無線區網通信內容監聽技術研究

行 政 院 國 家 科 學 委 員 會 專 題 研 究 計 畫 期 中 報 告

一、基本資料： 申請條碼： 96N011 96N011 NSC96-2623-7009-007-D 本申請案所需經費(單選) A 類(研究主持費及執行計畫所需經費) 計 畫 類 別 ( 單 選 )一般型研究計畫 研 究 型 別 個別型計畫 計 畫 歸 屬 人文處 申請機構/系所（單位） 國立交通大學 資訊管理研究所 本 計 畫 主 持 人 姓 名 羅濟群 職 稱 教授 身 分 證 號 碼 *******558 中 文無線區網通信內容監聽技術研究 (第 24-6 項) 本 計 畫 名 稱

英 文 A Study of Interception methodology for Wireless Communication

整 合 型 總 計 畫 名 稱 整 合 型 總 計 畫 主 持 人 身 分 證 號 碼 全 程 執 行 期 限 自民國 96 年 1 月 1 日起至民國 96 年 12 月 31 日 學 門 代 碼 名 稱(如為其他類，請自行填寫學門) 研 究 學 門(請參考本申 請書所附之學門專長分 類 表 填 寫 )7F 電子與資訊系統 研 究 性 質應用研究 本年度申請主持國科會各類研究計畫(含預核案)共 2 件。(共同主持之計畫不予計入) 本件在本年度所申請之計畫中優先順序(不得重複)為第 2 。 計 畫 連 絡 人姓名： 羅濟群 電話：(公) 03-5731909 (宅/手 機)03-5783481 通 訊 地 址新竹市大學路1001 號交通大學資管系 傳 真 號 碼03-5723792 E-MAIL [email protected]

研究計畫摘要... 3 1. 研究計畫緒論 ... 5 1.1 研究計畫之動機... 5 1.2 研究計畫之目標... 5 1.3 重要性... 5 2. 文獻探討 ... 7 2.1 無線區域網路... 7 2.2 無線網路安全... 11 2.3 監聽機制... 18 2.4 無線封包分析... 20 3. 無線區網監聽系統架構 ... 28 3.1 無線區網監聽雛型系統架構... 28 3.2 監聽流程... 34 4. 無線區網監聽環境建置 ... 37 4.1 監聽設備-網路卡介紹 ... 37 4.2 監聽環境架構... 40 4.3 無線封包解密/分析實作 ... 42 4.4 通訊協定辨識... 48 4.4.1 封包分類... 48 4.4.2 HTTP... 50 4.4.3 FTP ... 54 4.4.4 SMTP... 63 4.4.5 MSN... 68 5. 無線區網監聽計畫後置 ... 74 5. 無線區網監聽雛型系統 ... 74 5.1 雛型系統開發環境... 74 5.2 雛型系統監聽流程... 74 5.3 雛型系統評估... 86 參考資料... 87

研究計畫摘要

一、 中文摘要

隨著網路通訊環境的成熟，現有的網路架構已經將行動通訊結合既有的網路 環境，包含有線與無線網路，構成嚴密的網路拓樸。在目前的技術環境下，無線 區網僅作為有線網路的補充，隨著 Wimax 與 802.11n 等新技術發展，未來無線 網路將逐漸取代有線網路的佈建。 無線區網通訊的涵蓋區域有一定的範圍，且只要在範圍內的人都可以容易聽 到訊號，非常有可能遭受到有心人士的截取與竊聽。對軍方而言，資訊安全的考 量甚為重要，當無線區網的應用更廣泛後，所有的陸上通訊設備與無線區網相互 連結，有效監聽無線區網與相關安全管理問題，將是重要的關鍵議題。 本研究預期將現有無線網路的軟、硬體設備進行監聽技術的研究，在 ETSI 與 IEEE 802.11 規範下，完成無線區網的監聽佈建。本研究以一個適用於此通訊 架構下的無線區域網路監聽管理機制，使得它能處理監聽管理問題與提供完善的 環境供管理者來管理此網路環境。 關鍵字： 無線區網、監聽方法、監聽架構、安全管理

二、 英文摘要

Along with the maturity of the communications network, the mobile communication incorporates with the existing networks, wired and wireless, to construct the network topology tightly in the modern network. In the current technological environment, the wireless LAN only as a wired network in the region, adding that the development of new technologies such as Wimax and 802.11n, the deployment of wireless LAN will gradually replace the wired network in the future.

Wireless LAN has certain scope of its coverage, and everyone could sense the signal and listen the information in the area. It is very possible to be intercepted by the hackers. For the army, the most critical concern issue is the information security. When the Wireless LAN application has become to be more diversity, all the communication devices would connect each other over the land. It would become the most key issue for effective interception of wireless LAN and security management.

This research is expected to study the intercept techniques of wireless LAN software and hardware, and under ETSI and IEEE 802.11 standards to construct the interception framework in wireless LAN. Therefore, we will propose the network management schemes to support the underlying communication environment, to deal with the interception management, and to satisfy the network managers while managing the networks.

Keywords: WLAN、Interception methodology、Interception framework、Security management

1. 研究計畫緒論

1.1 研究計畫之動機 對國軍而言，應用無線區域網路架構從事資訊情報傳輸有其戰略的考量。然 而無線網路先天設計上是以無線電技術為基礎，利用空氣作為介質，無線電波具 有一定穿透性，這使得攻擊者得以無線電波涵蓋的範圍內進行通訊內容的監聽。 如果使用者未將傳送的資訊適當的進行加密，則入侵者很容易便可以竊取所有的 通訊內容，並進行監控或網路監聽，分析網路通訊流量和內容，例如密碼分析。 將造成資訊安全上一大威脅，故無線網路監聽機制就顯得相當重要。此外，由於 無線通訊只要電波收訊範圍內即可使用，管控上易出現困難，管理者無法完全的 進行存取控制。 因此，希望藉由本研究從管理面與技術面探討監聽的技術與方法、安全管理 機制之研究，提供一個可進行無線區網監聽及具資訊安全的傳輸平台。 1.2 研究計畫之目標 依無線區網不同的拓樸、組成成員以及特性，建立監聽系統架構與相關監聽 機制技術。透過監聽技術的研究藉以加強反監聽機制，並反制未經驗證來源或非 法使用者對於無線區網內傳送資料之威脅，包含修改/擷取/阻斷服務/竊取封包 等，以有效防止敵方入侵。 本計畫為設計能符合無線網路環境所需的通訊架構，並依貴單位所提之需求 進行相關性之研究，包括： (1) 無線區網系統架構及國軍通信安全需求探討； (2) 無線區網上安全通信架構與協定研究； (3) ETSI 對監聽機制與技術上之規範與架構研析； (4) 監聽技術機制探討與效益評估分析； (5) 無線區網監聽技術探討與情資蒐集可行性分析； (6) 依國軍需求及無線區網特性研討監聽防護機制。 1.3 重要性 隨著網路科技的進步及基礎平台建構，特別是無線網路與行動通訊的出現， 使得無線區域網路的應用在網路環境的建置上提供了更快速方便的解決方案。無 線網路也為大型和中小企業組織帶來明顯的好處，它不但可在部署區域網路時免 除線路、插頭、交換器和施工(例如在牆上鑽孔)的需要，以節省大量時間與金錢， 還能讓內部人員獲得充份自由，即使在辦公室大樓內也能行動上網，遠離進行會 議或簡報時需要實際『插入』網路的不便，能更有效率地完成任務。

尤其在面對新一代無線網路通訊因應大規模新穎功能應用開發之際，現階段 實有必要依據 IEEE 802.1x 無線網路管理標準。未來將參照貴單位之管理上之需 要，長久的在無線網路監聽、控管上的發展進行規劃佈建，以配合國軍之運作管 理，不但能增進國軍作業之效率，透過了解監聽的運作進而達到監聽反制的功 能，更能夠有效的防止重要資料外漏。

2. 文獻探討

2.1 無線區域網路 無線區域網路 (WLAN) 是指使用高頻無線電波、而不得使用網路線在網路 客戶端和裝置間通訊、傳輸數據的區域網路。它是一種彈性的通訊系統，用於擴 充、或替代有線的區域網路。WLAN 藉由無線射頻(RF)銜接各種區域網路設備， 如:個人電腦、集線器(Hub)、交換器(Switch)等，或是提供不同的區域網路彼此 之間數位資料分享的網路系統，可免除佈線困擾，克服環境上障礙，提供漫遊使 用者(Roaming user)隨時隨地的網路環境，將傳統網路和行動技術加以結合。 圖 1: 頻譜分佈示意圖 WLAN 的技術有兩大分類:無線電波(窄頻微波、展頻 HomeRF、HyperLAN 以及藍芽技術)與光傳導(紅外線與雷射光)，其中以展頻為目前 Wireless LAN 使 用最廣泛的傳輸技術，原先由軍方發展用以避免信號的擁擠與被監聽，分為「跳 頻技術」及「直接序列」兩種方式。圖 1 頻譜分佈示意目前無線網路頻段使用的 狀況；ISM 頻段(Industrial Scientific Medical Band)，(包含三個頻帶 902～ 928MHz, 2.4～2.4835GHz, 5.725～5.850GHz)主要是開放給工業，科學、醫學， 三個主要機構使用，依據美國聯邦通訊委員會( FCC )所定義出來，屬於免申請執 照(Free License)，沒有所謂使用授權的限制。

(1) 802.11 相關標準

IEEE 802.11 是由美國電子電機工程學會於 1990 年 11 月召開 802.11 委 員會開始制訂無線區域網路標準，該標準訂定 OSI (Open System Interconnection ) 7 層通訊架構中的實體層 ( Physical Layer )及資料連結層( Data Link Layer )中的 媒介存取控制( Medium Address Control，MAC )子層之規範。每一個小組用一個

