀錄檔 解析協定內容,並存入資料庫中,如圖 42,使用者可至通聯記錄表查詢內容。
圖 41: 監聽命令伺服器解密/分析封包
圖 42: 指定檔分析完成 (3) Application View 通聯記錄檢視 web
使用者申請帳號登入通聯記錄檢視 web,登入畫面如圖 43。
圖 43: 通聯記錄登入畫面
下拉主功能列表可以查詢不同通訊協定之監聽資料,如圖 44 所示。
圖 44: 通聯記錄主功能列表
以下圖示為各通訊協定之通訊相關資訊(IRI)的列表與詳細資料。圖 45 為 FTPIRI 列表,清楚顯示使用者使用 FTP 之來源端 IP、目的端 IP、帳號、密碼與 時間等通訊相關資訊。圖 46 顯示為單筆紀錄展開之詳細通訊資訊。
圖 45: FTPIRI 列表
圖 46: FTPIRI 詳細資料
此 FTP 通聯記錄之附加檔案檔名為 Seminar03.doc,若要查詢附加檔案內 容,可點選附加檔案之連結,並下載檢視。如下圖 47,進行 FTP 附加檔案下載。
圖 47: FTP 附加檔案下載
圖 48 為 HTTPIRI 之列表。顯示使用者使用 HTTP 之來源端 IP、目的端 IP、
URL、GET/POST 與時間等通訊相關資訊。
圖 48: HTTP IRI 列表
圖 49 為 MSN IRI 之列表。顯示使用者使用 MSN 之來源端 IP、來源端埠號、
目的端 IP、目的端埠號、使用者帳號、通話人數、對談者帳號等通訊相關資訊,
並將此筆交談記錄儲存。圖 50 為單筆通話記錄的展開,其詳細資訊可獲知 MSN 通話時間與交談內容。
圖 49: MSN IRI 列表
圖 50: MSN IRI 詳細資料
圖 51 為 POP3 IRI 之列表。顯示使用者使用 POP3 之來源端 IP、來源端埠號、
目的端 IP、目的端埠號、寄件者、收件者、標題、信件大小與時間。圖 52 為此 筆 POP3 紀錄的詳細資料。SMTP 通聯記錄與 POP3 相似,故略之。
圖 51: P0P3 IRI 列表
圖 52: P0P3 IRI 詳細資料
5.3 雛型系統評估
無線區網監聽雛型系統預計能達成的目標,主要著重於支援機動戰術性的移 動監察活動。藉由本系統和筆記型電腦組合而成的移動平台,使用者可以輕易的 在室內或室外進行無線網路的監察行動。
本雛型系統預期可完成處理以下監聽技術:
1. 了解目前空間有哪些 Wireless Network 正在運作。
2. 了解目前空間中所有 Wireless Networks 的加密狀況。
3. 指定某 Wireless Network (Access Point)為目標進行封包攔截。
4. 破解加密過後的 802.11 資料封包(包含 WEP、WPA 與 WPA2 加密*)。
5. 對資料封包進行分類重組、辨別類型。
6. 對特定類型資料封包進行內容分析。
7. 將封包重組後形成的原資料進行儲存供日後瀏覽。
以上目標實為本雛型系統監聽技術研究之重點,於監聽活動進行時依序進 行。國軍預於資訊情報傳輸一新地點進行無線區網監聽,而不了解當地無線網路 佈建狀況時,本雛型系統能夠提供搜尋無線網路的功能。有別於傳統無線網路連 線狀況,本系統利用攔截 probe 資料的方式來確認空間中有哪些運行中的 A P 其 ESSID 與 BSSID,可以防止刻意關閉 Beacon 發送以隱藏 ESSID 的 A P。
為了能使攔截到的封包能順利被分析,本系統也提供破解無線網路加密系統 的功能。目前預期能夠有效破解 WEP 加密以及對 WPA 與 WPA2 系列加密做嘗 試破解的動作,前者只要利用蒐集封包中的 IV 值就能利用統計演算法進行比對 運算,而 WPA 系列加密則需要耗時的暴力演算法進行破解。
資料封包經破解後可窺看其內容,而後本系統得以依照封包的來源與目的進 行歸類,再以封包夾帶的資料類型進行重組的動作。預期可辨認出各個常用通訊 協定(如 Telnet、FTP、HTTP、SMTP、MSN Messenger 等等),再依照通訊協定 的交談特性進行重組,成為使用者可輕易辨識的連續通聯資料。
參考資料
• Wireshark http://wireshark.cs.pu.edu.tw/
• Kismet http://www.kismetwireless.net/
• AirCrack-NG Suite http://www.aircrack-ng.org/
• Winpcap http://www.winpcap.org/
• Libpcap http://www.tcpdump.org
• IEEE 802.1X http://standards.ieee.org/getieee802/download/802.1X-2001.pdf
• ETSI TR 102 519 V1.1.1,”Lawful Interception (LI); Lawful Interception of public Wireless LAN Internet Access”, 2006
• Wireless Security Blackpaper:
http://www.arstechnica.com/paedia/w/wireless/security-1.html
• WiFi Hacking 無線網路駭客現形攻防戰,莊添發 著,旗標,2006
• 802.11 完全剖析無線網路技術,鄭同伯 著,博碩,2004
• 802.11 無線網路技術通論 第二版,黃裕彰 譯 , O’REILLY, 2005
• 工研院電通所,無線區域網路認證技術及應用研究報告,CCL-9201-P104-063,2003