2.3 Windows嗅探工具/注入工具
比较悲剧的是,尽管Windows操作系统的“监测模式”已获得广泛支持,这些支持既包括本地的,也包括通过第三方工具(如AirPCap和CommView)获得的,但并没有多少应用程序可以很好地在“监测模式”下进行“被动式扫描”。这些Windows上的应用,多数只是与无线网络的故障诊断和调试相关。以同样的方式,Wireshark并不能真正地取代Kismet、NetMon/MessageAnalyzer和CommView,也不是一个可以实施“战争驾驶”无线网络攻击操作的好的替代品。
2.3.1 NDIS 6.0对“监测模式”的支持(NetMon/MessageAnalyzer)
在Windows Vista版本发布后,Microsoft公司借机清理了Windows上的无线“应用程序接口”。Windows Vista及以后版本的无线驱动程序主要针对NDIS 6.0编译的。“网络驱动程序接口规范”(Network Driver Interface Specification,NDIS)是用于Microsoft公司网络接口设备驱动程序的编写而设定的“应用程序接口”。当Microsoft公司返工重新设计无线规范的时候,他们还增加了一个为驱动程序设置“监测模式”的标准方式。这样做最明显的结果是,Microsoft公司“网络监视器”(Network Monitor)NetMon程序和它的大哥“消息分析器”(Message Analyzer),可以用来把网卡设置成“监测模式”并捕获数据包。
⚡ 网络监视器NetMon程序(被动嗅探)
为了能够支持“监测模式”,你需要安装最新版本的“网络监视器”NetMon程序,然后在nmwifi的实用工具集(该工具集也包括NetMon程序)中配置网卡适配器的信道和模式。图2-4是nmwifi软件的一张截图。
nmwifi工具用于配置“监测模式”接口。一旦配置成功,就可以用来捕获通信数据包(详见图2-5)。关于使用“网络监视器”NetMon程序的“监测模式”入侵网络的更多细节,请参见7章。
♥ 提示
不能忘记使用nmwifi设置适当的信道以供无线网络使用。令人惊讶的是,尽管Microsoft提供了一套标准化“应用程序接口”,可以全面支持无线网卡的“监测模式”,但第三方在Windows上提供“监测模式”解决方案的市场仍然相当大。事实证明,目前还没有哪个应用程序比“网络监视器”NetMon程序更能有效地使用当地“监测模式”。
2.3.2 AirPcap工具
AirPcap是Riverbed公司提供的产品(该公司的前身是CACE技术公司)。对于基于UNIX操作系统的用户来说,通常对这个工具并不陌生。但对于Windows操作系统的用户来说,还比较新。总之,AirPcap这款产品的设计目标是提供商业级“监测模式”。保护对自身的保护方式,是通过一套特定品牌的“USB接口软件狗”(USB dongle)实现的。这些软件狗也可以很好地与WinPcap集成起来,这意味着Wireshark公司可以很容易地支持AirPcap软件,原因是CACE技术公司是Wireshark软件的母公司,CACE公司在2010年被Riverbed公司收购之后,Wireshark公司自然就成为Riverbed公司的子公司。
⚡ AirPcap(被动型嗅探)
针对于不同需求的用户,AirPcap产品包被分成多种配置组合,其中大部分配置组合都支持“数据包注入”功能。AirPcap产品价格从不支持“数据包注入”功能的大约200美元,到全面支持802.11协议中的a/b/g/n等子协议的700美元不等。不幸的是,具备这种能力会将你重新拉回到配备笔记本电脑合理的价格上(约700美元)。详细的价格和功能介绍,请参阅网址:http://www.cacetech.com/products/airpcap.html。
AirPcap的一大优势,就是它对程序开发者十分友好。就第三方支持而言,AirPcap目前有两张王牌,一张是著名的密码恶魔“Cain&Abel”[1],另一张是Aircrack-ng,二者是因为AirPcap的易用性而将AirPcap作为其编程接口的。
安装AirPcap
在Windows上安装AirPcap软件的步骤和在Windows上安装其他任意应用程序一样。一旦你安装完驱动程序,并且将驱动程序与应用工具软件进行了关联(associate),那么就可以使用“AirPcap的控制面板”(AirPcap Control Panel)(如图2-6所示)对用户的无线网卡中,信道频率等信息进行配置了。
当AirPcap的接口配置操作完成以后,就可以运行那些与AirPcap关联过的各种应用程序,包括Wireshark、“Cain&Abel”等应用程序。如前所述,AirPcap其实是一个产品包,其中包含几个应用程序。在这些应用程序中,有一款十分有趣的应用程序,名为“AirPcap的情景再现”(AirPcapReplay)(该程序的界面如图2-7所示),这个应用程序最大的特点就是,根据之前在Windows中捕获并保存的那些数据包文件,该应用程序可以对捕获过程中出现的现象进行再现播放。
2.3.3 Wi-Fi版CommView
Wi-Fi版CommView是一个由Tamosoft公司开发的商业产品,Tamosoft公司的主页是http://www.tamos.com。你可以从其公司主页上免费下载一个非常功能化的试验版本进行试用。这个免费试用版本的所有功能和操作方式都与商业版完全相同,只是免费试用版在使用30天后就会过期。
