0x01 无线路由器基本原理

​ 新手在买来一台新的路由器时，对照说明书上的设置步骤，在浏览器地址栏输入192.168.1.1时，可能并不能理解为什么要输入这样的数字。这样的数字组合就是我们常说的IP地址。这里我们暂且用A.B.C.D这样的字符代表IP地址的四个段，路由器的最基本功能就是把多台终端连接在同一个网段里，并且同前一级的网络进行共享通信。互联网的连接组成大家可以理解为一张纵横交错密布的大网，主机A和一台远距离的主机B通信时，就需要依托路由技术进行数据的多次转发。在OSI七层模型中，路由器工作在网络层，如下图所示：

这里我们不再解释OSI模型的由来，简单解释前文中我们提到的主机A和B的通信过程，用户将一封邮件发送给好友，好友读取到这条邮件的整个通信过程，就是在OSI模型中一次由上到下和由下到上的通信过程。在网络通信中数据包承载了用户的通信内容，在同一个网段的网络中，数据包很容易从源主机到达目标主机，只需通过一个双方都连接的路由器即可。如果双方所处网段被许多路由器隔开，通信数据包如何选择到达目的地的路径就是个重要的问题，在多重路径中在某个时刻总会存在一条最好的路径，为了提高网络通信的速度，判断最佳路径进行数据转发的技术就叫做路由技术。 路由器内部有一张路由表，用来作为转发的“地图”，在这个路由表中包含有该路由器掌握的所有目的网络地址，以及通过此路由器到达这些网络中的最佳路径，这个所谓最佳路径值得就是路由器的某个接口或者下一个路由器的地址。正是由于这个路由表的存在，路由器才可以进行数据包的转发。 路由器就是实现这一功能的硬件设备，它将不同的网段进行连接，使得网络通信得以穿越纵横交错密布的线路。无线路由器就是路由器家族的一个分支，在连接子网的终端中，提供了以无线电连接的方式，而不单纯只是使用网线进行有线连接。在使用方式上更加*灵活，不受线缆连接的束缚，但是由于没有使用封闭的线缆进行连接，安全性就不能像有线连接那么可靠。

0x02 无线路由器的各项配置

无线路由器不是调制解调器，在家庭中常见的拨号网络中，必须前置一台调制解调器才能够接入互联网。通常无线路由器在家庭网络连接中的物理连接方法如下：

目前由于宽带网路的提速和改进，前置的ADSL调制解调器（猫）的入户线缆已经改为光纤，并非过去使用的电话线，但主要功能结构不变。入户线缆通过调制解调器再通过网线连接无线路由器。无线路由器通常存在一个WAN口和数个LAN口，WAN口用来连接上一级的网络环境，可以理解为网络主线；LAN口用来通过有线线缆连接电脑等终端上网设备，可以理解为使用网络的终端设备。在这里，无线路由器外部的天线，在常见的网络设置结构中，也可以理解为无线的LAN口，用来通过无线电连接各种网络终端设备。 笔者在这里使用的是一款TP-LINK品牌的TL-WR842N型号无线路由器，根据说明书，在连接好网络线缆或设置好默认的无线连接账号，在浏览器的地址栏里输入192.168.0.1这样的管理地址，即可打开登录无线路由器管理页面的界面，如下图：

在说明书中寻找到初始的登录密码，进入下图所示的管理页面：

目前新款的无线路由器界面制作的相对旧款要图形化程度更高一些，可以清晰的显示目前无线路由器的各项连接状态。下面我们逐一介绍一下各项配置的功能作用。首先在主页面，我们可以看到主人网络和访客网络。通常在这里因为安全的问题，最好是将访客网络关闭，这样免密码的不安全连接就可以避免，用户的无线网络就不会被任意非授权用户接入。在主人网络中，我们需要点击“开启”功能，并且设置一个网络的名称和密码，这里的网络名称就是上一篇文章中我们提到的SSID，密码即接入网络时需要的密码。点击下方红色的设备管理项，进入设备管理的相关页面，如下图所示：

这里清晰的显示了当前接入无线路由器的各项终端情况，设备前面的图标显示了设备是通过有线还是无线方式进行的连接。在这里分为主人网络和已禁设备，主人网络内即合法授权的登录设备，若发现未授权的非法连接，可以点击禁用图标对设备进行禁止连接功能。同样在管理图标中，也可以对终端的网络上传/下载速度做一定的限制。下图展示了一个已禁设备列表中的非授权设备：

在这里显示了禁用设备的MAC地址，无线路由器禁用该设备的主要依据，就是禁止使用这个MAC地址的设备接入无线路由器的网络，这可以算作是一种安全保护机制，可防止具有无线密码的非授权设备接入网络。在后面的连载文章中，我们讲到如何入侵WiFi时会具体介绍如何突破这样的安全保护机制，但对普通用户来说，这样的设置足以防止非授权设备的接入。 在“应用管理”标签页面中，无线路由器给大家提供了多种扩展功能，如下图所示：

