‍‍家用無(wú)線路由器作為家庭里不可或缺的網(wǎng)絡(luò)設(shè)備，在給普通人帶來(lái)極大便利的同時(shí)，也給處于互聯(lián)網(wǎng)時(shí)代的我們帶來(lái)了很多安全隱患，本文將針對(duì)普通家用無(wú)線路由器的常見(jiàn)攻擊過(guò)程進(jìn)行拆解并提出相應(yīng)的防御建議，希望對(duì)大家有所幫助。‍‍

[[124084]]

一、盜取無(wú)線密碼‍‍‍‍‍‍‍‍‍‍

‍‍針對(duì)無(wú)線路由器最常見(jiàn)的攻擊方式就是盜取無(wú)線密碼，常見(jiàn)無(wú)線路由器的無(wú)線加密方式為WEP和WPA/WP2，通過(guò)無(wú)線路由配置的加密方式采取不同的攻擊手法，再運(yùn)用一些特殊的技巧，就可以輕易得到無(wú)線路由器的無(wú)線密碼。

下圖為常見(jiàn)的無(wú)線路由加密方式：

 ‍‍‍‍‍

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍1.1 WEP破解‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

‍‍如果你的家用路由器的無(wú)線加密方式被配置為WEP加密，那么你就得馬上進(jìn)行修改了，因?yàn)橛捎赪EP加密體制缺陷，蹭網(wǎng)者能夠通過(guò)收集足夠的握手包(即計(jì)算機(jī)與無(wú)線路由器連接認(rèn)證過(guò)程中的數(shù)據(jù)包)，使用分析密算法還原出密碼。此類加密方式的攻擊成功率基本接近100%。比較常見(jiàn)的攻擊手法是使用MIDIWEP對(duì)周圍的無(wú)線信號(hào)進(jìn)行嗅探，當(dāng)抓取到足夠多的IVS時(shí)就可以自動(dòng)解出無(wú)線密碼，如下圖所示：‍‍

‍‍‍‍‍‍‍‍1.2 WPA/WPA2‍‍爆破‍‍‍‍‍‍‍‍‍‍

‍‍無(wú)線路由器的另一種加密方式為WPA/WPA2加密，相比較于WEP加密，暫時(shí)未能從一些公開(kāi)的方法中找到直接破解WPA/WPA2密碼的方法，只能先抓獲握手包，然后對(duì)握手包進(jìn)行暴力破解，但是結(jié)合著一些技巧以及普通用戶密碼策略比較薄弱，成功的機(jī)率也比較高。‍‍

‍‍首先，使用feedingbottle(奶瓶)等工具對(duì)周圍無(wú)線網(wǎng)絡(luò)進(jìn)行嗅探抓包，抓取到完整的握手包之后，可將保存的握手包在windows下使用工具EWSA進(jìn)行暴力破解，根據(jù)之前測(cè)試的數(shù)據(jù)，使用550Ti的顯卡破解速率約為13000/秒，所以使用純數(shù)字的無(wú)線密碼最為薄弱，單臺(tái)PC破解一個(gè)九位純數(shù)字的時(shí)間根據(jù)計(jì)算約為：999999999/10000/60/60=27.8小時(shí)‍‍

‍‍萬(wàn)能的某寶更是提供了在線跑握手包的服務(wù)，利用集群服務(wù)器跑握手包，可大大縮短破解的時(shí)間。‍‍

‍‍‍‍1.3 WPS‍‍破解‍‍‍‍‍‍

‍‍其實(shí)很少人有人注意到家用無(wú)線路由器是上面有一個(gè)WPS(QSS或AOSS)功能，而且默認(rèn)都是開(kāi)啟的，下圖是一些常見(jiàn)家用路由器的WPS(QSS或AOSS)功能界面。

‍‍‍‍‍‍‍‍‍‍‍‍‍‍WPS是由Wi-Fi聯(lián)盟組織實(shí)施的認(rèn)證項(xiàng)目，主要致力于簡(jiǎn)化無(wú)線局域網(wǎng)的安裝及安全性能配置工作。在支持WPSWPS(QSS或AOSS)的無(wú)線路由器上，用戶不需要輸入無(wú)線密碼，只需輸入PIN碼或按下按鈕(PBC)，就能安全地連入‍‍WLAN。‍‍‍‍但是使用PIN碼連接無(wú)線路由器的這個(gè)過(guò)程是可以暴力破解的，首先我們先講一下PIN碼的組成，WPS的PIN碼是一個(gè)8位的純數(shù)字，第8位數(shù)是一個(gè)校驗(yàn)和(checksum)，根據(jù)前7位數(shù)算出，而在PIN驗(yàn)證時(shí)，PIN碼的前4位和PIN碼的接下來(lái)3位是分開(kāi)驗(yàn)證的，因此，暴力破解PIN碼的過(guò)程中，只需要嘗試11000(10^4+10^3)就可以解出PIN碼，然后通過(guò)PIN連接路由器抓取到無(wú)線密碼。‍‍‍‍‍‍‍‍