字母標示其所發展的標準，下表 1 列舉 IEEE 在推動 802.11 相關標準的歷史和目 前的活動情形，並詳列較耳熟之標準。 表 1: 802.11 相關標準 標準 制定 頻帶 傳輸速度 調變方式 備註 802.11 1997 900MHz 2Mbps FHSS 已廢棄不用 802.11a 1999 5GHz 54Mbps OFDM 低傳輸距離、高傳輸率 802.11b 1999 2.4GHz 11Mbps DSSS 和 802.11g 相容 802.11g 2003 2.4GHz 54Mbps OFDM 和 802.11b 相容 802.11d 著重在延伸無線技術到 IEEE 無法涵蓋到的國家 802.11e 著重在改善多媒體上的傳輸及服務品質 802.11f 著重在加強無線網路基地台之間的漫游和廠商間的互信 802.11h 著重在制定 5GHz 的動態頻率選擇技術及能源控管機制 802.11i 著重在加強安全性，內容包改善金鑰分佈方法和一些進階加密技術 IEEE 802.11a 該標準規定無線區網工作頻段在 5.15～5.825GHz，資料傳輸速 率達到 54 Mbps/ 72Mbps (Turbo)，傳輸距離控制在 10～100 米。802.11a 採用正 交頻分複用(OFDM)的獨特擴頻技術。 IEEE 802.11b 該標準規定無線區網工作頻段在 2.4～2.4835GHz，資料傳輸速 率達到 11Mbps，是對 IEEE 802.11 的一個補充，採用點對點模式和基本模式兩 種運作模式，在資料傳輸速率方面可以根據實際情況在 11Mbps、5.5Mbps、 2Mbps、1Mbps 的不同速率間自動切換，而且在 2Mbps、1Mbps 速率時與 802.11 相容。 802.11b 使用直接序列(Direct Sequence) DSSS 作為協定。802.11b 和工作 在 5GHz 頻率上的 802.11a 標準不相容。802.11b 最為普及，也稱為 Wi-Fi。 IEEE 的 802.11g 標準是對流行的 802.11b(即 Wi-Fi 標準)的提速(速度從 802.11b 的 11Mb/s 提高到 54Mb/s)。802.11g 接入點支援 802.11b 和 802.11g 客戶 設備。同樣，採用 802.11g 網卡的筆記型電腦也能訪問現有的 802.11b 接入點和 新的 802.11g 接入點。

IEEE 802.11i 標準是結合 IEEE 802.1x 中的用戶端身份驗證和設備驗證，對 無線區網 MAC 層進行修改與整合，或稱為 WPA2。802.11i 的元件包括:

• 已發行的 IEEE 802.1X 連接埠為基礎的驗證架構

• 暫存金鑰完整性通訊協定 (TKIP)

• 密碼檢索本和驗證談判 (2) 無線區網組成元件 IEEE 802.11 無線區域網路包含四種主要的實體元件:傳輸系統、基地台、無 線媒介、工作站。 1. 傳輸系統（Distribution system） 傳輸系統是屬於 IEEE 802.11 的邏輯元件，負責將訊框(frame)轉送到目的 地，當幾部基地台串連以覆蓋較大區域時，彼此之間必須互通訊息，才能掌握行 動式工作站的行蹤，因傳輸系統是基地台間轉送訊框的骨幹網路，所以又稱為骨 幹網路（Backbone Network）。 2. 基地台（Access Point，AP） IEEE 802.11 網路所使用的訊框必須經過轉換，才能夠將封包傳遞至其他不 同規格的網路，其最主要的功能是作為無線網路到有線網路的橋接器。AP 主要 是提供驗證(Authentication)與連接(Association)功能，就如同網際網路內的 Bridge 或 Router 功能。驗證程序將確認發出請求的電腦有權限進入。連接程序提供個 人電腦與 AP 相互間的資料交換。 3. 無線媒介（Wireless medium） IEEE 802.11 標準是以無線媒介在工作站之間傳遞訊框，如紅外線實體層及 射頻實體層，其中以射頻實體層最受歡迎。 4. 工作站（Station） 所謂的工作站是指配備有無線網路介面的計算裝置，通常是指筆記型電腦或 個人行動秘書亦可能是桌上型電腦。 圖 2: 無線區網組成元件架構

無線區域網路組成元件之架構則如圖 2 所示，一個 AP 所涵蓋之區域稱為基 本服務組合(Basic Service Set，BSS)，BSS 的功能與角色有如 GSM 蜂巢式通訊 系統內的細胞(Cell)。由裝置有無線網卡的電腦連結上 AP，AP 連接區域網路 LAN (Local Area Network)，再透過區域網路連結網際網路(Internet)。

(3) 無線區網架構

IEEE 802.11制訂出兩種不同類型的無線區域網路基本架構，如圖1-3所示:

(a) Infrastructure 模式 (b) Ad Hoc 模式

圖 3 :無線區域網路模式架構

1. 有基礎架構的無線區域網路 (Infrastructure Wireless LAN)

圖 3(a) Infrastructure 模式較常被普遍使用及架設，由 AP 為訊號發射中心， 有如路由器般將訊號送至每一台無線網路節點，負責無線網路中各個節點的資料 封包轉送。而 AP 本身也能夠連接傳統區域網路，做無線資料與有線資料格式的 轉換。而各網路節點需要用一些特定方式向 AP 登記，當取得 AP 的服務組合識 別碼(Service Set identifier，SSID)後就可以由 AP 連接 ISP 提供的服務或是連結 Internet。一般 AP 通常也具有 RJ45 連接埠，可以提供傳統 Ethernet 10/100Mbps 連線服務，所以 AP 本身具有將無線網路封包及有線網路封包相互轉換的功能。

在 Infrastructure 的網路架構下，通常 AP 與區域網路內的乙太網路相連結， 此時的乙太網路在 802.11 的標準內稱為 DS (Distribution System)，同一個區域可 能同時安裝許多 AP，由每個 AP 構成的 BSS 與 DS 共同組成延伸式服務組合 (Extended Service Set ， ESS) ， 在 同 一 個 ESS 內 所 有 的 電 腦 都 必 須 設 定 成 Infrastructure 的連結，並選擇相同的 ESS ID 號碼。為了避免各個 AP 發射電波在 相同的頻率，造成訊號間互相干擾，各個 AP 必須設定成不同的頻道。

2. 無基礎架構的無線區域網路(Ad Hoc Wireless LAN)

無基礎架構的無線區域網路主要是要提供即時架設起無線通信網路，其點 對點(Ad hoc)模式不需要無線網路基地台 AP 作為傳輸中繼，而可由兩台以上具 有無線網路連線功能的電腦(以下簡稱節點)進行此模式，組成一小型區域網路，

每一個網路節點都能夠轉送資料到其他的節點，其資料的傳輸路徑將會動態的由 當前的傳輸狀態或連線情形來決定。此模式的優點為容易架設，便於在緊急情況 (軍事狀況、緊急醫療行動)或是需要快速分享資料(戶外會議)的時機使用。只要 將全部的網路節點都給定相同的 BSSID，Ad Hoc 網路即架設完成，如圖 3 (b)。 2.2 無線網路安全 (1) 無線網路所面臨的攻擊型態 無線網路面臨的攻擊手法和有線網路其實大同小異，隨著無線網路設施的普 及化，無線網路中的攻擊行動與種類隨著時間而不斷翻新，也有各種開發完成的 輔助工具能用來進行攻擊。這些攻擊雖然可能表面上看起來方式不同，其實掌握 的仍是無線網路的幾個主要弱點。以下介紹無線網路的幾個主要威脅類型: 1. 網路分析 這是無線網路攻擊的必要先行項目之一，在此階段，攻擊者很難被察覺。 攻擊者為了得到此網路的相關資訊，特別是由 802.11 MAC Header 中提供的資 訊，會將其節點的 Wireless NIC 設定成雜聽(Promiscuous)模式，收集網路上來往 的資料封包。一般來說只需要一台移動性佳的網路節點如 Notebook 或 PDA，搭 配上具備聆聽功能的無線網路介面，再加上一具簡單的指向性天線，就能夠進行 網路分析。網路分析的重點在於找尋到無線網路的存在並利用 MAC Header 中紀 錄的資訊進行整個網路的分析，為接下來的攻擊行動做準備。例如:從標頭中可 得知此網路是否受到 WEP 加密保護，或是此無線網路的 AP 實體位址。 2. 被動式竊聽 與網路分析不同的是，攻擊者在此階段積極的收集網路上的 Session 資訊與 其資料酬載。假使封包在沒有加密的狀況下，重要的資訊在此時就能被攻擊者完 整的接收下來；若資料有進行加密，則可以讓攻擊者耗費一些時間在解密的進行 上。同樣的，此類攻擊也很可以很難被察覺或掌握，利用指向性天線，攻擊者可 以在無線網路有效理論距離外進行資料的竊取。被動式竊聽也可以收集到相當數 量的封包資訊，這對於破解 WEP 加密有相當程度的幫助。由於 WEP 加密採用 的是人工管理金鑰以及固定數量的起始向量值(IV)，在一定數量的封包中有機會 能夠重複，因此給了攻擊者相當大的機會能夠破解。一但破解後將會揭露其下保 護的上層 Layer 標頭資訊，如 Source IP address、Destination IP Address 等等，攻 擊者將握有更多資訊來發動更進一波攻勢。