Wi-Fi版CommView针对各种不同的芯片组和网卡适配器提供了不同的驱动程序。下面网址的名单中,列出了这些芯片组和网卡适配器的厂商,其中包括了Atheros和最新Intel公司的芯片组。你可以通过http://www.tamos.com/products/commWi-Fi/adapterlist.php 查看完整列表。
CommView的安装十分简单,就像安装一个标准的Windows应用程序一样。一旦应用程序安装成功,CommView将查找所有可以支持的网卡适配器,并配置相应的驱动程序。因此,在你想运行setup安装程序之前,最好先将你想使用的网络适配器插入到计算机上。驱动程序的安装向导可以通过“帮助(Help)|驱动安装指南(Driver Installation Guide)”的功能在任何时候重新运行。一个正确配置适配器过程的界面,如图2-8所示。
一旦启动Wi-Fi版CommView,将看到如图2-9的界面。单击“开始捕获”(Start Capture)按钮(即工具栏的左数第一个“播放”按钮)。这时,Wi-Fi版CommView将开始在各个无线信道间跳频,并将扫描到的在功率覆盖范围内的网络全都显示在列表中,除了网络,也包括可以使用的信道。整个界面综览效果良好。
在CommView运行的过程中,有两个非常有用的窗口显示区,分别是“节点”选项卡(Nodes)和“数据包”选项卡(Packets)。“节点”选项卡如图2-10所示,显示的是CommView所看到的客户终端列表和AP接入点的列表。
并且,正如我们所预料的那样,单击“数据包”选项卡可以显示一个看上去很像Wireshark界面的列表,表中所列的都是CommView所捕获到的数据包。
所有这些显示都十分浅显易懂,单击“文件(File)|将数据包保存为(Save Packet Log As)”菜单,就可以将此前所捕获的数据包导出到一个libpcap格式的文件中。结合这一功能,可以很容易在其中注入数据包(详见后面内容),与此同时,有一个漂亮的Windows图形界面程序,通过该方式可以解除用户验证功能,也可以捕获“Wi-Fi保护访问”通信的协议握手过程,还可以将其导出到Aircrack-ng系统中进行破解。不过,在Wi-Fi版CommView的Demo版中,最能引起大家兴趣的特征是该软件的数据包发送功能。这一点在随后的内容中进行介绍。
⚡ 在Wi-Fi版CommView中发送数据包
在Windows上,Wi-Fi版CommView已很成熟地能够支持数据包的注入功能。并且支持各种类型的数据包注入,如管理类数据包、数据类类数据和控制类数据包。它甚至有一个很直观的可视数据包生成器。
要想使用“数据包注入”功能,你可以单击“工具(Tools)|数据包生成器(Packet Generator)”菜单,就可以进入“数据包发生器”的界面,如图2-11。要定制数据包,你需要配置一些与注入的数据包相关的参数,如该数据包的传输速率(transmission rate),再如该数据包的每秒发送次数。在图2-11中,显示的是一个没有负载数据的信标数据包(beacon),该数据包就是由可视化“数据包生成器”所创建,其中的“基本服务集标识”字段设置的是CC:CC:CC:CC:CC:CC。
单击“可视化数据包合成器”(Visual Packet Builder)按钮(图2-11中左边竖列的正中间按钮),就可以将自己手工制作的数据包发送出去。不难看出,通过该软件,数据包的生成和发送出乎意料的直观、方便。图2-12显示的就是使用“数据包合成器”生成信标数据包的制作流程界面。
通过单击在顶部的“数据包类型”(Packet Type)下拉列表框,还可以轻易地手工制作出更高层次的数据包,例如“地址解析协议”(Address Resolution Protocol,ARP)数据包,以及TCP协议协议数据包等。
Wi-Fi版CommView还有一个专门用于注入“解除认证数据包”(deauthentication packet)的用户界面,方便实用,并且同样是图形化。该功能是用来破坏用户为关联和重新关联AP接入点时,所进行的“WPA的四次握手”(four-way WPA handshake)过程,所表示的现象就是某个连接正在通过某个无线路由器上网的用户,突然从该无线路由器上被“踢”下来了,此后再次重新连接,也连不上。此功能可从单击CommView主界面上的“工具(Tools)|节点重新关联(Node Reassociation)”菜单后运行,如图2-13所示。
Wi-Fi版CommView总结
Wi-Fi版CommView是一个强大的无线破解工具,也配得上它合理价格(一年的授权使用费是199美元)。软件支持多种包括符合802.11n标准和符合802.11ac标准的网卡适配器,在Windows 7、Windows 8/8.1上都能良好地运行。其中最酷的功能是直观的图形化数据包生成器。如果要在802.11无线网络中实施一些临时性的实验,那么比起其他平台,这一功能特性会使CommView变得容易得多。
- 这是一款可以破解本地或远程数十种常见密码系统,以及通过嗅探功能捕获数十种明文账号口令和特定规则的信息的黑客工具软件。——译者注
本书评论