无线桥接：简单理解为路由器套接路由器，将同一个网络的无线信号覆盖范围扩大。 信号调节：调整无线路由器天线的发射功率，调整无线信号覆盖范围。 管理员身份限定：管理哪些终端可以登录设置路由器（像笔者现在这样） 虚拟服务器：作为端口映射功能，是一个重要的组建，设置界面如下：

这就相当于将指定IP地址终端的任意端口映射到无线路由器的WAN口上，所有连接此端口进入无线路由器的数据将转发给指定IP地址的终端。这在搭建WEB服务器、数据库等功能使用时比较常见（跨网段使用远程管理软件时也是必备）。 DDNS：简单解释为可以设置一个域名绑定在此无线路由器的公网IP地址上，将域名解析到本地无线路由器上。 访客网络：进行访客网络的相关设置。 IP与MAC绑定：重要的功能之一，将终端的MAC地址和与路由器连接的IP地址进行绑定，是一种控制接入网络终端授权的方式。 AP隔离：控制接入点是否隔离。 DMZ主机：将接入网络的终端绕过路由器直接暴露在WAN口连接的网络上，与公网的通信不再需要通过路由器的路由转发功能。 无线设备接入控制：管理接入终端的功能之一，可指定某些设备禁止接入无线路由器网络之中。 前文介绍了无线路由器给用户提供的各项扩展功能，下面简单介绍一下无线路由器自身的各项设置，首先第一项是上网设置，界面如下图所示：

无线路由器提供了三种联网方式的选择 ，有宽带拨号上网，固定IP地址和自动获得IP地址。这里的上网设置实际是对无线路由器的WAN口进行设置，宽带拨号上网是代替了传统的在计算机中手动点击宽带连接上网的功能，只需输入设置运行商提供的宽带账号密码即可使用无线路由器自动拨号持续联网。固定IP和自动获得IP是设置接入有限LAN口和无线连接的终端所在的网段地址，可以手动固定也可以由路由器自动选择。子网掩码、网关、DNS服务器均可设置。

数据包MTU即传输数据包的最大包容量，不同的网络连接方式协议具有不同的最佳值，这里可以让无线路由器根据环境自动选择默认的即可。WAN口的MAC地址通常默认使用路由器的MAC地址，如果上层网络有特殊要求，可以手动使用自定义的MAC地址连接。 DHCP服务器是一项重要的功能，简单可以理解为在路由器中设置一个IP地址的范围，成为IP地址池，接入无线网络的终端设备将通过DHCP服务器进行IP地址分配，否则没有合法的IP地址，终端将不能接入无线网络进行上网功能。DHCP服务器设置界面如下：

地址池的开始地址和结束地址可以自定义，这个范围内的IP地址时动态分配的，其余的IP地址可以根据需要进行与终端的绑定操作。地址池是一个重要的概念，在后续讲到的各类通过无线路由器的攻击中，“地址池耗尽“也是一种常见的攻击方式。 无线设置的界面笔者不打算使用这款路由器的界面，大家可以参考下图所示的界面：

这里的SSID号就是无线网络的名称，用户可以自定义的设置一些个性化名字；频段可以设置无线信号传输时使用的信道；模式是指定无线传输的速率和802.11标准版本号。可以手动选择是否开启无线功能（关闭时就是个普通路由器）和是否允许SSID广播。SSID广播即将无线网络名称传播出去，用户在使用手机打开WiFi功能时即可看到这样的网络，在这里特别说明，关闭SSID广播并不是关闭了无线网络，可以通过手动添加的方式接入无线网络，只是无线网络的名字隐藏了。这也是一个比较重要的安全防护机制，后面连载的文章中我们也会介绍如何突破这种SSID隐藏并接入无线网络的方法。 安全类型中，WEP和WPA-PSK/WPA2-PSK是设置的无线密码加密方式，常见的为WEP和WPA/WPA2方式，用户可以自定义无线网络的密码，在这里提醒大家如果安全需求较高，这里的密码一定要选择WPA2加密并且设置复杂度、长度均很高的无线密码。 WEP加密：全称有线等效加密，于上世纪90年代成为WiFi安全标准，是一种老旧的加密方式，并且由于加密算法的漏洞百出，已经被WiFi设备遗弃。但由于也是WiFi曾经使用过的加密，本文并不打算抛弃讲解这种算法的相关知识。WEP有两种认证方式，分别为开放式系统认证和共有键认证。WEP使用 RC4(Rivest Cipher) 串流加密技术达到机密性，并使用 CRC-32 验和达到正确性。标准的64比特WEP使用40比特的钥匙接上24比特的初向量(initialization vector，IV) 成为 RC4 用的钥匙。这里IV的概念比较重要，需要读者重点记忆。钥匙长度不是 WEP 安全性的主要因素，**较长的钥匙需要拦截较多的封包，但是有某些主动式的攻击可以激发所需的流量。WEP 还有其他的弱点，包括 IV 雷同的可能性和变造的封包，这些用长一点的钥匙根本没有用。
​ WPA加密：全称WiFi访问保护。WPA的出现是取代WEP加密标准，于2003年正式启用。WPA设置最普遍的是WPA-PSK（预共享**），使用256位**。WPA先期采用了临时**完整性协议（TKIP），后期被高级加密标准（AES）所取代。
​ WPA2加密：WPA 标准于2006年正式被 WPA2取代。 WPA 和 WPA2 之间最显着的变化之一是强制使用 AES 算法和引入 CCMP （计数器模式密码块链消息完整码协议）替代 TKIP 。
​ 下面的表格总结了目前的路由器加密配置，安全性由上到下依次降低：
WPA2+AESWPA+AESWPA+TKIP/AES（TKIP作为备用）WPA+TKIPWEP不加密的开放网络
​ 使用最新的WPA2加密进行无线网络连接的过程是一种网络的TCP握手过程，这个过程发生在用户使用终端选择WiFi网络输入密码到连接成功这一过程中。握手过程是一个重要的概念，这在我们后续讲解WPA2加密**的过程中是非常重要的。这里做一个简单的介绍：