3. 主動式竊聽

被動式竊聽因為完全不對網路發送任何資訊，所以可以幾乎不被任何人察 覺。主動式竊聽則將會對網路進行一些設計過的訊息發送或是發送被修改過的封

包，例如 IP Spoofing 就是主動式竊聽的利用。所謂的 IP Spoofing 主要是更改封 包的標頭，讓整個攻擊封包看起來像是來自可信任的網域，而被允許進入 Router 或 防火牆(Firewall)，直接攻擊網路主機。 4. MAC Spoofing 攻擊者可利用改變自己的實體位址來加入一個無線網路，甚至進入無線網 路後端的有線網路。進行此攻擊通常不具有很大的威脅，但緊接著攻擊者便可以 藉由在網路中的存取權進行其他的攻擊行動。 5. Man-in-the-Middle(MITM)攻擊 藉由分析攻擊目標與 AP 之間的封包往來，攻擊者可以得到完整的 Session 資訊。當 Session 再度開始時，攻擊者發送干擾封包將目標與 AP 之間的 Session 中斷並阻斷其與 AP 之間的連線路徑，並將其導引到攻擊者自己的網路節點中。 在此同時攻擊者開始假冒目標的身分和 AP 進行身分認證，並重新啟動 Session。 此時目標將以為 Session 將繼續進行，但其實資料的交換完全透過攻擊者的機器 進行處理，而攻擊者可完整得到攻擊目標與 AP 之間傳送的所有 Session 資料。 為了達成目標，攻擊者必須先使用 ARP Spoofing 將原有的 IP/MAC 對映資料破 壞，以故意發送 ARP Reply 的手法更新 AP 的 ARP Cache，就可能將封包和 Session 重新導向至攻擊者希望的節點當中。 6. 綁架 Session 假設攻擊者由之前的準備工作取得了足夠的身分認證資料，可以假冒攻擊 目標對 AP 進行身分確認時，攻擊者可以在目標進行 Session 時將其 Session 中 斷，目標雖知 Session 已經中斷但無法察覺 Session 的控制權已遭到搶奪。此攻 擊方式需要預先取得大量關於使用者的資訊，因此需要完美的竊聽、封包分析和 解密工作；一但取得所有需要的資訊，攻擊者將可以利用攻擊目標的 Session 進 行任何工作，損失將難以估計。攻擊者也可以採用 Replay 的攻擊方式，不中斷 目標 Session 但在其 Session 結束後再進行開啟 Session 的工作，將更難以被使用 者察覺有異。 以上攻擊手法通常是針對具有 AP 的 Infrastructure 無線網路，若無線網路不 具備任何加密手法或保護使用者的身分認證機制，對於攻擊者而言將輕而易舉能 進入網路取得其所需而徹底不被察覺。而即使具有完好的加密手法，也難以保證 完全不可能被攻擊者所破解。因此主動式的防護與多層的資料保護手法仍是不可 或缺的安全要素，能夠提早杜絕未經過授權的使用者或在其下手前使其現形，成 為無線網路安全的主要目標。基本上攻擊者的攻擊模式除了完全靜默的竊聽之 外，如果要實際進行具有威脅性的攻擊必定需要親自進入網路發送某些資訊，此 類資訊必定不是網路的正常行為，因此網路監察者藉由對該網路一定程度的觀察

還有行為的統計分析後建立網路行為模式參照表，必定可以比對出資料流中這些 異常的資訊內容。 (2) 無線網路安全機制 在無線通訊中，傳輸資料被竊聽是常見的現象。由於無線電波的廣播特性， 任何欲竊聽者只要將其竊聽器的接收頻率調至傳送頻率即可順利進行竊聽的工 作。為了解決這個問題，IEEE 802.11 標準中制定了一個與有線網路具同等功效 的資料保密演算法。也就是要保護無線網路之授權使用者，使之免於被竊聽的煩 惱。有線網路上要進行竊聽的工作至少要連接到線上，這種不方便性在某種程度 上也可說是一種安全屬性。無線網路雖然不具備這種特有的安全屬性，802.11 卻 希望能提供與此功能相當的安全性。大多數的 WLAN 設備都是以 IEEE 802.11 協定為基礎的，該標準為解決 WLAN 的安全問題，提出了一系列的安全機制， IEEE 802.11 的安全相關機制分述如下:

1. MAC Address Filtering

在 IEEE 802.11b 中，使用者認證較明確的是透過 AP 記錄每個授權用戶端 的 MAC address 於資料庫， 只有加入 Access Control List (ACL)中的 MAC address 才可被允許對此 AP 作存取及認證動作。但由於其資訊獲取比較容易，而且利用 軟體就可以對其進行修改，因此目前普遍均認為這種方法要達到安全性要求的效 果並不大。

2. Service Set Identification (SSID)

SSID 是一個由某一群無線區域網路子系統設備所共用的網域名稱，可以提 供最基本的存取控制。利用 SSID 當作網路的主要存取控制機制是一種危險的作 法，因為 SSID 基本上不具備周密的安全性，其原本應用在同一個區域對多個無 線 LAN 網路進行分組的，並非認證功能。此外，SSID 只要在接入點不“禁止 SSID 的自動檢測”，SSID 資訊就可以在用戶端被顯示出來。

3. Wired Equivalent Privacy (WEP)

有線等效加密(WEP)是為了保護在無線區域網路的資料傳輸安全所設計的 加解密系統。WEP 機制本身是屬於一種對稱式(Symmetric)的密碼系統(Crypto system)，意即用來加密及解密的密鑰是相同的。明文(Plaintext)經過密鑰加密 (Encryption)之後得到密文(Ciphertext)，而密文亦使用相同密鑰來解密(Decryption) 以還原得到明文。 WEP 加密的步驟如下:

a. 首先將明文經過 CRC-32(cyclic redundancy check)演算法的處理產生長 4 Bytes 的完整性檢查值(Integrity Check Value，ICV)。

c. 隨機選取一長度為 24 bits 的初始向量值(Initialization Vector，IV)，然後 將 AP 及工作站(Station)之間共享之 40 或 104 位元的 WEP Key 合併。 d. 將 IV+WEP Key 合併起來的 64 或 128 位元資料，輸入密碼器以產生加

密用的位元組串流(byte stream)。

e. 將合併過 ICV 的明文與 RC4（Rivest Cipher 4）產生的位元串流做 XOR 運算求出密文。 f. 最後將 IV 置於密文前面即為最終傳送的資料訊框(data frame)。 WEP 解密的步驟如下: a. 將 IV 及 WEP Key 合併。 b. 將 IV+WEP Key 導入 RC4 密碼器以產生位元組串流。 c. 將位元組串流與密文做 XOR 的動作，可以得到明文 ICV。 d. 將解出的明文 CRC-32 演算法處理求得新的 ICV’。 e. 若 ICV=ICV’，則接收的資料正確；否則，即丟棄此資料訊框，並送出 錯誤訊息給原來的工作站。 資料在經過 WEP 加密過後，預期達到的主要目標有下列三點: a. 機密(Confidentiality):這是 WEP 最主要的目的，將資料加密防止竊聽。 b. 存取控制(Access Contorl):僅允許合法用戶存取網路。 c. 資料完整性(Data Integrity):防止資料在傳輸途中遭他人惡意竄改。 要達成上述三項“宣稱”的目標，則依賴於 WEP Key 是否會被輕易解開的程 度，以下列舉兩項已知的方法，根據現今電腦的運算能力、金鑰的長短及網路流 量，甚至可於數十分鐘內破解 WEP 加密。 • 暴力攻擊法(Brute Force) 所謂的暴力攻擊法，指的是靠電腦的運算能力，在有限的密鑰空間內，找出 使用者所選用的密鑰。 • 已知 IV 攻擊法(Known IV Attack) 所謂的已知 IV 攻擊法，是藉由特定 IV 型式的封包，來反推出使用者設定 的密鑰，當封包收集量愈多，找出原來使用者密鑰的可能性就愈高。此法發現 RC4 用來產生密鑰的演算法有缺陷，在選用某些 IV 的情況下，使用者密鑰的某 部份仍會出現在最後產生的位元串流組裡，這類密鑰在密碼常上稱為弱密鑰 (Weak Key)，只要收集這些並研究這些弱密鑰加密後的資訊，便可以反推出使用 者密碼。這本來不是件容易的工作，但拜 WEP 並未將 IV 加密之賜，而是以明 文傳遞的方式，使得這方法的可行性大為增加。目前網路上已有公開可取得對破 解工具，例如 WEPCrack、AirSnort 等。近來發生的公開攻擊事件更進一步證明 了 WEP 這項協定比原本各界所以為的更為脆弱且易於破解。WEP 的加解密步 驟與破解之方法將於後段章節進行實作的說明。