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍暴力破解PIN碼時(shí)使用的工具為reaver或inflator(圖形化reaver)，工具可以對(duì)周圍的無(wú)線網(wǎng)絡(luò)進(jìn)行掃描，并將開(kāi)啟WPS功能的無(wú)線信號(hào)標(biāo)記出來(lái)，在選擇好暴力破解的的目標(biāo)后，調(diào)用reaver命令行進(jìn)行破解，如果路由器性能不錯(cuò)且信號(hào)比較好，破解速率為2 seconds/pin~~4 seconds/pin，所以可算出來(lái)破解出無(wú)線密碼的最高時(shí)間成本為9.17hour(3*11000/60/60)，弱一點(diǎn)的路由器在破解過(guò)程中會(huì)出現(xiàn)死機(jī)，這時(shí)就要等一段時(shí)間，待路由器性能穩(wěn)定后再進(jìn)行破解，下圖為破解成功時(shí)的情況：

 ‍‍‍‍‍‍‍

‍‍‍‍很多路由器廠商也逐漸意識(shí)到PIN碼破解的問(wèn)題，部分無(wú)線路由器廠商會(huì)增加一些PIN暴力破解防護(hù)，在破解這些無(wú)線路由器的時(shí)候會(huì)出現(xiàn)這樣的提示：‍‍‍‍ 

warning:detected ap rate limiting,xxxxx

‍‍但是經(jīng)過(guò)實(shí)踐發(fā)現(xiàn)，絕大部分路由器會(huì)在約60秒后解除限制，這時(shí)只需要在reaver 命令里面添加 –l 3 參數(shù)，-l 參數(shù)是指reaver間隔多久對(duì)已經(jīng)限制了嘗試PIN的路由器進(jìn)行再次嘗試破解，命令默認(rèn)為300，通過(guò)設(shè)置為3后，大概探測(cè)20次約一分后就會(huì)開(kāi)始新的破解，嘗試10次PIN碼后再次等待約一分鐘，如此往復(fù)。所以在此類有一些PIN防護(hù)的路由器上，破解PIN碼速率大約為11 ([60+5*10]/10)seconds/pin，根據(jù)之前的公式計(jì)算，破解出PIN的最大時(shí)間成本為33.6 hour(11*11000/60/60)，下圖為嘗試破解一些有PIN防護(hù)時(shí)的路由器成功時(shí)的情況：

‍‍1.4 TELNET‍‍后門‍‍‍‍

某漏洞平臺(tái)上曾經(jīng)爆出過(guò)很多路由器的公網(wǎng)地址允許telnet遠(yuǎn)程登錄，因?yàn)閠elnet密碼和WEB管理密碼相同，所以很容易通過(guò)(admin:admin)telnet路由器公網(wǎng)地址成功進(jìn)入到無(wú)線路由器，再通過(guò)執(zhí)行wlctlshow命令，可以得到無(wú)線路由器的無(wú)線密碼，常見(jiàn)品牌的家用無(wú)線路由器都有部分批次存在這個(gè)問(wèn)題。

部分集成busybox的路由器也存在公網(wǎng)地址默認(rèn)開(kāi)啟telnet的情況，登錄后不僅能看到無(wú)線密碼，PPPOE的密碼也能輕易得到：

‍‍作者曾編寫過(guò)一個(gè)專門的腳本只用admin:admin的用戶名密碼組合去嘗試登錄公網(wǎng)地址的telnet服務(wù)，登錄成功后只執(zhí)行一條wlctl show 命令，并將回顯信息進(jìn)行提取，通過(guò)掃描一些公網(wǎng)地址網(wǎng)段發(fā)現(xiàn)公網(wǎng)上存在著大量公網(wǎng)地址開(kāi)啟telnet且默認(rèn)密碼為admin：admin的家用路由器。下圖為工具批量掃描時(shí)提取出的部分無(wú)線密碼：‍‍