​ TCP的三次握手过程，简单可以解释为客户端发送一个SYN包给服务器（无线路由器）作为连接请求，无线路由器收到请求后发送一个返回数据包SYN+ACK，客户端接收到之后将此数据包进行认证加密后返回无线路由器，认证通过即可完成连接。在**WPA2加密的无线网络时，所谓抓握手包，就是抓取在这个过程中的信息原文和加密后的密文。简单理解为这样的数据包中包含了加密密码，**WPA2密码就是**这样的握手包。

0x03 测试环境的选择

​ 选择WiFi安全测试环境，也就是选择合适的无线网卡和合适的操作系统、选择制作合适完善的密码字典。 无线网卡的选择依据：驱动程序是选择无线网卡的主要依据。在**WiFi的过程中，需要操作系统、网络设备无缝合作，操作系统对于无线网 卡的支持程度和兼容性就显得特别重要。在这里，推荐使用Atheros芯片的无线网卡，通常情况下，该芯片的性能和兼容性都很适合做WiFi攻击。同样雷凌芯片的网卡也有很多合适的产品，大家可以根据自己的实际情况进行选择。笔者这里选择TP-LINK的TL-WN722N网卡进行实验演示。

​如果需要进行远距离的WiFi攻击，攻击者需要选择使用定向天线的大功率无线网卡。不仅需要考虑其芯片类型，更需要考虑大功率无线网卡的系统兼容性、抓包成功率、目标无线路由器的天线功率甚至发起攻击的位置等问题，这是一个综合考虑的选择过程。 操作系统的选择也是依据对无线网卡支持程度进行的。常见的操作系统有windows和Linux。在windows操作系统下，由于无线网卡驱动开发未能够做到如Linux般开源，从而使得一些无线探测、攻击类的工具无法正确识别大部分无线网卡，也就无法在windows下正常使用。Kali Linux是一款专门为渗透测试和安全审计人员制作的Linux操作系统，集成了大量的渗透测试工具。综合比较之下，选择Kali Linux操作系统作为**WiFi是非常适合的：

​ 字典也就是**WPA2加密时需要使用的一类信息资源。字典可以简单解释为密码本或密码的集合文件。WPA2的密码**是一种暴力**的过程，使用不同的密码对抓取到的握手包不断进行**尝试，直到**出密码为止。举一个简单的例子，3位数字的密码字典，就是000----999这一千种组合数字的集合。字典的内容包含多样，有弱口令集合、英文单词集合、手机号码集合、姓名缩写集合等等五花八门。越完善的字典**成功率越高，但是**的时间成本也越高。任何攻击者手中无法掌握存在所有密码的超级字典，因为也不存在这样的字典。

​ 对于WPA2密码的**使用字典，是一个猜测的过程。提高**成功率就是使用更合适的密码字典。目前给大家使用字典的建议为以下几点：

​ 一：收集目标路由器管理员的信息，使用多种元素（例如手机号码、姓名缩写、门牌号码、英语名字、生日等）组合，自行制作密码**的字典。这里制作字典的工具，不管是什么系统什么操作界面，网络上都有很多，这里不再赘述，请读者自行上网搜索下载。当然Kali Linux也给我们提供了例如crunch这样的字典制作工具，大家多尝试，根据自己的使用需求可灵活选择。
​ 二：下载密码字典。网络上提供了大量不同元素组合的字典，有的针对国内用户习惯有的针对国外用户习惯。大家可深入搜索寻找一些，慢慢积累成为自己的字典数据库，在需要使用时可以灵活使用。
​ 三：寻找外包**团队。在搜索引擎中搜索”**无线握手包“、”**WiFi密码“等关键词，可以寻找到很多提供相关服务的商家。这个过程省去了用户自己进行大量高成本**和字典制作的过程，是一种比较省时省力的方式。一般这样的外包商家团队具有较好的硬件资源和字典资源，**成功率相对个人用户更高一些。