4. IEEE 802.1x

為解決IEEE802.11安全性不足的問題，因而產生了一個新的標準– IEEE 802.1x-「以連接埠為基準的網路存取控制」(Port-Based Network Access Control)。 也就是透過驗證方式來保護網路的一種連接埠存取通訊協定。它和WEP最大的 不同點在於，WEP只認WEP Key，也就是只對裝置做認證；而802.1x則藉由使用 者輸入帳號／密碼或提供X.509認證，來達到『認人』的進階安全。如果有某個 無線網路使用者經由 802.1x 驗證進行網路存取，在存取點上就會開啟一個允許 通訊的虛擬連接埠。如果授權不成功，就不會提供虛擬連接埠，而通訊就會受到 阻擋。 802.1x 驗證有三項基本要件: a. 申請者(Supplicant):請求網路存取權，並且需接受 Authenticator 的認證 稽核，例如無線工作站。 b. 驗證者(Authenticator):要求並且接受未受信任端網路節點的認證請求的 實體，例如無線存取點(AP)。

c. 驗證伺服器(Authentication Server):驗證資料庫，通常是一個 Radius 伺 服器，例如 Cisco ACS*、Steel- Belted Radius* 或 Microsoft IAS* 。 在 IEEE 802.1x 標準所控管的網路下，使用者必須透過 EAPOL(Extensible Authentication Protocol Over LAN)，藉由無線擷取器或無線頻寬路由器來提供使 用者帳號與密碼或數位憑證(Digital Certificate)至後端 Radius Server。Radius Server 即根據這些資訊對使用者進行認證，認證通過的合法使用者方可被授權 使用該無線區域網路，此外 Radius Server 亦會記錄每個使用者的登入與登出之 時間資訊，作為日後計費或網路資源使用情形的監控之用。因此透過 IEEE 802.1x 協定的施行以及 Radius Server 與使用者帳號資料庫的配合使用，一般企業、ISP 乃至各無線區域網路服務提供者均可以有效管理行動使用者在該網路的存取行 為。

5. EAP (Extensible Authentication Protocol)

EAP(Extensible Authentication Protocol)提供一個可彈性選擇認證機制的架 構。申請者 (無線工作站) 與驗證伺服器之間會使用 EAP 來傳遞驗證資訊。EAP 類型會定義及處理實際的驗證，其類型可採取多種型式:

• MD5:使用密碼對網路的單向驗證

MD5 是一種 One Way Hash Function，輸入 n bits 長度的資料，輸出 128 bits 的電子指紋。當它應用在 EAP 中，提供了一種最簡單的實作模式。首先， Authentication Server 必須存放每一位使用者的 Identity ／ MD5 of password pair，當提出 MD5 挑戰後，使用者輸入他原本的 password，這個 password 經運

算成 MD5 碼送出後即視為對伺服器的回應。這樣做的用意是，即使在傳輸過程 中資料遭竊取，攻擊者也無法經由 MD5 反推算出使用者的密碼。

EAP-MD5 是種非常普遍的方法，因為它不僅實作簡單，在使用上也相當方 便，使用者僅僅需要輸入 ID 及 password 即認證完畢。但過於簡單的相反面顯露 出安全性的不足，它只提供了伺服器對使用者的認證，無法提供使用者對伺服器 的雙向認證(Mutual Authentication)，這個弱點導致它容易遭受偽造伺服器的 Man in the Middle Attack。此外，攻擊者雖然無法得知原始密碼，但只要有帳號及 MD5 碼，仍然可以偽裝成合法使用者(Relay Attack)。

• EAP-TLS:兩方使用者或用戶端和驗證伺服器端以憑證為基礎的驗證

EAP-TLS 較 EAP-MD5 提供了更完善的安全機制，包括雙向認證及通道加 密。在此模式下運作，Supplicant 及 Authentication Server 都必須擁有憑證，當它 們相互認證之後，便可在兩者之間建立 TLS tunnel 加密。這種作法類似 SSL 的 加 強 版 ， 而 實 際 上 ， 確 實 也 有 許 多 EAP-TLS 模 組 底 層 實 作 OpenSSL (http://www.openssl.org/)。Supplicant 還可以進一步再對網路做認證，必須是擁有 憑證者才是合法的 AP，就可以避免偽冒 AP 的攻擊。EAP-TLS 提供了很好的防 護，但它同時必須額外維護憑證，這是實作上必須考量的地方。

• EAP-TTLS 及受保護 EAP (PEAP)

EAP-TTLS 和 PEAP 概念十分類似，分為兩個階段。在第一階段 Supplicant 及 Authentication Server 建立連線並互相認證；在第二階段，會使用在第一階段 協調好的密鑰建立通道，將使用者的帳號／密碼傳送給認證伺服器。不同的地方 在 於 ， PEAP 只 能 使 用 EAP protocol(for example,EAP-MS-CHAP-V2) ， 而 EAP-TTLS 則無此限制。

6. 802.11i

過去企業採用無線網路時，由於 WEP Key 的內容都是固定的，為了避免惡 意的入侵，網管人員必須每隔一段時間通知使用者更換加密的 WEP Key，進而 降低被入侵的風險。有鑑於此，IEEE 802.11i 針對無線網路原本所具備的弱點加 以補強，在 WIFI 的推動下，制訂了 WPA(WIFI Protected Access)標準，以 IEEE 802.11i Draft 為藍圖，去建構出一個符合現今需求，具備更進一步安全性的無線 網路環境。

目前802.11i主要定義的加密機制可以分為TKIP (Temporal Key Integrity Protocol，暫時密鑰集成協定) 與AES(Advanced Encryption Standard，高級加密標 準)。WPA 是由 TKIP 與 IEEE 802.1X 技術所組成，解決了 WEP 的安全瑕 疵，改善資料的加密與身份認證。TKIP主要的設計是相容於原本802.11的硬體產 品，透過韌體與軟體升級來提高加密的安全，一樣是透過RC4加密，但是可以讓

每個封包都提供不同的加密Key值。原本的WEP加密使用24-bit的IV值，目前的 TKIP使用48-bit IV值，如此大幅減低IV值重複的問題。

2004 年 9 月 Wi-Fi 聯盟宣佈支援 WLAN 安全國際標準規格 IEEE802.11i 的 安全規定 WPA2（Wi-Fi Protected Access 2）開始進行認證作業，Wi-Fi 聯盟表示， 此項認證的目的是讓政府等公共機構和企業重要部門等需要嚴格保密的組織也 能用上比較安全的 WLAN。WPA2 要求産品支援加密演算法 AES。AES 於 2002 年 5 月被美國商務部定爲美國政府的標準密碼，它以美國政府的安全標準“FIPS 140-2”爲基準。隨著 WPA2 的亮相，美國政府以及採用 FIPS 140-2 標準的機構、 企業就可以使用符合標準規格的 WLAN。WPA2 也支援 RC4，具有對 WPA 的向 下相容性，能連接 WPA 支援産品及 WPA 的安全級別。但 WPA2 不相容 WPA 的 前身 WEP。

WPA2 PSK（Pre-Shared Key），PSK 會同時以用戶端與存取器的密碼或識 別碼（亦稱為通關密語）來確認使用者。假如用戶端的密碼符合存取器的密碼， 即可存取網路。PSK 也提供TKIP 或AES 為各個封包的傳輸資料產出加密碼的 密鑰素材。PSK 比靜態WEP 更安全，但兩者都儲存於用戶端，一旦用戶端設備 失竊，PSK 同樣會被破解。建議使用混合字母、數字與非字元符號的複雜化PSK 通關密語。 (3) 無線網路的安全弱點 雖然 802.11 有提供基本的安全機制，但是也有已被證實其漏洞存在的機 制，無法確保所使用的無線區域網路的安全性，以下就無線區網的架構分別探討 關於現存安全機制潛在的問題: 1. Infrastructure 無線網路存在著 AP，AP 通常是接上有線網路以提供無線 網路存取外界資訊，每隔一定時間會送出一個 Beacon Frames，用以宣佈 802.11 網路的存在，內容包含有 Relay Information、Timestamp、SSID 等。其中 SSID 可 阻擋無 SSID 的用戶端設備的存取動作。但存取器預設以標識來廣播 SSID，也 就是即使關閉了 SSID 的廣播，攻擊者仍能透過嗅探(Sniffing)作法，或在不被偵 測的情況下對網路進行監看，來偵測出 SSID。 部分WLAN 供應商支援以用戶端網路介接卡的實際位址或MAC 位址進行 驗證。存取器也僅允許符合驗證清單的用戶端MAC 位址進行連結。但MAC 驗 證仍非完善的安全作法，因為MAC 位址可被偽造，而網路介接卡也可能失竊。 此外，AP 和無線網路裝置之間要做任何的連線，必須要先經過一段協調過 程(Associating)。預設的機制是 Open System Authentication，使用這個機制的話 任何人都可以透過 AP 進行連線，不提供任何安全機制，任何人只要有正確的

SSID 就可以透過 AP 進行網路的存取，在這種狀況下等於是毫無保障可言。 如果設定為 Shared Key Authentication，AP 和使用者之間就會開始進行一段 Challenge-Response 的認證過程，如 WEP 安全機制的弱點，攻擊者竊聽這整個過 程就有辦法取得整個加密過程中三個變數中的兩個，再將其套入 RC4 的運算式 中，攻擊者就有辦法得到 shared key，接下來所有的通訊內容都有辦法被反解回 明文。 2. Ad hoc network 代表這個網路不需要 A P 來控管這個網路，每個節點各 自組織，互相轉傳，由於 Ad hoc network 上的弱點，造成的攻擊問題包括: a. 黑洞問題(Black hole):被入侵的節點利用無基礎行動網路路由協定發 送假冒的路由資料，使其他節點對於最短路徑的判斷錯誤，將資訊 送到錯誤的路徑而無法正確傳輸。 b. 阻斷式服務攻擊(Denial of service):攻擊者由外部網路或被入侵的結 點，發送大量控制訊息封包，使得頻寬被佔據而無法傳送資料。 c. 溢滿式路由攻擊(Routing table overflow):被入侵的節點藉由偽造的路