‍‍1.5 APP‍‍‍‍‍‍共享泄露密碼‍‍‍‍‍‍‍‍

‍類似一些WIFI輔助類的手機(jī)APP也是泄露無(wú)線密碼的一個(gè)途徑。比如某些APP的默認(rèn)配置是分享手機(jī)中的無(wú)線密碼，因此手機(jī)上連過(guò)的所有無(wú)線的密碼默認(rèn)是會(huì)被分享出去的，包括家用的無(wú)線路由器或者朋友的無(wú)線路由器，因此如果你或者連接你WIFI的朋友手機(jī)裝了此類APP，很有可能造成家庭無(wú)線密碼的泄露，作者安裝此類APP后經(jīng)常嘗試搜索周圍無(wú)線信號(hào)的密碼，往往都會(huì)有收獲。‍‍

默認(rèn)情況下，APP是不會(huì)告訴你這些連接成功的密碼的，但是由于系統(tǒng)會(huì)自動(dòng)保存成功連接過(guò)的WIFI密碼，因此root后的安卓手機(jī)就可以通過(guò)瀏覽配置文件的方式讀取WIFI密碼了，方法如下：http://jingyan.baidu.com/article/91f5db1bea61d51c7e05e36e.html‍‍

‍‍‍‍二、盜取后的危害‍‍‍‍

‍‍2.1 中間人攻擊‍‍

‍‍‍‍當(dāng)獲取到無(wú)線密碼后，黑客便拿到了進(jìn)入無(wú)線局域網(wǎng)的權(quán)限，接下來(lái)比較常用的攻擊手法就是進(jìn)行中間人嗅探，通過(guò)ARP毒化并結(jié)合CAIN、wireshark、sslstrip、dsploit等工具，完成對(duì)局域網(wǎng)主機(jī)的敏感信息嗅探。‍‍

CAIN：結(jié)合wireshark使用，不僅可以嗅探到無(wú)線密碼，而且可以抓取局域網(wǎng)中用戶的其它流量信息，比如上網(wǎng)記錄等明文協(xié)議傳輸?shù)男畔ⅰ?/p>

 ‍

SSLSTRIP：黑帽大會(huì)上Moxie Marlinspike發(fā)布的一款工具，可以突破經(jīng)過(guò)ssl加密的協(xié)議(如https)，配合ARP毒化進(jìn)行中間人攻擊，可以實(shí)現(xiàn)HTTPS等協(xié)議的中間人嗅探。

下圖為SSLSTRIP嗅探網(wǎng)銀的原理：‍‍

‍

Dsploit：是一個(gè)Android下的網(wǎng)絡(luò)分析和滲透套件，中間人攻擊的相關(guān)工具有多種協(xié)議密碼嗅探、HTTP/HTTPS 會(huì)話劫持、替換圖片等，該工具短小精悍，一個(gè)手機(jī)就能對(duì)局域網(wǎng)造成巨大威脅。

‍‍2.2 盜取‍‍PPPOE‍‍‍‍密碼‍‍‍‍

‍‍通過(guò)以上步驟拿到無(wú)線密碼通過(guò)嗅探或弱口令猜解的方式，就可以很容易地登錄到家用路由器做一些配置更改及查看，比如下載路由器配置文件并使用一款routerpassview的軟件查看PPPOE密碼，也可以直接更改DNS配置，進(jìn)行DNS層面的釣魚和中間人攻擊。‍‍

三、幾點(diǎn)安全建議‍‍

熟悉了以上針對(duì)家用無(wú)線路由器的攻擊手法，我們下面來(lái)講一講防御：‍‍‍‍

1、家用無(wú)線路由器加密方式應(yīng)選擇WPA/WPA2，無(wú)線密碼建議使用位數(shù)大于8位，大小寫字母、特殊符號(hào)、數(shù)字混合的復(fù)雜密碼;‍‍

‍‍2、修改家用無(wú)線路由器的默認(rèn)管理密碼;‍‍

‍‍3、關(guān)閉家用無(wú)線路由的WPS(QSS或AOSS)功能;‍‍

‍‍4、添加額外的路由器安全策略，比如僅限特定的MAC地址訪問(wèn)，朋友拜訪時(shí)再臨時(shí)手動(dòng)添加MAC地址;‍‍

‍‍5、使用一些無(wú)線類APP時(shí)關(guān)掉自動(dòng)分享熱點(diǎn)功能，防止自己家庭無(wú)線密碼泄露;‍‍

‍‍6、經(jīng)常登錄路由器檢查無(wú)線連接狀態(tài)和DHCP客戶端列表