由資訊，使欲攻擊的節點誤以為有另外一條路徑存在，而將資料送 往不正確的路徑。 d. 仿冒節點問題(Impersonation):一個惡意節點偽造假的控制封包，更新 附近節點的路由資訊，使得原本應該傳給某個特定節點的資訊，轉 送到惡意節點。用以竊取某些特定資訊。 e. 資訊外流問題(Information disclosure):無基礎行動網路需要藉著其他 節點協助進行資料傳遞。因此中繼節點可截取傳輸的資訊，若傳送 者與接收者中間必須透過某些未被身分認證的節點傳送時，資訊即 有可能外流而造成傷害。 2.3 監聽機制 就無線區網監聽而言，係可經由監聽工具來攔截封包、複製封包、儲存封包、 分析封包等程序達成。攔截封包，必須在監察對象的封包可能會經過的節點上或 在相同的區域涵蓋範圍內，設置或具有截收能力的設備，攔截並過濾出被截收目 標的封包，此時，截收設備可將攔截到的封包先暫存至儲存媒體，待稍後分析， 再轉換為欲監聽對象的監察資料，如各式不同的檔案格式的儲存體，例如：text、 picture、voice。 實務上在監聽了一段時間後，便可以找到資料傳輸的 key 值，IV 值，只要 能找到一組，就有 5%機會找出真正 key 值。而整個具監聽機制的系統依監聽的 方式不同，系統種類可概分為兩種，包括:轉送型監聽系統與分散式同步截收型

監聽方式。監聽內容的程序分為兩階段式，在第一階段，會依照管理系統提供條 件，來過濾出特定對象是否有進行網路傳送資料的行為，如果判讀出設定監察對 象有進行傳送資料立即觸發第二階段的截收動作，也就是開始截收封包資料，並 由截收伺服器開始同步解碼，儲存等動作，完成整個監聽的動作。監聽架構的後 台管理系統提供使用者介面，設定截收配方組合，例如:來源號碼，目的 IP 位址、 監聽時段等條件，並遙控其開始與結束，檢索監聽內容等。 轉送型監聽系統，利用轉向功能設計，執行對特定對象的監聽，不需要攔截 所有的封包。轉送型監聽又可細分為側錄型監聽與會議型監聽兩種方式，分別如 下所介紹: (1) 側錄型監聽系統環境 當監聽單位建立欲監聽對象之列表，提供給網路管理者，匯入其使用身份至 監聽管理名單中，當這些受監聽的使用者開始傳送資料時，經判別為需要被監聽 之對象時，會把原來該建立到目標的連線，強制改建立到一台為監聽目的所設置 的伺服器上，而該伺服器是一台具有側錄能力的 Relay Server，再由該側錄伺服 器中介代理建立連線到真正撥打目的對象，所有的語音封包都會透過該側錄伺服 器轉送，而該閘道可以將談話內容側錄一份，完成監聽動作。在無線區域網路中 的 Relay Server 最佳設置點就如同 AP 的角色，不論是無線區網內或是向外傳送 的資料都會經過 AP，此時，可將欲監聽對象的封包側錄下來後，再進行後處理 與資料分析。 (2) 會議型監聽系統環境 無線區網在 Ad-hoc infrastructure 下，可以不用透過 AP 轉送，是可以直接建 立一個雙向連線到目的點去，和側錄型監聽的模式相比，必需是在被監聽的使用 者的傳輸範為內，可減少使用者查覺到自己被監聽的可能性。轉送的好處是只適 用於監聽對象內容，無關者不會被連帶受監聽的問題，爭議較少。 在建立監聽系統安全機制的設計上必須滿足下列的準則: 1. 建立轉送連線時間(call setup time)不能過長。

2. 減少傳送的即時控制訊號（real-time signaling） 3. 減少服務提供商(service provider)與網路作業人員的工作負擔。 4. 必須管理監察的監聽名單。 5. 反監聽的分配與更換方式需非常容易。 6. 監聽資料需有標準化訂定和部份需要進一步符合秘密通訊自由之保障。 7. 提供版本控制的管理方法，以利將來機制的更新與修正。 8. 必須符合我國的法規限制，如監察資料內容管制、合法監聽等功能。

2.4 無線封包分析 (1) 監聽軟體簡介 無線網路進行監聽大多可以利用工具監聽封包的資訊，以企圖從封包內容中 獲取重要的資訊，例如:使用者帳號、密碼、IP位址，或是即時通訊的談話內容。 以下將列舉常使用的監聽工具，並簡介其功能和運作平台。 1. Wireshark a. 簡述

Ethereal 是目前最多人所使用的 Sniffing Tool，已經廣泛用於區域網路封包解 析作業。於 2006 年夏天改名為 Wireshark。它可以設定尋找的封包類型來進行封 包過濾，甚至可以即時的在擷取封包時進行過濾。它具有相當完整的封包解析能 力，能將封包先歸類，再以樹狀結構的方式將封包的資料解開讓使用者能一目了 然其中的內容。Wireshark 可辨識包括 TCP/IP 在內的 759 種通訊協定，除了 802.3 和 Wi-Fi 無線網路之外，它還能夠對 FDDI、PPP、Token Ring、X.25 以及 ATM 網路進行封包分析，可算是目前能力最強以及用途最廣的 Sniffing Tool。

b. 運作平台

„ Windows (Win32) Wireshark 具有 Win32 的版本，但需要 WinPcap 輔 助才能進行作業。WinPcap 是符合工業標準的資料鏈結層(Data Link Layer)存取介面，運作於 Win32 環境，能讓應用程式跳過普通傳輸協 定直接從鏈結層中進行例如核心層級的封包過濾或統計作業。 „ Linux (Unix):為 Wireshark 官方建議使用的平台，因為 Linux 容許應

用程式在有介面的情況下直接使用連線於平台上的硬體設施，無須 透過如 Win32 平台的動態連結庫等繁瑣的措施。Wireshark 的 Linux 版本需要以下需求:

y GTK+和 Glib:負責 Wireshark 的 GUI 環境。 y LibPcap:用途如 Win32 的 WinPcap。

y Perl: Ethereal 須利用 Perl 進行文件的編製動作。

y Zlib(optional):當 Wireshark 進行蒐集的資料壓縮時需使用。 y NET-SNMP(optional):需要分析 SNMP 資料時 Wireshark 需要使 用此項。 c. 優缺點分析 在純粹 802.11 無線網路監聽的功能上，Wireshark 仍舊可以勝任，只要準備 好可進入運作模式的無線網路介面(WNIC)即可開始進行監聽和攔截封包的工 作。Wireshark 只要鎖定 NIC 就可以從 NIC 中開始擷取它所收到的任何封包，並

在停止後按照一一詳列在主視窗中，讓使用者能點取並由外而內檢查封包的內 容。Wireshark 發展至今已經相當純熟，由於其簡單的操作和介面相當容易上手， 可使用在各平台上的版本易於取得再加上功能強大，故也廣為被網路犯罪者所使 用。而因為其自由軟體的身分，也更無法控制使用者的領域或素質。在可以輕易 取得的情況下，Wireshark 除了是優異的網路監察工具外，相對的亦是功能強大 的網路犯罪工具。 2. NetStumbler a. 簡述 NetStumble 是廣為被推薦的小型偵測軟體。它的主要功能是探測節點一定範 圍內的所有 802.11(a/b/g)無線電波訊號，對於進行無線網路部署有相當程度的助 益。主要用途如: y 視察無線網路部署情況 y 探測強弱訊號的極限範圍 y 探測其他無線網路用以預估可能遭遇的訊號干擾 y 探測工作範圍內其他私設 AP 的位置 y 幫助偵查指向性天線的存在 y 用來進行 War-driving Netstumbler 程式可提供的資訊大多與 AP 有關，包括訊號強弱的圖表、訊號 頻道、SSID、有無啟用加密 WEP 協定等，對於測知 AP 的作業狀況能有一定程 度的掌握，幫助工程師進行無線網路的調整。 b. 運作平台

NetStumbler 目前僅限 Windows 平台使用，故僅推出 Win32 的 Beggarware 版本(不同於免費的自由軟體)。使用條件相當容易達成，僅需要可進行運作的無 線網路介面即可，若有 Promiscuous 模式更佳。 c. 優缺點分析 由於軟體本身用途為協助進行 AP 的部署以及設定，NetStumbler 的功能僅 限於探測並找出 AP 的存在，顯示各 AP 的資訊，不具其他額外功能。但若搭配 上 GPS 裝置，Netstumbler 將能夠搭配 GPS 提供的 NMEA 格式訊號來對 AP 進行 定位，幫助尋找非經允許而架設的 AP 裝置。對於需要進行網路偵防工作的人而 言，此軟體的用途單一而小巧，無法提供執法人員太多資訊。

3. Kismet a. 簡述

Kismet 是 802.11 Layer 2 的無線網路偵測、監聽軟體，同時也是入侵偵測系 統，對於 802.11/a/b/g 無線網路都可進行 Sniffing 的工作。 Kismet 的監聽技術， 主要是利用被動 (Passive) 模式，收集無線網路的封包，偵測標準的開放網路、 隱藏網路，藉由資料封包的分析，還能夠偵測到將一些關閉 Beacon 基地台的隱 藏無線網路。 Kismet 對於其他網路監察工具也有相當的支援度，可以讀取或儲存與 Ethereal、Tcpdump 及 AirSnort 格式相容的紀錄檔，使其成為相當強大的封包分 析軟體和 WEP 加密分析軟體。 b. 運作平台 目前 Kismet 僅限於 Linux 平台使用，同時必須倚賴以下幾項必備元件才能正 常運作: y Libpcap y Wireshark y Gpsdrive(Optional):幫助 Kismet 使用連接上的 GPS 設備，幫助 對已經偵測過的無線網路實際區域製作地圖。 c. 優缺點分析 Kismet 的功能相當強大，由於其整合各類網路監察工具的功能與用途，使 其幾乎能夠滿足各種網路偵防工作。使用者需要在 Linux 平台上才能使用，故對 於其他平台的使用者(如 Win32)就必須進行平台轉移。Kismet 除了具備基本的 Sniffing 與封包分析技術外，它還可以幫助使用者分析並找出 WEP 加密的金鑰 並將蒐集到的封包加以解密，所以對於網路監察而言它無疑是一把最好的工具。 但同樣的，頂尖的技術若為不法人士所使用，則將對於網路所有的使用者將造成 相當嚴重的威脅。 4. AirSnort a. 簡述 AirSnort 屬於破解加密系統的工具。WEP 已經被證實為不安全的加密方式，但 事實上它仍在被廣泛使用，AirSnort 針對了 WEP 的弱點進行封包的破解工作。 首先必須要蒐集超過 300 萬到 500 萬個封包，隨後 AirSnort 便能夠由這些封包資 料中推算找出此 WEP 加密密碼。AirSnort 推出主要是為了展示 WEP 加密系統的 弱點，雖然有很多軟體早已達成這個目標，但它是目前能夠同時捕捉封包與進行 加密的唯一工具。

b. 運作平台

使用者只能夠在 Linux 平台中使用 AirSnort，需要一連串繁瑣的設定。 c. 優缺點分析

為了完成功能，AirSnort 各版本幾乎都提供簡便的 Command Line 控制，直 到最近的版本才提供 GUI，在安裝設定上對 Linux 新手而言實屬困難。當一切安 裝與設定過程結束後，AirSnort 能夠完全掌控 Wireless NIC，使其進入 promiscuous mode 來進行封包的捕捉，當取出足量封包後進行處理，直到列出最後一筆 IV 值 為止，再由使用者利用 Script 進行破解。在新版(2+)的 AirSnort 當中更新增了 SSID 偵測與 AP 實體位址(MAC)偵測，也提供 GUI 讓喜歡圖形介面的使用者使用。 AirSnort 本身唯一目標是用來破解 WEP 加密取得金鑰的軟體，對於其他功能無 太多著墨。 5. AirCrack-NG a. 簡述 NG 是下一代的意思，AirCrack-NG 是一個相當完整的無線網路攻擊工具 組，不但可以利用來做 WEP 加密金鑰的破解，也可以做 WPA-PSK 金鑰的字 典攻擊，其工具套件包括 airodump-ng、aireplay-ng、aircrack-ng、airmon-ng 等。 AirCrack-NG 的基本原理是首先收集足夠多的加密資料包，然後通過統計學 計算恢復 WEP 的 IVs。對於 40 位元 WEP 通常需要 30 萬個 IVs（Initialization Vector），對於 104 位元 WEP 則需要 150-200 萬個 IVs。

b. 運作平台

AirCrack-NG 有 Linux 版 本 ， 還 有 Windows 版 本 ， 另 外 也 有 人 寫 了 Windows AirCrack 的 GUI 程式，叫做 WinAirCrack，搭配 AirCrack-NG 的使 用。Linux 版的 AirCrack-NG 提供的工具較為完整，包含了以下的幾個程式:

y Airodump-ng: 802.11 封包截取程式 y Aireplay-ng: 802.11 封包注入程式

y Aircrack-ng: WEP 及 WPA-PSK key 破解主程式 y Airdecap-ng: WEP/WPA 封包解密程式 y Airmon-ng: 802.11 網路監聽程式 y Packetforge-ng: 802.11 封包製造程式 y Airtun-ng: 802.11 加密封包蒐集及封包注入程式 y Tools:其他相關工具 c. 優缺點分析

不同於早期被動的收集封包，AirCrack-NG 在 WEP 加密金鑰的破解，可以 採取更『主動』的封包注入的方式，製造偽造的 ARP Request 的封包，使得 AP 回應這樣的請求，而發出 ARP Reply 的封包，而當 AP 發出回應封包時，駭客 就可以收集更多的『 IV 值』，加速 WEP 加密金鑰的破解，以一個 128 Bits 的 Key，可能在三十分鐘之內被破解。 Aircrack-NG 在處理 802.11 認證時存在漏洞，遠端攻擊者可能利用此漏洞在 運行 Aircrack-NG 的機器上執行任意指令。僅在將 Airodump-ng 配置為以-w 或 --write 選項記錄且無線設備以 monitor 模式抓包的情況下才可能出現這個漏洞。 (2) 封包分析 探討 802.11 的封包結構，得先從其 MAC 訊框(Frame)介紹，圖 4 為 802.11 之 MAC Frame。 圖 4: MAC Frame

802.11 MAC 標頭(MAC Header)定義了 Frame Control、Duration ID、Sequence ID 以及 Source 和 Destination Address 等等的重要資訊，總長 30 Bytes。故可以提 供資訊說明此封包的來源和目的地為何，由於進行此標頭封裝的層級是在網路架 構中的第二層(Data Link Layer)，以未加密或破解加密後的情況考量，標頭資料 將可以使得到此封包的人了解標頭所提供的資訊，這也是我們接收到封包後可以 最先進行分析的部份。詳細的 MAC 標頭介紹如下:

1. Frame Control 欄位:總長 2 Bytes 的欄位，記錄了多項關於此封包的身分 資料，可分為 11 個小欄位。

a. Protocol 欄位:總長 2 Bits，說明此 MAC 訊框版本。

b. Type 及 Subtypes 欄位:兩者共長 6 Bits，用來標示此 Frame 的種類與種 類用途，以代碼來進行分類。

c. ToDS 及 FromDS 欄位:用來指出這個封包是否是傳到一個 Infrastructure 無線網路中的 Distribution Set(通常是 AP)。

d. More Fragments 欄位:這裡記錄此封包是否為已經分割過的封包，若上 層協定中的封包內容已經遭到分割，則除了分割的最後一個段落或無 分割外，此欄位的值都為 1。

e. Retry 欄位:若此訊框內裝的是送方重送的封包，則值為 1。

進入省電狀態，若是則此值為 1。 g. More Data 欄位:若有目標正從省電狀態中醒來且接收封包，則 AP 會 將其送出封包的這個欄位值設為 1，以讓目標節點得知在其睡眠時有 一個以上的封包等待它接收。 h. WEP 欄位:若此值為 1 則說明此封包經過 WEP 加密，送至目的地時需 要解密才能獲得封包內容。 i. Order 欄位:當封包使用分割傳送時，如果採取前後有順序的傳送(Strict Order)，則此值為 1。 2. Durarion/ID 欄 位 : 此 欄 位 有 三 種 不 同 的 作 用 ， 分 別 是 設 定 Network Allocation Vector(NAV)、標明是否為免競爭期(Contention-free)發送的訊框以及 PS-Poll 訊框。設定 NAV 代表此封包標明了網路介質將有多少忙碌時間而不能被 使用，而在免競爭期中會將此 NAV 數目設定為一極大值，以避免他人佔用網路 產生干擾。PS-Poll 訊框則負責紀錄網路節點的省電睡眠期，在節點被喚醒時傳 送堆積的資料封包。

3. 四個 Address 欄位:承襲了 Ethernet 的特性，WLAN 的位址表示仍使用 48Bits 的數值來表示實體位置(MAC/Physical Address)，如果第一個傳送的數值是 0，則代表為 Unicast；若數值為 1，Multicast；若全部的數值都為 1，則代表此次 傳送為 Broadcast。在 WLAN 中的四個 Address 欄 位會因為不同類型的封包而有 不同的代表意義，但總括來說它們會分別裝載以下資訊: a. 目的地位址:封包最後抵達的位址 b. 來源位址:封包送出的來源位址 c. 收取者(Receiver)位址:此位址指出該封包該由何無線網路中繼站傳 送，通常為 AP 位址。 d. 發送者(Transmitter)位址:此位址指出該封包是由何中繼站送出，通常只 用在無線橋接器 (Bridge)之間封包的傳送。

e. Basic Service Set ID(BSSID):若在同一個地理區域範圍內有多個無線網 路存在，則每一個無線網路被稱做一個 Basic Service Set (BSS)。在 Infrastructure 網路中，BSSID 即代表 AP 所使用的 MAC 實體位址；在 Ad Hoc 網路中則用用亂數產生 48Bits 的資料再套用部份規則以形成 BSSID。 一般來說這四個 Address 欄位在不同類型的訊框下會有不同的表現，有時某 些欄位不帶有任何資料，會視該訊框的作用而定。由此可知 Address 的內容和欄 位出現數也可用來判斷此封包的性質，幫助進行封包分析的工作。例如管理訊框 和資料訊框，至少會有三筆 Address 分別有不同的作用，而控制訊框上記載的

Address 則可能只有一至兩個。 4. Sequence Control 欄位:主要和封包的分割傳送有關，其內容關係到如何 將分割過的封包資料重組或丟棄重複接收到的封包區塊。 以上是 MAC 標頭的各欄位主要作用，不論是用什麼方法接收到的封包都能 先對標頭資訊做分析，利用得到的資料判斷是否該進行更深入的分析或丟棄封 包。惡意的攻擊者也可以從標頭資訊得到網路的部份資料，用以部署其攻擊行 動。但若真要分析封包內夾帶的重要資訊內容，在有加密的情況下就得開始著手 解密的工作，將耗費一定的時間成本。所以加密的動作仍可以對封包做一定程度 的保護，視所使用的加密方法而定。

MAC 訊框除了包含 MAC 標頭資訊外，還有訊框主體(Frame Body)。這裡 裝載了此封包內含的資料酬載(Payload)或其他內容。訊框主體的內容分別定義了 三種 802.11 運作模式的封包結構，分為: 控制訊框(Control Frame)，管理訊框 （Management Frame），以及資料訊框（Data Frame）。控制訊框是用來作為頻 道的宣告，載波感測的維護，以及資料接收的回應等工作，而管理訊框主要是用 來執行管理功能用，例如加入或離開某一個無線區域網路，與擷取點的連接，身 分認可等工作。另外，資料訊框就是一般用來傳遞網路上層所託付的資料的訊框 格式，以下是 802.11 相關的訊框: a. 控制訊框:控制訊框的型別辨識碼為01b，如表2: 表2: 控制訊框 序號 子型別辨識碼 訊框名稱 01 1010 PS-Poll 02 1011 RTS 03 1100 CLS 04 1101 ACK 05 1110 CF End 06 1111 CF End+CF-Ack b. 管理訊框:管理訊框的型別辨識碼為00b，如表3所示: 表3:管理訊框 序號 子型別辨識碼 訊框名稱 01 0000 Association Request 02 0001 Association Response 03 0010 Reassociation Request 04 0011 Reassociation Response

05 0100 Probe Request 06 0101 Probe Response 07 0110-0111 Reserved 08 1000 Beacon 09 1001 ATIM 10 1010 Disassociation 11 1011 Authentication 12 1100 Deauthentication 13 1101-1111 Reserved c. 資料訊框:資料訊框的型別辨識碼為10b，如表4所示: 表4:資料訊框 序號 子型別辨識碼 訊框名稱 01 0000 Data 02 0001 Data+CF-Ack 03 0010 Data+CF-Poll 04 0011 Data+CF-Ack+CF-Poll

05 0100 Null Function (no data)

06 0101 CF-Ack (no data)

07 0110 CF-Poll (no data)

08 0111 CF-Ack+CF-Poll (no data)

3. 無線區網監聽系統架構

3.1 無線區網監聽雛型系統架構 圖 5: 無線區網監聽雛型系統架構 本研究無線區網監聽雛形系統之架構如圖 5 所示。其包含使用者介面、無線 封包處理和無線封包截聽三個模組。此架構將結合現行工具來達成無線區網封包 擷取和 WEP 破解之功能。各模組內容如下:

(1) 無線封包截聽模組(WinPcap / LibPcap Module)

Pcap 是封包擷取函式庫，WinPcap 是一個針對 Win32 平台上封包擷取和網

路分析的架構，它的主要功能就是讓網路卡所收到的封包能夠傳至系統中，讓系 統知悉這個封包的完整架構以及內容。利用 WinPcap 的核心:網路封包過濾器 (Netgroup Packet Filter，NPF)處理網路上傳輸的封包，並且提供可擷取(Capture)、 發送(Injection)和分析性能(Analysis Capabilities)，此模組負責截聽收集無線封 包，再提供至無線封包處理模組進行解封裝。

(2) 無線封包處理模組(Packet Processing Module)

1. Decapsulation 元件

的解封裝處理單元；第三層 IPv4 協定的解封裝處理單元；第四層 TCP 與 UDP 協定的解封裝處理單元。 本系統內部以通訊協定描述子（Protocol Descriptor）資料結構表示封包的封 裝資訊，而封裝資訊包括通訊協定類別、起始位址與長度。解封裝模組以解封裝 處理單元建置表示封包封裝結構的通訊協定描述子串列資料結構。 封裝處理單元資料結構如下:

typedef struct 80211ProtocolDesc {

unsigned int type;/* Header type,i.e IEEE802_11*/ unsigned int len;/* Header length */

unsigned int bytesoffset;/* Start offset*/

80211ProtocolDescriptor *next; /* Next header */ } *80211ProtocolDescr , **80211ProtocolDescr;

圖 6 為解封裝(Decapsulation)元件對 IPv4 封包的解封裝流程。首先解封裝模 組由 WinPcap / LibPcap 模組取得 IPv4 封包 (如(1))，並由 802.11 處理單元開始 進行解封裝處理。802.11 處理單元建構 80211 通訊描述子結點(如(a)) ，並經由 802.11 Type 標頭欄位得知其上層為 IPv4 格式，然後將封包交由 IPv4 處理單元 ( 如 (2)) 。 IPv4 處 理 單 元 建 構 IPv4 通 訊 描 述 子 結 點 ( 如 (b)) ， 並 經 由 IPv4 NextHeader 標頭欄位得知其上層為 TCP 格式，然後將封包交由 TCP 處理單元 (如(3))。TCP 處理單元建構 TCP 通訊描述子結點(如(c))，然後將封包捨去前端 所有通訊協定標頭以取得 TCP 酬載(Payload)，並加上 TCP 酬載通訊描述子結點 (如(d))，如此完成通訊描述子串列資料結構的建置。最後通訊描述子串列資料結 構將存放於記憶體緩衝區中提供使用者介面模組進行後續的分析處理(如(4))。 圖 6: 解封裝處理元件

2. WEP Crack 元件

利用現有工具 Aircrack-ng 實作功能達成破解 WEP 金鑰，WEP Cracker 定 期從 Memory Buffer 或封包暫存磁碟檔案取得 WEP IV，在評估加密長度所需要 的 WEP IV 量達到後，WEP Crack 並進行破解運算，並輸出至 Application Viewer 元件，Application Viewer 內含一個 WEP 金鑰與 Access Point 對照表。或輸入已 破解之 WEP IV 可提供 WinPcap/LibPcap 模組進行截聽。

(3) 使用者介面模組(User Interface Module)

User Interface Module

Configuration WebGUI/GUI Dispatcher Packet Viewer Application Viewer Database Packet Processing module (a) (b) (1) (2) (3) (4) (5) (c) (d) 圖 7 :使用者介面模組 圖 7 為使用者介面模組，其元件功能描述如下: 1. Dispatcher 元件 Dispatcher 元件以詢問方式檢查到記憶體緩衝區內是否有新收集的封包，並 從記憶體緩衝區取出新收集的封包。Dispatcher 元件會將封包傳送至 Packet Viewer 元件與 Application Viewer 進行封包應用層分析檢視之工作。

2. Packet Viewer 元件

Packet Viewer 元件首先將封包儲存成暫存檔，然後以現行軟體 Wireshark 封 包分析器對暫存檔解析。最後將 Wireshark 封包分析器的協定解析輸出與封包的 第二層、第三層、第四層通訊協定標頭傳到 GUI 元件並與 Application Viewer 元 件分享解析資訊(如(b))。

3. Application Viewer 元件

Application Viewer 元件將 Packet Viewer 元件解析出的資訊取出應用層資 料，並針對應用層協定封包進行應用層的重組還原。協定重組分析將於 4.4 章詳

細描述，將 Payload 分析並還原成 HTTP、FTP、SMTP/POP3、MSN 等協定。並 將應用層資料，存入資料庫中(如(d))。並由 WebGUI 讀取資料庫中，應用層協定 的監聽資料。

Application Viewer 亦接受 WEP Crack 的輸入，並使用 Hash dictionary 資料 結構記錄金鑰與 AP、時間的對照表，如表 5。

表 5: Application Viewer 記錄表

AP BSSID ESSID Timestamp Key Encrption 00:14:6C:04:57:9B 2007/6/14 11:22:34 AE:66:5C:FD:24:E3:92:A 9:14:39:D4:27:4B WEP (684002 IVs) Application Viewer 元件首先解析應用層的通訊協定來判斷封包是否為 HTTP、SMTP、POP3、MSN 協定。例如:封包為 HTTP 協定，Application Viewer 元件根據封包中的 Sequence number 與 Acknowledge 標頭欄位將封包以 HTTP Session 分類並重組，並更新 HTTP 對話的 HTTP 封包計數器。最後將 HTTP 資 訊結果傳到資料庫中。 4. 資料庫 資料庫接受 Application Viewer 的 SQL 輸入，將應用層資料轉存至資料庫。 以下列表 6~12 為無線封包監聽資料庫之資料綱要，依通訊協定之特性進行欄位 的記錄，可對照資料庫設計。 表 6 為 WEP 金鑰管理之資料表。 表 6: WEP 金鑰管理

AP BSSID ESSID Timestamp Key Encrption 00:14:6C:04:57:9B 2007/6/14 11:22:34 AE:66:5C:FD:24:E3:92:A 9:14:39:D4:27:4B WEP (684002 IVs) 表 7 記錄 POP3 清單每封所寄出 email 的基本資訊，包括收信日期、時間、 寄件者、寄件者 IP、收件者、副本、密件副本、主旨、大小和附加檔。 表 7:收件[POP3] 時間 寄件者 收件者 副本 主旨 信件內文 附加檔 2006-10-14 10:34:50

表 8 記錄 SMTP 清單每封所寄出 email 的基本資訊，包括收信日期、時間、 寄件者、寄件者 IP、收件者、副本、密件副本、主旨、大小和附加檔。 表 8: 寄件[SMTP] 時間 寄件者 收件者 副本 主旨 信件內文 附加檔 2006-10-14 10:34:50

[email protected] [email protected] NONE test Test… Test.doc

FTP 清單可記錄使用者每筆上/下傳的檔案記錄，包括日期時間、使用者帳 號、使用者密碼、上/下傳模式、FTP 伺服器、檔案名稱，如表 9 所示。 表 9: FTP 記錄 日期 使用者帳號 使用者密碼 模式 伺服器 檔名 2006-10-14 10:34:50

anaon 541234 上傳 ftp.cvs.com Upload.php

Website 記錄共有 2 個部分: • 網頁記錄 [ HTTP ] HTTP 網頁清單可記錄瀏覽網頁之網址、時間和使用 IP，如表 10 所示。 表 10: HTTP 網頁記錄 IP 時間日期 URL 192.168.0.1 2007-04-01 13:34:45 www.tomcat.com.tw • 網頁內容記錄 [ HTTP ( Dynamic ) ] 在網頁內容記錄的資料中，系統會記錄網頁內容的文字部分，並將非文字部 分加以過濾處理，以減少硬碟空間使用，如表 11 所示。 表 11: HTTP 內容記錄 IP 時間日期 URL 離線瀏覽 192.168.0.1 2007-04-01 13:34:45 www.tomcat.com.tw /flash/index.htm MSN 清單可記錄使用者每筆交談記錄，包括對談日期時間、發話者帳號、 收話者帳號、交談內容 、交談筆數，如表 12 所示。

表 12:MSN 內容記錄 IP 時間日期 發話帳號 收話帳號 交談 內容 交談 筆數 192.168.0.2 2007-04-01 13:34:45 [email protected] [email protected] 會議 延期 5 5. Configuration 元件

使用者透過 GUI 可以設定無線封包監聽之篩選(Filter)條件，此 Configuration 元件會傳遞指令於 Dispatcher 元件使符合使用者監聽需求之封包將傳送至 Packet Viewer 元件與 Application Viwer 於 GUI 進行封包應用層分析檢視之工作。

3.2 監聽流程 監聽流程如圖 8 表示:監聽活動一開始會將偵測出監聽範圍內之 AP 與 Client，即將監聽目標之相關資訊提供給封包截聽模組進行抓取封包，封包截取 並儲存成 pcap 檔案再提供封包處理模組進行分析，顯示至使用者介面。 列出各頻道 的Access Point與Client 開始 是否為AP 監聽模式 將目標之ESSID BSSID、Access Point之 MAC Address參數傳給無 線監聽libpcap模組 選擇工作站監聽 模式 No 是否收到參數 Yes No Yes No 抓取封包 是否按下停 止收集封包 儲存pcap檔案 No Yes 進行後置分析 Application layer protocol 將通聯記錄資 料寫入監聽資 料庫 若有WEP Key No Yes 將擷取封包資 料顯示至Packet Viewer 將已分析的封 包資料顯示至 Packet Viewer 結束 Yes Yes 將工作站監聽目 標參數傳送給無 線監聽模組 (a) (c) (b) (d) 圖 8: 監聽流程

監聽流程(a)為啟動監聽介面，若為選擇 AP 監聽模式針對所選擇偵測 AP 目 標，系統即開始進行資料偵測。在ＡＰ監聽模式中，可選擇依無線基地台的頻道 ( By Channel ) 為偵測目標， 選擇清單內無線基地台頻道值，按下送出監聽參數 鈕，系統即開始針對頻道進行偵測。表 13 為 AP 監聽模式的功能欄位: 表 13: AP 監聽模式功能 AP 監聽模式功能項目說明 對象 無線基地台監聽模式 擷取封包量 封包流量大小 自動收集 自動模式下系統裝置、存 取設定，開始/停止執行。 及時監聽條件 及時監聽設定規則條件 BSSID 顯示 AP MAC 值 收集過濾條件 設定一般側錄條件 頻道 顯示 AP Channel 值 儲存 scan 資料 AP、STA 資訊儲存清單 MB/S 顯示頻寬速率 更新頻率 設定更新時間頻率/每秒 金錀 顯示 WEPKEY 狀態值 開始/結束 啟動/停止 強度 顯示訊號強度

By Channel 設定依選擇頻道側錄 BEACONS 顯示 Beacon 封包

By Channel + Ap 設定 Channel +AP 封包量 顯示封包數量 Ap 設定 AP 目標標示功能 ESSID AP ID 掃瞄 顯示訊號強度偵測表 STA 顯示目前連結 AP 的使用 者數量

若選擇圖 8 流程(b)，則在 STA 工作站端監聽模式(MODE STA)，針對所選 擇監聽 Client 目標(流程(d))，按下送出監聽參數，系統即開始進行資料偵測。表 14 說明 STA MODE 功能項目。 表 14: STA MODE 功能 STA MODE 功能項目說明 對象 STA:Client 端監聽模式 擷取封包量 封包流量大小 自動收集 自動模式下系統裝置、存取 設定，按下開始/停止執行。 及時監聽條件 及時監聽設定規則條件 CLIENT MAC 顯示 Client 端網卡 MAC 值 # :顯示網卡資訊 ip:顯示網卡 ip 資訊 收集過濾條件 設定一般側錄條件 強度 顯示訊號強度

儲存 scan 資料 AP、STA 資訊儲存清單 封包量 顯示封包數量

更新頻率 更新時間頻率/每秒 BSSID 顯示 AP 的 MAC 值

開始/結束 啟動/停止 金錀 顯示 WEPKEY 狀態值

STA 設定 Client 目標標示功能 頻道 顯示 AP Channel 頻道值

掃瞄 顯示訊號強度偵測表 ESSID AP ID

選定目標之後，按下系統參數送出按鈕，主控台會將參數送給監聽擷取封包 主機並開始擷取封包資訊(流程(c))。圖 9 顯示無線區網監聽之主控台；透過主控 台進行 AP 監聽或工作站端監聽。

4. 無線區網監聽環境建置

4.1 監聽設備-網路卡介紹 (1) 網路卡類型 在 WLAN 中，裝設無線網卡即經由空氣中的頻道傳送和接收資料和 WLAN 通訊。欲執行無線監聽攻防將必須使用特殊的網路卡才能擷取到封包，表 15 整 理目前較容易取得且實際可執行監聽的網卡資訊，供參考以進行選購。 表 15: 網路卡類型整理 晶片組 廠牌 型號 介面類型 備註 DWL-120+ USB D-Link DWL-520+ PCI 2350c CF Acx100 (802.11b) Samsung SWL-2300P PCI

Cisco Cisco Aironet 340 PCMCIA

PCI

D-Link DWL-122 PCMCIA Prism/2/2.5/3

(802.11b) _{Senao NL-2511CDPLUS PCMCIA} 200Mw 高功率

(收訊範圍大) Intel PRO/Wireless 2915 (a/b/g) Intel PRO/Wireless 2200 (b/g) Intel PRO/Wireless 2100 IPW2100/2200/2 915/3945 Intel (Centrino) Intel PRO/Wireless 3945(a/b/g) Chipset

Atheros D-Link DWL-G650 PCMCIA H/W: B1, B2, C1, C3

Agere

(Lucent, Proxim) Silver/Gold PCMCIA/USB W200 HP/Compaq WL215 Orinoco Melco BUFFALO WLI-USB-L11G-WR USB D-Link DWL-G122 USB H/W: B1 F/W: 2.0.3 Ralink ASUS WL-167G USB

(2) 網路卡模式

網路卡在正常運作的情況下只會接收要送給自己的封包(當然也包括廣播與 群播的訊息)，為了使網路卡能夠監聽網路上傳送的訊息，首要之務是要讓網路 卡變成無所不收的型態運作。這樣的運作型態我們稱之為 Promiscuous mode。

進行監聽活動捕捉封包，首先需將無線介面切換為監聽模式( Monitoring Mode)，相當於Ethernet 介面的封包捕捉模式 (Promiscuous Mode)。啟動監聽模 式 的 方 法 ， 會 依 無 線 驅 動 程 式 而 異 。 並 不 是 每 一 張 網 路 卡 都 可 以 修 改 成 Promiscuous mode 運作，這樣的功能取決於網路卡製造商是否有提供開啟此項 功能的機制，尤其是無線網路卡。目前已知提供Promiscuous mode 運作的802.11b 無線網路卡有所有使用PRISM II 系列晶片的無線網路卡在Linux 上皆有提供這 樣的機制，其他像Cisco 或 ORINOCO 有其他Windows 上的應用程式可以支援 如Sniffer, AiroPeek 等等。以下列舉Prism與Atheros晶片組的網卡監聽模式設定。

1. Prism 無線網卡

採 用 Prism 晶 片 組 的 網 卡 有 兩 種 驅 動 程 式 可 使 用 :linux-wlan-ng (http://www.linux-wlan.org) 以 及 HostAP 驅 動 程 式 (http://hostap.epitest.fi) 。 linux-wlan-ng 驅動程式在 0.1.15 版本之後，將監聽列入為基本功能。它的啟動 透過 wlanctl-ng 命令。

# wlanctl-ng wlan0 lnxreg_wlansniffer enable=true channel=6 若要關閉監聽模式:

# wlanctl-ng wlan0 enable=false

使用 Prism 晶片組的網卡可搭配 HostAP 驅動程式進行監聽。可自訂 private system call (類似無線延伸功能) 來啟動監聽模式。只要傳送監聽模式命令 (2 或 3) 給網卡，就可以啟動監聽模式。 模式 2 可以監聽所有標頭，模式 3 用 來監聽 802.11 標頭。要關閉監聽模式，可以將模式設定為 0:

# iwpriv eth1 monitor mode

# iwpriv eth1 monitor 0 2. Atheros 無線網卡

Atheros 晶片組的網卡使用 MADwifi 驅動程式。2005 年 11 月版本之前的驅 動程式可以用 iwconfig 命令將網卡切換為監聽模式。並可以使用 iwconfig 指定 所要監聽的頻道，命令如下：

# iwconfig ath0 mode monitor # iwconfig ath0 channel 11

2006 年之後的版本改用其他指令啟動監聽模式，改變模式指令如下： # ifconfig ath0 down

# wlanconfig ath0 destroy

#wlanconfig ath0 create wlandev wifi0 wlanmode [sta|adhoc|ap|monitor|wds|ahdemo]

因此改變成 monitor mode 需先建立一個 VAP device，上一行最後模式選擇 monitor: