本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者信息安全技术丛书

    黑客大曝光：无线网络安全(原书第3版)

    Hacking Exposed Wireless：Wireless Security

    SecretsSolutions，Third Edition

    (美)莱特(Wright，J.) (美)凯诗(Cache，J.) 著

    李瑞民 译

    ISBN：978-7-111-52629-2

    本书纸版由机械工业出版社于2015年出版，电子版由华章分社(北京华

    章图文信息有限公司，北京奥维博世图书发行有限公司)全球范围内制

    作与发行。

    版权所有，侵权必究

    客服热线：+ 86-10-68995265

    客服信箱：service@bbbvip.com

    官方网址：www.hzmedia.com.cn

    新浪微博 @华章数媒

    微信公众号 华章电子书(微信号：hzebook)

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者目录

    译者序

    关于作者

    序言

    前言

    致谢

    第一部分 破解802.11无线技术

    案例学习：用十二伏电压的英雄

    第1章 802.11协议攻击概述

    1.1 802.11标准简介

    1.2 “服务发现”的基本知识

    1.3 硬件与驱动程序

    1.4 本章小结

    第2章 发现和扫描802.11网络

    2.1 选择操作系统

    2.2 Windows服务发现工具

    2.3 Windows嗅探工具注入工具

    2.4 OS X服务发现工具

    2.5 Linux服务发现工具

    2.6 高级可视化技术

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者2.7 本章小结

    第3章 攻击802.11无线网络

    3.1 攻击的基本类型

    3.2 悄无声息地安全通过

    3.3 击败的WEP认证

    3.4 集众长于一身的Wifite

    3.5 本章小结

    第4章 攻击WPA保护下的802.11网络

    4.1 破解企业模式下的WPA认证

    4.2 本章小结

    第5章 攻击802.11的无线客户端

    5.1 browser_autopwn：穷人的漏洞使用服务器

    5.2 使用I-love-my-neighbors网络

    5.3 攻击连到AP接入点上的客户端

    5.4 ARP欺骗

    5.5 直接的客户端注入技术

    5.6 本章小结

    第6章 在Windows 8上架桥过隙

    6.1 攻击的准备

    6.2 本地的无线侦察

    6.3 远程无线侦察

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者6.4 对无线目标网络攻击

    6.5 本章小结

    第二部分 蓝牙网络的安全

    案例学习：入侵看不到的东西

    第7章 传统蓝牙模式下的扫描和侦测

    7.1 “传统蓝牙”技术概述

    7.2 准备一次攻击

    7.3 侦查

    7.4 服务的枚举

    7.5 本章小结

    第8章 低功耗蓝牙模式下的扫描和侦测

    8.1 “低功耗蓝牙”技术概述

    8.2 扫描和侦听

    8.3 本章小结

    第9章 蓝牙侦听

    9.1 传统蓝牙的侦听

    9.2 低功耗蓝牙的侦听技术

    9.3 通过“侦听攻击”技术攻击蓝牙网络

    9.4 本章小结

    第10章 攻击和使用蓝牙

    10.1 蓝牙网络中的“个人身份码”攻击

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者10.2 伪造设备的身份

    10.3 蓝牙规范的滥用

    10.4 攻击Apple公司iBeacon通信模块

    10.5 本章小结

    第三部分 入侵其他无线技术

    案例学习：永不言败

    第11章 软件无线收发设备

    11.1 “软件无线收发”设备的体系结构

    11.2 选择合适的“软件无线收发”设备

    11.3 开始使用软件无线收发设备

    11.4 数字信号处理的速成课程

    11.5 本章小结

    第12章 破解蜂窝网络

    12.1 蜂窝网络通信的基础知识

    12.2 2G无线蜂窝网络的安全

    12.3 攻击3G“家庭基站”网络

    12.4 4G长期演进技术网络的安全

    12.5 本章小结

    第13章 破解ZigBee网络

    13.1 ZigBee简介

    13.2 ZigBee安全

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者13.3 ZigBee攻击

    13.4 攻击演练

    13.5 本章小结

    第14章 破解Z-Wave智能家居网络

    14.1 Z-Wave技术简介

    14.2 攻击Z-Wave网络

    14.3 本章小结

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者译者序

    在关于网络攻防技术的讨论中，常会遇到一个有趣的现象：一说

    起“攻”，大家马上就会认为这是“邪恶方”做的事，做这件事的人每天戴

    着墨镜，行为神神秘秘，目的不可告人；而一说起“防”，似乎就是“正

    义方”做的事，做这件事的人必须得西装革履，还要表情严肃，一脸正

    义。然而事实上并不是这样，也不需要这样。因为无论是攻还是防，都

    只是对网络安全性的一种设计和改进，二者没有谁正义谁邪恶之说。相

    反，将二者结合起来，反而会相互促进，使双方都能达到螺旋式地提高

    的效果。

    这一点，在本书和现实中都体现得淋漓尽致。以我们的日常生活为

    例，拿出智能手机连接合适的Wi-Fi网络(即SSID网络)，俨然成为“低

    头族”“手机控”每天的必修课。如果对网络再熟悉一些，那么我们还知

    道无线加密的技术有“WEP加密认证”“WPAWPA2加密认证”“WPA-

    PSKWPA2-PSK加密认证”等多种加密认证方式。为什么在短短的十几

    年时间内，无线路由器认证技术得到了这么快的发展？究其原因，就

    是“防”的一方，每有一种新技术被设计出来后，就被“攻”方破解，而要

    弥补这一技术的不足，避免被“攻”方再次破解，“防”方就不得不研发出

    更新、更安全的防守技术。于是，这种此消彼长的竞争，促进了双方的

    提高，也造就了越来越安全的系统。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者越来越多的IT专业论坛都在预测IT行业的未来，民用无线通信、工

    业无线通信、物联网、智能家居都是当下研究的热点和重点，而这同样

    也是本书的重点。本书整体分为三个部分，每一部分又根据技术的分类

    分成了不同的章节。纵览全书，第一部分主要介绍的是民用无线通信，而第二部分主要介绍工业无线通信，第三部分则主要倾向于物联网和智

    能家居领域内的无线通信。从这里，我们也可以看到无线网络安全发展

    的一些理念变化，例如基于Wi-Fi的无线通信，普遍用于日常生活中，涉及百姓的生活安全，所以无疑会向大而全的复杂设计模式发展；而工

    业无线通信，更注重于低成本、低功耗、大范围推广的设计理念，因而

    第三代的工业蓝牙调整了自身的发展方向，不再追求大而全、面面俱到

    的设计模式，转向改为低功耗蓝牙的简单设计模式，呈现出向物联网靠

    拢的发展脉络。这种设计理念的差异和走向，体现了无线网络发展中的

    多样性。

    很多人都有黑客梦，不为金钱，不为名利，只为“运筹键鼠之间，决胜千里之外”的成就感。然而真正的黑客寥寥无几。究其原因，就是

    黑客之路需要具备对新知识的快速接受能力、平时沉下心来做事的坚强

    毅力，还有可遇而不可求的好运气。不过，如果非要从每天日新月异

    的“技术堆”中找到一个终南捷径，那就是“取人所长，补己之短”，找

    对“良师益友”，直接从别人已得到的成果中学到方法，体会其成功之

    道，举一反三地应用到自己的实践中。而本书，恰是这样一本以实践为

    主，详化攻击过程和操作步骤的图书。更为难能可贵的是，书中还会讲

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者到针对某一技术的使用历史，两种或多种工具之间攻击效果的对比。为

    了让读者对每种攻击方式有一个直观的了解，本书作者还独具匠心地将

    每种技术或漏洞根据其流行性、难易度、影响力、危险级四项参数分别

    进行定级，这样不仅可以使读者对该技术有新的了解，还能让网络安全

    人员对如何评价这种危险有所参考。值得一提的是，除了书中的内容，本书还提供了一些扩展章节和书中样例的附件文件，这些都可以从该书

    的配套网站上。

    综合来看，本书既包含了当前常用网络的各种技术，也包含了前沿

    新型的无线技术的入侵和防护技术。绝大多数的技术细节都以当前主流

    的Microsoft的Windows、Macintosh的OS X和Linux操作系统作为主要的

    描述对象，这样既满足了各类操作系统用户的需求，也可以了解问题的

    普遍性。并且，正如本书作者所说，针对部分读者的建议，在本书第3

    版明显增加了在Windows操作系统下攻防技术和攻防工具方面的比重。

    这对于使用Windows系统较多的中国读者来说，无疑是一个不错的消

    息。

    翻译的过程，是一个对自己掌握知识进行梳理、汇总的过程，是一

    个新知识、新动向的学习过程，也是一个与作者进行交流、探讨的过

    程，相信读者在阅读中也会有同样的感受。然而限于译者的水平和中西

    方文化的深层差异，书中难免会有曲解或错误，诚挚欢迎大家斧正。

    李瑞民

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者2015年11月

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者关于作者

    ·Joshua Wright

    Joshua Wright是Counter Hack公司(美国新泽西州的一家反黑客公

    司)的一名高级技术分析师，也是SANS研究所的高级讲师和作家。依

    靠渗入攻击测试工程师的经验，他同时为上百家移动设备、无线系统、开环信号产品和知名组织产品缺陷的攻击和防守工作。作为一名开源软

    件倡导者，Joshua在软硬件安全评估通用工具方面进行最前沿的研究，这些工具应用于Wi-Fi网络、蓝牙网络、ZigBee网络、Z-Wave无线系

    统、智能网格部署、Android和Apple公司iOS的移动设备平台。

    ·Johnny Cache

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者Johnny Cache于2006年获得“美国海军研究生院”(Naval

    Postgraduate School)计算机科学专业硕士学位。他的论文主攻802.11指

    纹设备驱动程序，因其在计算机科学领域最具创新性而赢得了“Gary

    Kildall” [1]

    奖。Johnny于1988年某一时间，在Tandy 128K彩色计算机上

    编写了他的第一个程序，从那时起，他曾在几个安全组织会议上发言，包括黑帽子组织 [2]

    (BlackHat)、蓝帽子组织 [3]

    (BlueHat)，以及

    Toorcon组织 [4]。他还发表了一系列与802.11安全有关的论文，同时也

    是许多无线工具软件的作者，还是Cache Heavy Industries的发起人和首

    席科学官。

    关于参编作者

    ·Chris Crowley

    Chris Crowley是位于华盛顿特区的莫坦斯(Montance)咨询公司的

    所有人，从事渗入攻击测试、计算机网络防御、灾害事件响应、分析取

    证契约工作。作为SANS研究所的资深讲师，负责“移动设备安

    全”(Mobile Device Security)和“道德入侵”(Ethical Hacking)课程的

    讲授工作。Chris为上千个组织工作，职责是帮助他们在移动和无线系统

    中鉴定和分析漏洞，以及定位致命缺陷等问题。空闲的时候，他还会用

    极限攀岩活动来缓解工作的压力。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者·Tim Kuester

    Tim Kuester是马里兰州哥伦比亚市“战术网络解决方案”(Tactical

    Network Solution，TNS)组织的一名工程师。他有在“一站式工

    程”(turnkey engineering)的背景(该项目的范围从CubeSats卫星和

    BioMed生物医学设备研究，到间谍小配件和真空吸法器研究)，平时

    喜欢嵌入式系统、无线通信、电路板等系统的入侵项目。除此之外，他

    还在TNS总部从事“软件无线收发”(software-defined radio)课程和“信

    号处理”(signal processing)课程的兼职讲授工作。工作之外，他还爱

    好业余无线电技术、步枪打靶射击、EMS邮政特快专递服务等方面。

    Tim特别感谢他的父母，以及他在马里兰大学巴尔的摩郡分校

    (University of Maryland，Baltimore County，UMBC)给予他悉心指导

    的工程教授。

    关于技术审校人员

    ·Tim Medin

    Tim Medin是Counter Hack公司的一名高级技术分析师，也是SANS

    研究所的资深讲师。作为一名专业的渗透入侵测试人员，Tim曾为数百

    个组织工作，这些组织包括财富100强企业，以及美国政府，其职责是

    在关键流程中，识别和使用系统弱点，进而保护关键网络。在创新

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者的“网络战”(NetWars)程序方面，作为技术领先者，Tim领导了一个信

    息安全的开发团队，学员从高中生到退休的美国退伍军人，主要研究那

    些对教育行业、评估行业、竞赛行业的挑战信息安全内容，并最终将这

    些人培养成才华横溢的分析师。只要不是正在那些遍布全球的协议(如

    Kerberos协议)中查找致命漏洞，Tim则喜欢和家人待在一起。

    ·Mike Ryan

    Mike Ryan是iSEC Partners组织的高级安全顾问(这是一个信息安全

    组织)，主要从事渗透测试并专职红队的训练，同时兼顾网络渗透式入

    侵，嵌入式平台研究。另外，Mike还研究蓝牙安全，在专门针对蓝牙低

    功耗模式进行攻击的“超牙”(Ubertooth)项目中，在超牙的性能增加方

    面取得骄人战绩。从2002年起，Mike在安全领域，由先前的单一方式转

    换为另一种方式，如今已具备集各种技能、巧术，以及任何情况下将

    Leet语 [5]

    带到台面上的能力。

    ·Jean-Louis Bourdon

    Jean-Louis Bourdon是一名固件工程师。在Infineon处理器的设计方

    面拥有十年工作经验，在嵌入式系统方面拥有五年软件开发经验。现

    在，他在位于英国的Pektron公司工作，从事超级汽车和顶级汽车的仪表

    组设计工作。他的爱好经常是与技术相关，如拆解那些可以拿在手中进

    行详细分析的最新产品。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者[1] Gary Kildall，微型计算机早期操作系统DOS的设计者之一。——译

    者注

    [2] 黑帽子组织，发起于美国的一个国际黑客组织，主要以“黑帽简

    报”的形式在世界各地举办技术性很强的信息安全会议。另外“黑

    帽”和“白帽”本身也是对黑客进行分类的一个代名词，其中“黑帽”黑客

    注重于恶意攻击，带有破坏性；“白帽”黑客注重于攻击技术和防守技术

    的研究，且从不进行破坏性实战。有时，还有“灰帽”一词，介于“黑

    帽”和“白帽”之间。——译者注

    [3] 蓝帽子组织，名称仿于黑帽子组织，由Microsoft创建，“蓝帽”会议

    每年举办两次，旨在通过与黑客之间的交流提升自己产品的安全性。

    ——译者注

    [4] Toorcon，发起于美国加州圣迭戈市的一个相对较新的年度计算机黑

    客安全会议。——译者注

    [5] 黑客界俚语的一种，非常像中国年轻网友中使用的“火星文”，是将

    要使用的字符用其他形似、反转的、拆分的、重要特征相像的字符代

    替。如“7”表示“T”，“15”表示“is”，所以“\0vv 15 7-3 71v3.”表示“Now is

    the time”。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者序言

    我第一次关注无线通信安全大约是2001年，那时针对“有线等效保

    密协议”(Wired Equivalent Privacy，WEP [1])的攻击正大行其道。突然

    之间，数据网络通过空气传播，同样也是突然之间，这些网络的安全问

    题都深受其累。

    对于无线网络的安全，总是存在大量激动人心的事情。无线网络的

    攻击不再需要以往的物理接入或网际互联!只要有一根好天线，监听者

    就可以从很远的距离监听一个网络!

    随后的几年里，基于Wi-Fi的攻击工具和攻击技术变得越来越先

    进。尽管网络安全也在提高，但攻击者总能比防护者“领先一步”。这段

    时间以来，我对无线领域的安全越来越有兴趣，并从一些包括本书作者

    在内的802.11协议安全专家那里学到了一些重要的概念和技术。

    最后，我将注意力转向其他无线通信协议。我很快意识到自己如果

    不动手开发一些发送和接收数字无线信号的工具集，那就意味着我几乎

    无所作为。Wi-Fi工具集便捷实用，并且功能异常强劲，这些工具使我

    受益匪浅，也让我学习了很多无线网络安全的通用原理。终于，借助工

    具集，在开始创建一些提供类似功能的工具以后，我就可以检测其他无

    线系统的安全了。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者最初，我使用“软件无线收发”(Software-Defined Radio，SDR)开

    发平台来创建我自己的工具集。我是一个“软件独行侠 [2]”(software

    person)，极度热衷于“软件无线收发”SDR技术中，关于“允许无线电通

    信功能是生成到软件中，而不是生成到硬件中”的承诺，不幸的是，要

    达到这些目标，我发现我需要大量数据信号处理方面的背景知识。在最

    终掌握了这些知识后，我了解到实际上要设计这种对口工具，原本可以

    付出更小的代价。我所设计的一个平台是一个蓝牙测试工具，命名

    为“超牙一号”(Ubertooth One)，可以在蓝牙设备处于“非可发现的”模

    式下仍然进行侦测。

    如今，形形色色的无线技术在源源不断地开发出来，而无线通信领

    域的安全也比以往活跃。诸如对于Wi-Fi和蓝牙这些通行的技术，除了

    有那些专为针对它们的对口工具集之外，还有这些“软件无线收发”开发

    平台的通用工具集，并且后者正在变得更加廉价、易于使用。无线嵌入

    式系统正在迅速普及，新的无线通信协议似乎也在不断浮现，这导致我

    们永远难以找到合适的时间去探索这些系统中的安全问题。

    在无线安全方面，这本书是我所知道的最佳参考。我希望那些学习

    无线通信系统的从业者可以好好读一读这本书。我也希望那些想获得更

    多安全知识的无线通信专家可以好好读一读这本书。尤其是对于那些数

    字无线电协议的设计者，我更推荐他们好好读一下这本书。因为对于了

    解一个新系统的安全来说，没有比通过实验成功地攻击之前的系统更行

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者之有效的方法。

    当我们快速开发一个新的无线通信协议时，那些已标准化的协议也

    更受欢迎。这些老系统中的安全问题，成熟得就像我们知道如何对抗那

    些熟知的攻击方式一样。Wi-Fi通信协议在安全方面是一个最好的例

    子，这得益于该协议被开发人员长年累月地研究和完善。如今，搭建一

    个可以弹性抵御攻击的、基于802.11协议的网络是可能的，而部署一个

    几乎没有，或根本就没有安全可言的网络也是可能的。你甚至可以使用

    安全问题诸多的“有线等效保密协议”加密算法来配置一个的新网络，不

    幸的是，一些人还真仍在这么做。

    通过本书，你可以愉快地学到关于无线安全的一切内容，包括“Wi-

    Fi保护配置协议”(Wi-Fi Protected Setup，WPS)的弱点，以及诸如“蓝

    牙低能耗”协议等时髦的协议。你可以学到如何使用琳琅满目的基于“目

    的创建”的工具，也可以在Wi-Fi客户端系统中发现其多种多样的缺陷，还有就是通过重新定义部分无线电芯片目标的方法来攻击ZigBee网络与

    Z-Wave网络。在看过“软件无线收发”的产品部署以后，在使用其入侵无

    线协议的各个重要技巧上，你也可以获得一种跳跃式的提升。我甚至希

    望你借以破解一个或两个“有线等效保密协议”密钥。

    总之，我希望你能愉快地探索令人振奋的无线安全领域。

    Michael Ossmann

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者Great Scott Gadgets [3]

    团队的创始人

    [1] WEP协议是对两台设备间无线传输的数据进行加密的方式，由于算

    法存在几个弱点，所以随后被WPA和WPA2协议所取代。但是不了解的

    用户常误将其选为当前协议，所以现在该协议仍然经常是被攻击的对

    象。详见本书第3章。——译者注

    [2] 软件独行侠就是软件开发过程中的设计、编码、测试、包装、发行

    都集于一身的人。——译者注

    [3] 这是一个着力于无线入侵技术研究的团队，主要研究内容是通过软

    件对无线收发信号进行定义，进而实现对无线数字信号的监听和入侵，团队主页为http:greatscottgadgets.com，软件开源，主要产品是HackRF

    One、ANT500、Ubertooth One、Throwing Star LAN Tap，这些都将在本

    书中有所体现。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者前言

    也就是一年以前，麦格劳-希尔教育出版公司的编辑找到我，谈及

    本书第3版的撰写事宜。当时，我们并不确定这是一件好事，因为当时

    每天的工作、会议计划，以及正在做的项目，使我们没有几乎没有时间

    投入到如此巨大的项目中。

    现在回过头来看，我们很欣慰于当时做出了写作第3版的决定。首

    先，这是必须的!因为自从几年前本书第2版出版以后，黑客无线攻防

    技术变化非常之大。其次，我们可以将第2版出版以后研究的新协议、开发的新工具，通过本版与读者进行分享。再次，写这本书意味着这是

    一个保持信息共享的良好机会，因为无线是计算机网络安全的“瑞士奶

    酪(Swiss cheese)重叠孔” [1]。

    关于本书

    在开始写作之前，我们讨论了在本书第3版中要写什么。我们要写

    的应该是务实的、有用的、注重实践的内容，注意实践意味着读者可以

    通过该方法进行渗透式攻击的测试与安全评估。因此，每章开始的第一

    节都描述某个被黑客攻破的技术案例，并不是用大量并不重要的背景知

    识打乱你的头绪，而是介绍一些底层协议以方便理解其原理。随后，在

    必要的背景介绍之后，每章都会介绍一些可行的攻击技术，这些技术足

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者以用于攻击你的目标。

    我们也清楚需要请专家在相应章节中为我们答疑解惑。在第11章和

    第12章中，我们幸运地请到了Tim Kuester和Chris Crowley。无论是广

    度，还是深度，这两人在各自领域内都造诣颇深。当然，我们并没有让

    二位在两章中直接代笔，而是让他们作为技术审校人员提供技术支持。

    Tim Medin作为本书大部分章节的技术评审，Mike Ryan在最具挑战的、与蓝牙技术相关的第7~10章中提供了宝贵的见解，Jean-Louis Bourdon则

    在第14章中提供了专家的视角，在Z-Wave领域，目前还没有几个人敢

    自称为安全专家。

    对于本书第2版，我们也尽所能地找到读者的评论，花了大量时间

    来阅读(包括每一条正面和负面的评论)。对于正面的评论，我们会确

    保在写这些章节的时候继续保持。对于负面的评论，如果是非常有价值

    的，我们会悉心接受。例如有一些读者抱怨缺少在Windows操作系统上

    运行的黑客工具，再如在一个非常重要的话题，即针对“全球移动通信

    系统”(Global System for Mobile Communication，GSM)网络的入侵

    中，缺少必要的内容涵盖。我们希望在这次大规模更新版本中会对这些

    批评所涉及的不足进行修正。

    对黑客来说，本书意味着：无论你是想点到为止，看看就行；还是

    牛刀小试，尝试“入侵”；或者是以全新的方式探索网络安全，以便达到

    以前已成文的技术所未曾到达的深度。动机你自己来选，只是我们可以

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者很容易地看到，无论是在你的下一个无线入侵测试的过程中，还是你在

    重新审视以前对无线技术的使用方式上，又或者是在选择保护下一代嵌

    入式无线系统的资源上，本书就是你的绝佳参考。

    本书涵盖了对无线安全进行攻击的很多内容，其意义在于通过了解

    黑客技术入侵到无线系统的技术，进而提高无线系统的安全。尽管Wi-

    Fi已成为无处不在的互联网接入技术，但许多其他无线协议也在使用，而本书所涵盖的协议是从安全角度出发，我们认为在日常使用中最重要

    的无线通信协议。包括从Wi-Fi协议到先进的“软件无线收发”协议，后

    者是目前无线通信协议中前所未有的。也包括“传统蓝牙”通信协议

    到“低能耗蓝牙”(Bluetooth Low Energy，BLE)通信协议。还包括苹果

    发布的iBeacon协议。对于“关键任务业务”和“家庭控制系统”，也包括

    ZigBee协议和Z-Wave协议。我们每天都在使用这些协议，所以了解它

    们的安全缺陷，保护它们免受攻击至关重要。

    快速索引

    在本书中我们使用“黑客大曝光”特有的格式进行编写，该格式已注

    册。

    攻击图标

    这个图标表示特定的渗透测试技术和工具。图标后面是技巧或者攻

    击技术的名称。在本书中你会看到传统的“黑客大曝光”危险分级表。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者 应对措施图标

    大部分的攻击都有对应的应对措施图标。应对措施表示我们可以采

    取的一些措施，使用它们可以缓解对应攻击所带来的威胁。

    我们同样使用特殊标记(即注意、提示、警告)来强调我们认为必

    要的特定细节和建议。

    配套网站

    为了方便读者，作者为本书开发了一个相应的网站，即http:www.hackingexposedwireless.com 。在网站上，读者可以找到本

    书中描述的许多资源，包括源代码、脚本、高分辨率的图片、资源的链

    接等。

    网站上同样包括了802.11网络和蓝牙网络的补充介绍资料，还有一

    整套有关“射频低电平”(low-level radio frequency)的完整材料，它影

    响着所有的无线通信系统。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者在本书出版之后，我们确定了一张勘误表，在配套网站上读者也可

    以找到这些更正，所以请经常访问配套网站确保与无线入侵领域的发展

    保持同步。

    本书使用指南

    阅读这本书，有几种不同的方法。第一种方法，随便翻到哪一页，找到“攻击图标”，就可以学到一种特定的技术，通过该技术可以查到一

    种具体的无线安全技术。第二种方法，随便翻到某一章的开始，可以学

    到一个具体的无线通信协议的重要操作特征。第三种方法，从头到尾，一章一章地读完。此外，我们希望这本书能作为一本有价值的参考书，能多年后仍然保存在你的书架上(或保存在你的数字阅读器里)。

    本书共分成三个部分。第一部分专门讨论针对Wi-Fi的破解，本部

    分开始介绍如何入侵IEEE 802.11网络(第1章)，随后详细介绍了扫描

    和发现802.11网络(第2章)。第3章主要介绍针对Wi-Fi网络的通用攻

    击。第4章则将这种攻击目标扩展到了流行的“Wi-Fi保护访

    问”WPAWPA2(“Wi-Fi保护访问”版本1或版本2)保护的Wi-Fi环境

    中。第5章在深度上介绍了如何入侵无线用户的客户端。第6章则主要介

    绍通过“架桥过隙”技术，借助于一个中间被攻陷的主机去攻击一个远端

    无线网络。

    第二部分主要介绍蓝牙网络的破解，既包括传统蓝牙支持，又包括

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者低功耗模式的蓝牙技术。第7章主要介绍在蓝牙传统模式下，扫描和侦

    测时所用的工具和技术。随后的第8章则是蓝牙在低功耗模式下的扫描

    和侦测。第9章是蓝牙侦听和嗅探过程中所用的攻击技术，囊括了前面

    的传统模式和低功耗模式。第10章则是组合所有的技术，攻击传统模式

    和低功耗模式的蓝牙网络，以及使用这些技术所涉及的协议。

    第三部分主要介绍的是除了Wi-Fi协议和蓝牙协议之外，其他无所

    不在的网络无线技术及其所支持的网络。第11章介绍了通过软件无线收

    发技术入侵的精彩内容，该技术令黑客“如虎添翼”，使其可以方便地访

    问以往无法访问的无线网络。第12章着眼于“蜂窝网络”的破解，包括二

    代(即2G)、三代(即3G)、四代(即4G)网络及LTE [2]

    安全。第13

    章探讨改进ZigBee的黑客技术，主要介绍工业控制系统和其他重要无线

    部署。最后的第14章关注之前从未出版过的Z-Wave智能家居网络破解

    的相关知识。

    本书可以作为参考手册备用，帮你在下一个渗透测试中，进行脆弱

    性评估时，或在审计时，或在政策审查时，或道德入侵约定中使用。保

    有本书，可以在洞察复杂的无线协议时，将其作为参考。最后，在你发

    现某无线安全漏洞的时候，及时向全世界同行进行分享，因为只有公开

    披露，世界才会实现显著的变化。

    Joshua Wright

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者[1] “瑞士奶酪模型”是James Reason提出的，即在多层奶酪片中，每一层

    都有不规律分布的孔，如果有光穿透奶酪，则穿透部位的每一层都在该

    位置有重叠孔，反之，只要有一层没有重叠孔，光就透不过来。这句话

    的意思是：如果将计算机安全分成一个个层，那么各层中与无线相关的

    部位将组成重叠孔，成为整个系统的公共弱点。——译者注

    [2] LTE，Long Term Evolution，即长期演进，是由3GPP(The 3rd

    Generation Partnership Project，第三代合作伙伴计划)组织制定的

    UMTS(Universal Mobile Telecommunications System，通用移动通信系

    统)技术标准的长期演进。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者致谢

    感谢约翰逊·威尔士大学技术学院(JohnsonWales University

    School of Technology)的全体教职员工，即使我毕业多年，他们仍然一

    如既往地继续为我提供教育上的服务。本书的每一章都是我在那里受教

    后的反馈，从程序编写到逻辑设计，从电路理论到数字信号处理，从嵌

    入式系统到单片机的逻辑分析，我的教授们给我留下了不可磨灭的印

    象，他们教我怎样从失败中吸取教训，那就是不停地自问“这件事应该

    怎么做”，这使我可以克服任何困难，进而投入激情做更伟大的事情。

    特别感谢Al Benoit、Frank Tweedie、Jim Sheusi、Ron Russo、Al

    Colella、Al Mikula和Sol Neeman，感谢他们送给我的特殊礼物。

    感谢我在Counter Hack公司的同事们，他们在我利用一些学术间隙

    从事本书写作的时候，给予了帮助和支持。感谢本书的编辑组成员

    Brandi Shailer、Meghan Manfre、Janet Walden和Amanda Russell，在整

    个繁杂的编审流程中，每到稿件的重要时间节点，他们都提供悉心指导

    和灵活的处理。这次，我再次幸运沾了LeeAnn Pickrell超凡编辑技巧的

    光，对此我非常感激。同时感谢技术编辑Tim Medin、Mike Ryan和Jean-

    Louis Bourdon，他们为本书增辉不少。感谢Matt Carpenter、Chris

    Crowley和Tim Kuester所给予的宝贵支持和技术诀窍，感谢我的合著者

    Jon，在一年前就同意与我同舟共济，共担此任。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者最后，感谢我的孩子Maya和Ethan，他们使我想成为一个更好的

    人。感谢我的妻子Jen，她帮我变成了这样的人。

    ——Joshua Wright

    我要感谢许多有超凡才华的个人和团体，我有幸与之共事多年。这

    些个人和团体包括(但不仅限于)area66、serialbox、trajek、Rich

    Johnson、Matt Miller、hlkari、geo、linnox、spoonm、Skywing、hdm和

    Pusscat。如果不是你们，我可能永远不会使用ATDT 9884227这个网

    名。

    ——Johnny Cache

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者第一部分 破解802.11无线技术

    ·第1章 802.11协议攻击概述

    ·第2章 发现和扫描802.11网络

    ·第3章 攻击802.11无线网络

    ·第4章 攻击WPA保护下的802.11网络

    ·第5章 攻击802.11的无线客户端

    ·第6章 在Windows 8上架桥过隙

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者案例学习：用十二伏电压 [1]

    的英雄

    在Foray Solutions公司总部的三楼，Jen刚在她的办公小隔间里，倒

    好早晨的咖啡，扫视了一下电子邮件的标题。积攒了几天的邮件，有强

    制性的道德培训方面的，有关于她的一些费用的有效性问题方面的，看

    着没有需要多关注的，Jen就将它们都标记为“已读”(read)状态。Jen

    很久以前就知道，如果有重要的事情，对方一定会重发的。这样做，她

    就不必浪费宝贵的时间来对这些邮件一一阅读，因为她有更多事情想去

    做，比如到新闻社交网站Reddit上看新闻，或到专门发小猫图片的

    LOLCats网站上看图片。

    Jen在网上欣赏了一些可爱的小猫图片，大约十分钟后，Ryan站在

    了旁边，这意味着工作的开始。他们俩本周计划是审计市中心的一家法

    律公司。可没料到的是，该公司在安全方面管得还挺严，Ryan仅在前台

    接待员那里硬是磨了几分钟才让他进去。不过，他也没心思关注一楼的

    建筑艺术画廊，而是直奔律师办公室而去。

    Jen来到画廊里，并不停地在画廊中走来走去。Jen和Ryan都心照不

    宣，在Jen的钱包里装了一个电池供电的“Wi-Fi小菠萝” [2]

    (Wi-Fi

    Pineapple)。这时在律师办公室中的Ryan通过下达命令控制这台小设

    备，而Jen则是尽量靠近目标，因为这意味着Ryan也会离目标更近。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者事实上，Jen在画廊里所带的这台“小菠萝”，是一台黑客工具，其

    目标就是连接无线路由器，Ryan在头一天晚上就配置好了。当Jen走近

    目标的时候，她接下“小菠萝”的工作开关。一分钟后，“小菠萝”就连接

    到了“全球移动通信系统”GSM网络上，并反向主动连接到Ryan的主机

    上。而Jen进门之后，她的“小菠萝”就从Ryan那里收到了一个文字信

    息，告诉Jen一切顺利。

    当Jen和画廊馆员聊天的时候，Ryan则忙于入侵“小菠萝”所连的那

    个无线网络。Jen犹豫的是，为了工作，她已经买过一幅画，现在是否

    还有必要再买一幅。与此同时，Ryan已经找到了该公司的客户网络，一

    旦入侵成功，他会发出“Stach_and_Liu_ESQ_Guest”命令对路由器进行刺

    探性地连接。碰巧的是，这个型号的思科路由器设备上，一个能产生后

    门的漏洞最近才被黑客发现。想到这儿，Ryan就通过漏洞，借助后门登

    录到路由器上，开始内部网络中，“Wi-Fi保护访问”WPA密钥的破解工

    作。

    其实这时，如果利用“小菠萝”向连接到该路由器上的客户端发

    起“中间人攻击”(man-in-the-middle attack)是件很刺激的事，但是Ryan

    知道现在的“小菠萝”是靠电池供电的，Jen也不可能背着“小菠萝”在画廊

    里转上一整天。要知道她本来也没有打算买什么东西，这么明显的道

    理，这样的成本估计，使Ryan放弃了这种想法。

    想想自己估计也就只有十分多钟的时间，再多了，估计Jen会因为

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者自己的拖延而让自己为她的疯狂购物而买单，Ryan就赶紧登录到路由

    器，启用了路由器的远程管理功能，设置了路由器的“主域名”(primary

    Domain Name System，DNS)地址，使其指向一个他为了这个工作而专

    门申请的“虚拟专用服务器”(Virtual Private Server，VPS)上。现在，他知道他已牢牢地掌控了这个网络。这时，Jen也可以回她的办公室

    了。

    每当Ryan看到有DNS请求进来，他都会检查他们的浏览器是否有漏

    洞。看到他们当前使用的浏览器范围，Ryan不禁哑然失笑。他给Jen发

    了个消息，让她直接回办公室，或者是在路上选一个星巴克咖啡店准备

    工作，因为这将是忙碌的一天。

    [1] 目前的大多数电子设备，采用的都是5伏或12伏电压。本文的主

    角“Wi-Fi小菠萝”采用的就是12伏电压。——译者注

    [2] Wi-Fi小菠萝是目前广为流行的一种安全测试设备，具有简单易用的

    中间人攻击操作功能，是黑客常见的工具之一。其第一代外形像个菠

    萝，后面几代虽然没有这一特征，但名字被保留下来。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者第1章 802.11协议攻击概述

    欢迎阅读本书。第一章主要介绍802.11协议，其目的是帮助读者在

    工作中选择正确的802.11设备。在本章的最后，你会对802.11网络的工

    作原理有一个基本的了解。同时，本章也会回答一些常见的问题，包括

    需要购买哪种无线网卡、哪种“全球定位系统”(GPS)，以及哪种天线

    等。另外，读者也能明白类似于Kismet的“无线服务发现”工具是怎样工

    作的。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.1 802.11标准简介

    802.11标准定义的是一个数据链路层(link-layer)的无线协议，该

    标准由“美国电气和电子工程师协会”(Institute of Electrical and

    Electronics Engineers，IEEE)负责管理。许多人在听到802.11时，首先

    会想到Wi-Fi技术，实际上二者并不等同。Wi-Fi标准是802.11标准的一

    个子集，而且Wi-Fi标准是由“Wi-Fi联盟”(Wi-Fi Alliance)负责管理。

    因为802.11标准过于复杂，其标准的更新流程非常耗时间(具体的更新

    操作由IEEE下的一个委员会负责)，所以几乎所有的主流无线设备制造

    商都觉得，他们需要一个小但灵活的组织来管理更合适，这样当他们通

    过市场的努力，需要进行技术推进时，该组织能在供应商之间进行维

    持、协调工作。Wi-Fi联盟由此产生。

    在一个给定的功能集合上，Wi-Fi联盟可以确保所有具有Wi-Fi认证

    标志的产品都能一起工作。这样一来，如果802.11协议中出现任何两义

    性的概念时，Wi-Fi联盟会定义其中一项作为“正确的项”(right

    thing)，然后要求所有Wi-Fi认证的产品按照“正确的项”去做。该联盟

    还允许供应商实现一些“草案标准”(指未经过批准的标准 [1])的重要子

    集。草案标准中，最著名的例子就是“Wi-Fi保护访问”(Wi-Fi Protected

    Access，WPA)或叫作“802.11n草案标准”。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者 提示

    网站

    要想对上述内容有更多的了解，或者是想更细致入微地了解802.11

    标准，可参见本书的配套网站中的“Bonus Chapter 1”，网址

    是http:www.hackingexposedwireless.comchapters 。

    1.1.1 基础知识

    大多数人都知道，802.11是通过“ AP接入点 ”

    [2]

    (AP，Access

    Point)将无线设备接入有线网络，但当设备处于ad-hoc [3]

    模式或独立基

    本服务集 (Independent Basic Service Set，IBSS)模式时，802.11可以

    在没有接入点的前提下使用。因为ad-hoc网络本身就是一个开放的无线

    网络，所以一般我们并不关注无线安全，而当设备处于ad-hoc模式时，802.11协议中，各项技术细节改变很大，因而作为专讲无线安全的书，并不涉及ad-hoc模式。除非另有规定，否则这一节所包含内容都是指

    802.11运行在“ 无线接入点 ”模式 (Infrastructure Mode，即有AP的模

    式)。

    802.11标准将所有的通信数据包分为三种类别：数据数据包、管理

    数据包、控制数据包，这些不同类别被统称为通信数据包类型 (packet

    type)。数据数据包的作用是负载更高层次的数据(如IP数据包)。管

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者理数据包可能是攻击者最感兴趣的通信数据包，因为它控制网络的管理

    功能。控制数据包得名于“介质访问控制” (Media Access Control，MAC)，用来干预访问共享介质。

    任何给定通信数据包的类型都有许多不同的子类型。例如，信标帧

    [4]

    (Beacons)和解除认证(Deauthentication)的通信数据包都是管理

    数据包的子类型，请求发送(Request to Send，RTS)和清除发送

    (Clear to Send，CTS)的通信数据包都是控制数据包的子类型。

    1.1.2 802.11通信包的地址

    与以太网的数据包有源地址、目的地址这两个地址不同的是，大多

    数802.11通信包有三个地址：源地址、目的地址和“基本服务集标

    识”(Basic Service Set ID，BSSID)。这个“基本服务集标识”项就是唯

    一标识某个AP接入点，以及该AP接入点所关联站点的集合，采用AP接

    入点的无线接口使用相同的MAC地址。这三个地址告诉通信数据包到

    哪去、谁发送的、经过哪个AP点。

    然而，并不是所有的通信数据包都有三个地址。例如“确认帧” [5]

    (Acknowledgment frame)就不是这样，这是因为减少发送“控制帧”的

    开销非常重要，所以此类帧结构的bit位的个数也能减就减，一般保持最

    低的位数。另外，美国电气和电子工程师协会也使用不同的术语来描

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者述“控制帧”的地址，如用“接收地址”(receiver address)来代替“目的地

    址”(destination address)，用“发送地址”(transmitter address)来代

    替“源地址”(source address)。

    图1-1显示的是通过Wireshark截包软件截获的一个典型的数据包。

    图1-1 Wireshark软件截获的数据包

    不要被Wireshark所定义的“接收地址”(即图1-1的Receiver)和“发

    送地址”(即图1-1的Transmitter)所迷惑。所有的802.11数据包都有三个

    地址(目的地址、源地址、“基本服务集标识”)，而不是五个(目的地

    址、源地址、接收地址、发送地址、“基本服务集标识”)。Wireshark最

    近也开始允许将“源地址”作为“发送地址”，“目的地址”作为“接收地

    址”。这样可以使在各个工作控制帧和数据帧之间的过滤器(filter)有

    一个兼容的层 [6]。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.1.3 802.11安全启蒙

    如果你正在读本书，那么可能已经意识到，在保护802.11网络成员

    中，有两个非常不同的加密技术：“有线等效保密协议”(Wired

    Equivalency Protocol，WEP)和“Wi-Fi保护访问”(Wi-Fi Protected

    Access，WPA)。其中的“有线等效保密协议”是早期版本，是一个相当

    脆弱的标准；“Wi-Fi保护访问”则更现代和有弹性。“有线等效保密协

    议”的网络一般使用静态的40位或104位公开密钥，事先参加传输的每一

    个客户端都知道所使用的密钥。密钥用于初始化一个基于RC4加密算法

    的流密码，恰恰这个RC4加密方式吸引了很多攻击者的兴趣，并实施了

    对“有线等效保密协议”的攻击，这些攻击方式会在第3章涉及。而“Wi-

    Fi保护访问”协议可以配置两个差距迥异的模式，即“预共享密钥”(Pre-

    Shared Key，PSK)模式和企业模式。下面分别对二者进行简要说明。

    1.WPA的预共享密钥模式

    “Wi-Fi保护访问下的预共享密钥”(WPA Pre-Shared Key，WPA-

    PSK)的工作方法和“有线等效保密协议”相似，都需要连接方提供密钥

    才能访问无线网络，不过，二者的相似点也仅限于此。图1-2显示

    了“Wi-Fi保护访问下的预共享密钥”的认证过程，这一过程被称为“四次

    握手” (four-way handshake)。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者图1-2 一次成功的“四次握手”过程

    “预共享的密钥”PSK(即密码)可以是8~63之间任意长度的可打印

    的ASCII码字符。使用“Wi-Fi保护访问”的加密算法依赖于“成对主密钥”

    (Pairwise Master Key，PMK)，该PMK是由“预共享密钥”和“服务集标

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者识”计算生成的。一旦客户端获得了PMK，客户端就会与AP接入点开始

    协商一个新的、临时的密钥，该密钥称为“成对临时密钥”(Pairwise

    Transient Key，PTK)。这些成对临时密钥PTK在每次客户端进行连接

    的时候被动态创建，在之后每次连接的时候进行定期更换。从编程的角

    度来看，PTK的生成可以看成是由5个参数组成的函数，其参数有：“成

    对主密钥”，一个随机数字(由AP接入点提供，称为A-nonce [7])，另

    一个随机数(由客户端提供，称为S-nonce)，以及客户端与AP接入点

    各自的MAC地址。PTK的生成之所以需要这么多的变量，究其原因是为

    了使每次创建的PTK值都独一无二，不会重复。

    AP接入点通过在认证交换时检查“信息完整性检查码”(Message

    Integrity Code，MIC)字段，来验证客户端是否真的有“成对主密

    钥”。“信息完整性检查码”是一个数据包的加密散列函数(hash

    function)，该函数是由PTK和PMK混合而成，主要用于防止篡改和核

    实客户端具有这个主密钥。如果“信息完整性检查码”是不正确的，这就

    意味着“临时密钥”和“成对主密钥”是不正确的，因为“临时密钥”是从“成

    对主密钥”中推算出来的。

    攻击“Wi-Fi保护访问”算法时，我们最感兴趣的当然是还原正确

    的“成对主密钥”。如果网络设置在“预共享密钥”模式下，则允许你“读

    取”所有其他客户端所传输的数据包中所包含的“成对主密钥”，并验证

    自己是否成功。当然，这里的“读取”实际上就是嗅探监听，要使用一些

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者手段才行。

    同传统的“有线等效保密协议”部署一样，“Wi-Fi保护访问下的预共

    享密钥”也有很多类似的使用案例，但即使如此，“Wi-Fi保护访问下的

    预共享密钥”仍然也仅能用于家庭或小型办公室环境中。由于“预共享密

    钥”的使用需要连接到网络，所以主密钥是一个全网共享的数据，这意

    味着在一个使用“Wi-Fi保护访问下的预共享密钥”加密网络的大公司

    中，有员工离开公司，或该公司的一个网络设备被盗，这就意味着“成

    对主密钥”被公开。要想系统不受攻击，则整个网络必须重新配置一个

    新的“成对主密钥”。在“Wi-Fi保护访问”的算法中，与上述预共享密钥模

    式相反，“WPA企业模式”并不需要全网使用同一个“成对主密钥”，而是

    可以提供多个单独认证，这意味着对可以连接到无线网络的客户端有更

    大的控制权，因此在大多数大型企业中被广泛使用。

    一花多名：WPA，WPA2，802.11i和802.11-2007 [8]

    聪明的读者可能已经注意到，我们前面已提出了“Wi-Fi保护访

    问”WPA。如前所述，WPA是Wi-Fi的通信标准，而Wi-Fi属于“Wi-Fi联

    盟”，802.11属于“美国电气和电子工程师协会”，所以，“Wi-Fi保护访

    问”是802.11i的子集，但在802.11i未被批准前，WPA也还只是一个由

    Wi-Fi联盟创造的临时解决办法。在802.11i被批准以后，“Wi-Fi保护访

    问”就被合并到最新的802.11标准中了。从技术上讲，大多数路由器和客

    户端，除了实现802.11i的功能之外，还实现了802.11-2007标准中增强的

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者安全性功能，因此，如果我们不拘泥于版本之间的细节差异，可以把

    802.11-2007啰嗦地解释为“对于以前称为“Wi-Fi保护访问”或称为802.11i

    的加密标准，802.11-2007是其改进版”，在本书中，我们将继续使

    用“Wi-Fi保护访问”WPA这一术语。

    2.WPA的企业模式

    在一个基于WPA认证的网络中，一旦我们证实了该网络是运行

    在“WPA企业模式”下，那么网络中每个用户每次主动连接时，“成对主

    密钥”都会被动态地创建。也就是说，即使我们拿到了该用户的PMK，也只能模仿这一个用户的指定连接。

    在“WPA企业模式”中，“成对主密钥”是在“认证服务

    器”(authentication server)上产生，然后下发到客户端的。AP接入点和

    认证服务器是通过一个称为RADIUS的协议(Remote Authentication Dial

    In User Service，远程用户拨号认证协议)进行对话的 [9]。认证服务器

    和客户端的信息交流使用AP接入点作为其中继节点。当认证服务器做

    出最终决定接受或拒绝客户端用户时，AP接入点则会忠实地听从认证

    服务器的决定，实施同样的接受或拒绝操作。因为AP接入点只是充当

    一个中继节点，所以在客户端通过认证服务器的认证之前，它只是认真

    地将客户端的认证传给认证服务器，而只有客户端通过认证后，AP接

    入点才开始传送客户端正常的数据包。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者如果认证成功，客户端和认证服务器都将获得相同的“成对主密

    钥”。“成对主密钥”如何创建的细节根据验证类型的不同而有所不同，但重要的是，它是一个加密的强随机数，两端都可以计算。然后，验证

    服务器就告诉AP接入点，可以允许用户建立连接了，但同时让用户在

    向AP接入点建立连接的时候发送该“成对主密钥”，以便AP接入点识

    别。因为这时的“成对主密钥”是动态创建的，每个用户的“成对主密

    钥”一般是不同的，所以AP接入点必须记住哪个“成对主密钥”对应哪个

    客户端用户。一旦所有AP接入点和所有客户端都有“成对主密钥”，那么

    各AP接入点和各客户端之间就可以像图1-2中所显示的一样，进行连接

    时所需的“四次握手”操作。这一过程用于确认客户端用户和AP接入点都

    有正确的“成对主密钥”，并能正常通信。图1-3显示了基于企业模式的

    整个认证过程。

    3.EAP和802.1X

    你可能注意到图1-3中许多通信的数据包前有EAP标识。EAP表

    示“扩展认证协议” (Extensible Authentication Protocol)。EAP基本上是

    一种携带任意其他认证协议的协议，所以可以说是一种认证的“元协

    议”(meta-protocol)。EAP允许设备(如AP接入点)忽略具体的认证

    协议细节。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者图1-3 基于企业模式的“Wi-Fi保护访问”认证

    IEEE 802.1x协议的设计本来是为了在有线局域网上认证用户的。借

    助EAP，802.1X就可以实现认证，而“Wi-Fi保护访问”又使用802.1X。当

    客户端向AP发送认证包时，双方使用了“局域网上的EAP协议”(EAP

    over LAN，简称EAPOL)，该协议也是802.1X协议组中规定的一个标

    准协议。当AP和认证服务器进行通信时，又会在RADIUS协议的数据包

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者外再包上一个EAP的认证数据包。

    在“WPA企业模式”下，所有的AP接入点所做的事情，就是在客户

    端和认证服务器(例如RADIUS服务器)之间来回传送EAP信息。并

    且，AP接入点其实所期待的，也就是RADIUS服务器及时地让它知道是

    否允许某个用户进入本系统中。而是否允许进入，是通过寻找“EAP成

    功”的消息，或者是“EAP失败”的消息来判断的。

    正如你可能已经猜到的那样，还真有几个不同的认证技术是基于

    EAP实现的。比如其中最受欢迎的：“基于传输层安全的扩展认证协

    议”EAP-TLS(certificate-based authentication，基于证书的认证协议)

    和“受保护的扩展认证协议”(Protected Extensible Authentication

    Protocol，PEAP)。有关这两个协议的细节，以及怎么样攻击它们等内

    容，具体参见第4章。

    一般而言，理解802.1X在哪里结束，EAPEAPOL在哪里开始，以

    及RADIUS服务器在哪里开始起作用并不重要。重要的是必须知道，当

    使用企业模式进行认证时，客户端和认证服务器互相传送特定格式的认

    证数据包。所以，AP接入点必须来回地代理双方互通的信息，直到认

    证服务器告诉AP接入点是停止还是允许客户端访问。图1-4显示了各个

    数据包的协议栈，如前所述，由于每次认证数据包都由多层协议共同完

    成，各层协议各司其职，完成所负责的功能。对于在以太网中实施

    802.1X端口安全管理的网络管理员来说，这个图看起来应该很熟悉。如

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者果将一个基于802.1x的软硬件交换机替换掉图中的AP接入点，效果是完

    全相同的。

    图1-4 各数据包的协议栈

    [1] 802.11n标准在2009年获得IEEE的正式批准，而Wi-Fi联盟在2007年

    就发布了《802.11n技术白皮书》，所以Wi-Fi的很多早于IEEE的标准，在当时只能称为“草案”。——译者注

    [2] 对于AP接入点，大家可以将其简单地理解为家里或单位里的无线路

    由器，这样有助于理解后面的内容。——译者注

    [3] ad-hoc模式是一种无线自组模式，每一个设备节点除了具有通信功能

    之外，还具有路由功能，所以在这种模式下，任何两个节点间可直接通

    信或通过第三方节点进行通信，而不需要固定的路由设置，也叫作“点

    对点模式”，主要应用于军队或地下、野外等不能或不值得架固定通信

    设施的特殊环境施工环境。在本书第13、14两章中频繁出现的mesh网，是ad-hoc网络的一个升级版。在这两种网络中，数据在两个相邻设备之

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者间传输的动作称为“跳”(hop)。——译者注

    [4] 无线设备中，定时依次按指定间隔发送的有规律的无线信号，主要

    用于定位和同步使用。——译者注

    [5] 帧在本书，乃至于整个计算机领域，都有两层意思，一个是数据链

    路层上一个完整的数据包的单位，这一帧数据到了网络层原则上会变成

    一个数据包，但没有绝对关系。还有一层是应用层的，比如一个浏览器

    浏览的页面或一整屏幕的数据，也称为一帧数据，这个通常都是由一个

    或多个数据包组成。另外，在很多不使用IP进行传输的网络里，只

    有“帧”，没有“包”的概述。在本书中混用了两种帧，将帧与数据包等同

    并混用，所以这里也沿用了这种混用的风格，将三个概念混用，基本上

    不会影响对内容的理解。——译者注

    [6] Wireshark中，每一个对包操作的对象都叫“过滤器”。对于控制命

    令，通常有一个发送的，一个接收(并执行的)的，故习惯使用“发送

    地址”和“接收地址”；而数据，则是由一个地方到另一个地方，所以常

    用“源地址”和“目的地址”。——译者注

    [7] 凡是以nonce命名的随机数，一般都表示一个与时间有关的随机数，其作用一般有两种：一种是由于该值一直处于变化状态，所以引用该机

    制的随机数也一直处于变化状态，接收方如果连续收到很多该数不变的

    包，则可以认为自己受到了“重播攻击”；二是在时钟同步的系统中，发

    送方在某一时刻发送一个带有该时刻值的数据包，该数据包经过网络到

    达接收方以后，接收方可以将该包中的时刻与自己本地的时刻进行比

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者较，如果发送方的时间靠前，且相差不多，则为正常，否则也可以认定

    对方是在用随机数攻击自己。——译者注

    [8] 除了原书作者所提的各点之外，还有WPA和WPA2除了是无线通信

    标准之外，还是该标准的一种实现。另外，文中没有提WPA2，WPA2

    很显然是WPA的升级版。IEEE的标准格式中，带年代的标准通常是几

    个标准的合集，所以确切地说802.11-2007中，与802.11i的对应部分才与

    802.11i是一花多名。——译者注

    [9] 所以后面也称认证服务器为RADIUS服务器。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.2 “服务发现”的基本知识

    在攻击一个无线网络之前，你需要找到一个无线网络，这需要借助

    扫描类(也称服务发现类，后面混用这两个概念)的工具。有相当多各

    式各样的工具都可以满足我们对这一功能的需要，只是这些工具都可以

    归于两大类：“被动式”(passive)或“主动式”(active)服务发现工具。

    被动式 服务发现工具的原理是在一个给定信道(channel)上，监听无

    线信号的任意数据包，进而通过分析这些数据包来确定哪些客户端正和

    AP接入点进行通信。主动式 服务发现工具的原理更基础，它们向目标

    主机主动发送希望得到回应的“探测请求”(probe request)数据包 [1]。

    在攻击任何无线网络之前，了解和选择顺手的工具都是一个重要的步

    骤。随着对“战争驾驶” [2]

    (war driving)的一些参与实践，本节涵盖了

    网络发现所需的软硬件的基本原则。下一章将深入研究现今可使用的主

    要工具。发现无线网络，首先应该了解主动和被动扫描的基础知识。

    主动式扫描

    实现主动扫描的工具，都会周期性地发出一些探测类的请求数据

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者包。每当客户端需要进行网络查找操作的时候，客户端就会使用这样的

    探测类请求数据包。例如，客户端需要查找一个指定网络的时候，可能

    发送有针对性的“探测请求”数据包：“网络X，你在那边吗？”，如图1-5

    所示。或者客户端需要查找都有哪些网络的时候，他们也会通过广播的

    方式发送另一种“探测请求”数据包：“喂，有人吗？”，如图1-6所

    示。“探测请求”本身是802.11标准规范的两项技术之一，作用既是用来

    让客户端寻找一个要关联的网络，也是用来让客户端通过使用信标去找

    到所有的网络 [3]。

    图1-5 一个探测请求数据包实例(注意其中SSID参数是个广播地址)

    AP接入点每110秒发出一次信标数据包。每个数据包包含相同的信

    息集合，这些信息集合将出现在探测回复数据包中，其内容包括主机

    名、主机地址、所支持的速率等。因为这些数据包通常可以被任何接收

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者者轻而易举地接收到，所以大多数主动的扫描器也同样可以接收这些数

    据包并进行处理，然而，事实并非总是如此。通常情况下，主动扫描器

    可以从网上拿到信标数据包，但并不都是这样，拿不到的情况不仅取决

    于所使用的扫描器本身，还包括控制无线网卡的驱动程序。主动扫描器

    的主要缺点是程序界面上除了能看到“探测请求”(和可能的信标)的数

    据包之外，看不到其他所有的无线通信内容。

    图1-6 一个典型的广播探测请求数据包

    大多数操作系统都是在寻找要连接的网络的时候才采用主动扫描，并且它们都是周期性地做这个操作，如果客户端用户请求一个更新操作

    的内容时，操作系统也会做这样的操作。对操作系统系统来说，两个操

    作的不同之处在于，前者进行寻找操作时，操作系统发的是广播探测请

    求数据包；而后者发送的是定向的“探测请求”数据包。在Windows XP

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者操作系统，并在打了SP2(Service Pack 2，即第2版服务包补丁)之前，客户端通常向所有它们想连接的主机SSID发送定向探测请求数据包，所

    有的这些AP接入点都保存在“用户的网络偏爱列表”(user’s preferred

    network list)中。Windows XP SP2之来，操作系统在设计上改进了扫描

    技术，变成了只在需要的时候，向需要连接的AP接入点发送定向探测

    数据请求数据包。

    大多数主动扫描的工具永远只能找到那些“操作系统能通过主动扫

    描方式找到的网络”(换句话说，这些扫描工具的能力不会比你所用操

    作系统的能力更强，你只能找到那些出现在你操作系统的可用网络名单

    里的网络)，从这一点来说，主动式扫描工具与被动式扫描工具相比，主动式扫描被挤到一个非常不利的地位。

    嗅探器、搜寻器、扫描器

    与无线攻击工具相关的术语有点令人难以应付。对“搜寻

    器”(Stumbler)和“扫描器”(Scanner)来说，绝大多数主动式扫描的

    工具都称为“搜寻器”，而绝大多数被动式扫描的工具被称为“扫描器”，使用“扫描器”略多于“搜寻器”。而对“搜寻器”和“嗅探器”(Sniffer)来

    说，“搜寻器”即使从技术上看不能算是扫描器，但“搜寻器”仍然被认为

    是一个“扫描工具”，而“嗅探器”是网络监测工具，虽然与所有网络都息

    息相关，但与无线网络并没有必然的相关性，它只是一个简单的网络工

    具，可以显示网卡接口所能看到的所有数据包。另外，“嗅探器”也是一

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者个应用程序的常见名称，鉴于它的数据都来源于协议的低层，所以如果

    处于低层的无线的驱动程序或网卡不向“嗅探器”提供数据包，那“嗅探

    器”就什么也做不了。

    被动式扫描(监测模式)

    被动式扫描工具产生的效果要比主动式扫描工具产生的效果好很

    多。被动式扫描工具自身不发送数据包。相反，它们收听给定信道上的

    所有数据包，然后分析这些数据包，进而看看下一步做什么。这些工具

    能更好地查看周围的整个网络。不过，要想达到这种效果，所用的无线

    网卡必须支持一种功能，即一种被称为“监测模式”(monitor mode)的

    功能。

    把一个无线网卡置于“监测模式” 类似于把一个正常的有线以太网卡

    置为“混杂模式”(promiscuous mode)，在这两种情况下，都可以看到

    所有通过“线缆”(或信道)的所有数据包。不过，一个关键区别是，当

    你把有线网卡置为“混杂模式”时，你肯定只能看到你所接入的网络上的

    所有通信。而在无线网卡上就不是这种情况了，以我们最常使用的Wi-

    Fi为例，Wi-Fi使用2.4GHz波段范围的频率，而这个频段是“免授权的”

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者[4]

    ，任何单位都可以共享地使用这个频段，这就意味着，同一信道内可

    以有多个重叠的网络。在这一共享频段的前提下，如果你和你的邻居共

    享同一信道，当把你的网卡置于“监测模式”，想看看“你的网络”中会发

    生什么时，你在看到自己网络上所有通信数据包的同时，也会看到她的

    网络上所有通信的数据包。

    无线网卡和有线网卡的另一个关键区别是：以太网卡上的“混杂模

    式”是一个标准功能，而某一泛指的无线网卡是否具有“监测模式”则不

    能草率地得出“肯定就有”的结论。要想让一块无线网卡支持“监测模

    式”，并能好好工作，需要同时满足两个必要条件。首先，网卡上的主

    芯片必须支持这种模式(有关芯片方面的更多说明，详见在本章后面的

    1.3.2节)。其次，正在使用的驱动程序也必须同样支持监测模式。显

    然，对于想成为无线网络方面的黑客的人来说，选择一个支持“监测模

    式”的网卡(甚至要考虑在多个操作系统上的驱动程序都支持这一功

    能)是重要的第一步。

    一个关于被动式扫描器如何工作的简介，很可能就可以帮助我们消

    除隐藏在扫描器背后的“魔力”。任何被动扫描工具的基本结构都是一致

    且简单的。首先，将无线网卡置于“监测模式”，如果用户已经这么做

    了，则跳过本步骤。然后，扫描器的程序内部进入一个循环运行状态，该循环不停地从网卡读取数据包，并对其进行分析，当有新的信息的时

    候，同时刷新用户的显示界面。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者例如，当扫描器看到一个数据包，包中信息包含一个新的“基本服

    务集标识”，就会更新显示用户界面。当出现一个数据包可以关联一

    个“服务集标识”SSID(即网络名称 [5])到该“基本服务集标识”上时，它

    也会更新其显示界面，并将其网络名称加上去。而当扫描器看到一个新

    的信标帧时，只是将新的网络添加到它的名单中。所以，从这里来看，被动式扫描工具与主动式扫描工具一样，也是对数据进行分析，只是主

    动式扫描工具发出探测请求后，接收和分析的是对方回复的数据包信

    息，而被动式扫描工具则自身不发送“探测请求”数据包，只是直接接收

    对方所发的数据包，进而进行分析。

    主动扫描应对措施

    要规避主动式扫描器的扫描相对简单，但这样做有一个主要缺点，具体内容涵盖在随后章节中。因为主动式扫描器只处理两类数据包(探

    测回复数据包和信标数据包)，所以一个AP接入点，要想避开主动式

    扫描器的扫描，必须分别使用两种不同的技术来进行有效地躲避。

    第一种技术是对广播类的“服务集标识”的“探测请求”不予回复，当

    然，如果AP接入点看到一个“探测请求”不是广播类的，而是指向自己

    (即探测请求数据包中，已经包含本AP接入点的“服务集标识”)，就做

    出反应，对其进行回复。因为如果是这种情况发生，就说明对方已经知

    道你的网络名称，很显然它此时只是在寻求和你进行连接。反之，如果

    探测请求发送的是广播“服务集标识”请求，这时大可不予理会 [6]。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者通过上述方式，虽然一个AP接入点没有回复对方广播式的“探测请

    求”，但信标数据包中仍然包含有自己的“服务集标识”，所以这样做仍

    然不能叫“隐藏”。也就是说，当一个接入点设定成不回复广播“探测请

    求”模式，扫描器还将“检查”它在信标数据包里的“服务集标识”，所以

    如果主动式扫描器接收到信标数据包，同样可以从中获得“服务集标

    识”。根据无线通信标准，AP接入点必须得在自己的信标数据包里包

    含“服务集标识”字段，这种操作是强制性的，无法回避。不过也有变通

    手段，那就是在填“服务集标识”的位置，插入一些空字节 [7]

    代替“服务

    集标识”。

    大多数AP接入点都包括这两项功能。有时这个功能被称为“隐藏模

    式”(hidden)。还有些AP接入点的供应商只会在设备功能配置界面上

    简单地提供一个复选框，名称只是草草地标为“允许广播SSID”。因为要

    避免被扫描到，通常都是“广播探测回复”和“检查信标中的SSID字段”两

    项，要禁都禁，二者缺一不可。所以一般来说，AP接入点只提供一个

    禁用开关同时控制两项，因此要想禁用这一功能，只需要取消选择上面

    的“允许广播SSID”复选框即可。

    你可能会认为，或许隐藏AP接入点的最好办法就是完全禁用信标

    功能。听起来似乎可行，因为如果这样做的话，AP接入点不再向外发

    送“服务集标识”，各个客户端要连接AP接入点时，直接在探测请求中指

    明要连的“服务集标识”，那么网络上“服务集标识”出现的唯一机会就是

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者客户端在访问该AP接入点的时候。然而事实上你是不可能完全禁用信

    标的。对于AP接入点来说，信标数据包的作用不仅仅是宣布自己这个

    AP接入点网络的存在性，而是有大量的功能要使用信标，如果一个AP

    接入点在一个固定的时间间隔不发送自己的信标，那么整个网络就会因

    很多功能无法实现而瘫痪。

    还有一点不要忘记，如果主动式扫描器不能拿到一个AP接入点网

    络的“服务集标识”名称，那么那些合法的客户端也不能。所以网络运行

    在“隐藏模式”下，意味着使用这个网络的终端用户事先保存了隐藏起来

    的那些“服务集标识”名称。或者用户客户端虽然没能找到该“服务集标

    识”网络，但它很确定这里肯定有这个“服务集标识”的AP接入点，才会

    有人这样设置。特别需要说明的是，在AP接入点隐藏的状态下，客户

    端用户必须知道他们感兴趣的网络“服务集标识”是什么，并且有办法把

    这个“服务集标识”名称输入到自己的操作系统中。

    警告

    将网络设置为“隐藏模式”，意味着客户端需要传送定向“探测请

    求”数据包。而打开这种模式会引发客户端通过模拟探测功能连接AP接

    入点，最终导致“客户端攻击”(client-side attack)。

    现在讲讲坏的方面。Windows和OS X操作系统的新版本都设置为客

    户端避免传送定向“探测请求”数据包，除非它们知道它们正在寻找的网

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者络是隐藏的。虽然这一功能被许多供应商广泛采纳，但是很难被推荐并

    启用，因为启动AP接入点中的“隐藏”功能可能会有管理不善的风险。另

    一个不足的方面，就是AP接入点处于隐藏的状态时，主动式扫描器确

    实很难找到你，但对被动式扫描器来说并非如此，事实上，与主动式扫

    描器相比，被动式扫描器拿到“服务集标识”只是稍微难了一些。在数据

    交换的时候，你费尽心机地迫使你的客户端传送定向“探测请求”到AP接

    入点，但那个坐在咖啡店里的攻击者却可以信手拈来地捕获到该请求，并加以利用。总之，网络采用不广播“服务集标识”信息的隐藏方式，对

    攻击新手来说，攻击变得稍微难了点，对更多熟练的攻击者来说不过是

    徒增一小步操作而已。

    被动扫描应对措施

    和规避主动扫描器相比，规避被动扫描器则是一个完全不同的问

    题。无论在一个信道上传送什么样的信息，被动扫描器都可以看到这些

    信息，不过即使如此，你仍然可以采取一些切实可行的预防措施尽量减

    少暴露。首先，我们假设网络中已针对主动扫描采取了预防措施，考虑

    一下，在这些预防已经生效的前提下会发生什么情况，那就是当一个被

    动扫描器进入一个隐藏的网络中，扫描器将可以看到被审查的信标数据

    包，并知道在该区域内有个网络，但是，这个网络的“服务集标识”仍然

    不得而知。使用被动扫描器时，怎样获得一个隐藏网络的名称，其技术

    详情请见第2章。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者再来看看无线协议的模式，如果你的AP接入点支持多种模式的混

    合模式，而你又没有老掉牙的802.11bg模式的客户端，那就请禁掉该

    AP接入点上的混合模式，进而改选为只按照802.11n的模式，或者更新

    版本的模式运行，以避免旧模式下漏洞被利用。这时的AP接入点，所

    传送的所有数据包都理当使用802.11n编码了，然而不幸的是，即使是

    模式已整体更新，但AP接入点的信标数据包和探测回复数据包仍将采

    用802.11b编码发送，这种不放弃旧编码格式的想法，对于那些仍然使

    用802.11bg模式网卡进行“战争驾驶”的被动扫描黑客来说，无疑是一个

    好主意。

    在无线协议的模式中，另一种选择是把你的网络设置于频段为

    802.11a模式的5GHz波段。因为大多数无线网络都运行在2.4GHz这个频

    段上，所以许多“战争驾驶”者并不扫描5GHz的范围。原因有两个，也

    都很简单：其一是攻击者通常只想买一副天线，这时的首选当然是

    2.4GHz频段的；其二是支持5GHz范围的网卡要贵很多。

    最后，如果你的AP接入点安装的是能够自动调整无线发射功率的

    智能天线，那么在没有数据通信时，该装置的低发送功率可以大大减少

    你的信号覆盖范围。当然，即使你这样做了，对于那些离你AP接入点

    几百英尺之内的，和那些找不到你绝不罢休的人来说，这种方式仍然无

    法让你达到完全隐身。

    频谱分析(在数据链路层之下)

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者当网卡处于“监测模式”时，你可以看到在一个给定的信道上的所有

    802.11通信，那么如果你只想看看一个较低层次的数据是什么，怎么

    办？如果你只想看看在一个给定的频率或802.11信道运行的是什么系

    统，怎么办？也许你想知道为什么你的邻居把他的网络由原来的信道调

    切到了第13信道(美国法律规定，不使用第13信道 [8])？你想找到原

    因，因此可以问他为什么这样做？也许你更想知道的是，邻居的微波、无线电话、婴儿监视器等是在哪里发出无线干扰的，知道这些信息后，就可以更准确地定位他的网络位置了。

    测量给定频率上的能量值的工具称为“频谱分析仪” (spectrum

    analyzer)。独立的频谱分析仪价格数千美元，是由专业工程师使用

    的，之所以这么贵，是因为这些频谱分析仪可以在很大的跨度范围上进

    行扫描。然而，802.11只是运行在2.4GHz和5GHz的波段上，所以很多

    公司看到这一商机，就推出一些低端的频谱仪，这些频谱仪只对这两个

    范围进行检测，以便对802.11中产生的噪声干扰、信号冲突等问题进行

    测试。

    作为频谱分析领域的原创者，MetaGeek公司推出了一款基于

    USB“加密狗”(dongle [9])接口的频谱仪，名叫Wi-Spy。该频谱仪可以

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者与软件应用程序进行数据通信。这样一来，原来位于设备内部的数据分

    析和用户界面部分，就可以转移到计算机中，以软件应用程序的方式实

    现，从而降低成本。目前，MetaGeek公司最便宜的产品是名为“Wi-Spy

    mini”的设备加上名为“inSSIDer office”的软件，售价是200美元，如果想

    要更专业的设置(其中也包括能对5GHz进行扫描)，售价是850美元。

    最近，一家名为Oscium的公司也决定进入这个市场。Oscium提供

    基于硬件的“加密狗”，甚至允许你的iPad或iPhone作为一个频谱分析

    仪，它的扫描范围是2.4~2.5GHz，还有一个可选的扫描功率表，量程从

    100MHz~2.7GHz。该装置称为WiPry，既提供引脚为30针的连接器，也

    提供最新的lightning接口 [10]

    (不过，使用该接口，需要另配适配

    器)。读者从Oscium公司挑选入门级的WiPry，其价格比MetaGeek入门

    级的Wi-Spy低100美元。图1-7显示的是WiPry扫描到的可视化数据通信

    界面，扫描的范围是802.11的13信道。也就是在美国法律规定不使用的

    那个802.11信道。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者图1-7 WiPry扫描到的可视化通信界面

    如果你想玩一个2.4GHz的频谱分析仪，你会发现很难找到比WiPry

    更合适的了。它比Wi-Spy便宜(当然，这里有个假设前提，就是你已经

    有了一个iPhone手机或类似的其他手机)；用户界面反应更灵敏；其移

    动便捷的优势，使其从形式方面来看更加方便。如果你对WiPry的产品

    有兴趣，可以从其网站上获得更多细节，该公司网址

    是：http:www.oscium.com 。

    频谱分析的应对措施

    在一个可以对2.4GHz和5GHz进行监测的频谱分析仪面前，要想保

    护你的网络通信数据不被频谱分析仪看到，唯一的方法就是关掉无线网

    络，改回到纯线缆的传输方式。虽然说，智能天线好的布局可以起到一

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者定的作用，但事实上，802.11的网络只要在已知频率上发射能量信号，就意味着，即使对于上述这些低级的工具来说，它们都是可见的。

    [1] 一旦得到目标主机的回应，就可以通过分析回应的内容来确定所要

    的信息。——译者注

    [2] 战争驾驶，指通过驾驶车辆，在目标区域往返等行为来进行Wi-Fi无

    线接入点探测，可在车辆内部使用诸如PDA、笔记本电脑等设备。根据

    驾驶的工具不同，类似的还有“战争单车”(war biking，通过自行车、电

    动车、摩托)、“战争徒步”(war walking，通过步行)、“战争飞

    行”(war flying，通过飞机)等。——译者注

    [3] 实现主动扫描的工具正是这样的一个程序(从功能的角度上来看，主动扫描工具也是网络客户端的一种)。——译者注

    [4] 任何国家或组织使用某频段的无线频率都需要通过国际组织IEEE的

    统一授权，但为了增加灵活性，IEEE在分配频率带宽时，对某些频段不

    做硬性规定，任何单位或组织可以不向国际组织申请而直接使用，如

    2.4GHz频段就不需要授权，工业、教育、医疗都可使用。2.4G指的是

    2.4～2.5GHz。在这个频段内的某个连续70M区域内，再等分为14个信

    道，每个信道5M，其余部分作为“隔离带”。Wi-Fi的带宽是22M，所以

    一次要占用5个信道。这相当于并排14个车道的高速公路上，有一个有5

    个车道宽度的车在行驶，任何车道都可用，但一次必用相连的5个车

    道，并且最多只能有3辆这样的车并排走。——译者注

    [5] 服务集标识说得通俗一点，就是我们平时打开手机Wi-Fi无线发现的

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者无线网络名称，例如“TP_LINK_XXXX”“CMCC”“ChinaNet”。——译者

    注

    [6] 即AP接入点忽略掉这个没有明确目的的“探测请求”，就可以避免被

    对方扫描到。——译者注

    [7] 空字符(null)，不是空格字符，空字符一般用来表示字符串的结

    尾，所以这里“插入一些空字节”表示让SSID的值显示，但显示为空白

    的。——译者注

    [8] 美国法律规定不使用第13个信道的原因众说纷纭，确切说法不得而

    知。也许是14个信道中，不能同时使用3个Wi-Fi，而使用两个Wi-Fi

    时，12个信道就足够了。也许是因为13在西方是个要想办法避讳的数

    字。——译者注

    [9] dongle一词在计算机领域，一般是指某个硬件上以软件方式实现的一

    个软件保护程序，其作用很像是家里负责守门的看门狗，所以俗称加密

    狗或软件狗。——译者注

    [10] lightning接口是苹果公司推出的高速多功能接口。配置的目的很显

    然是为了使其能与苹果手机进行对接。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.3 硬件与驱动程序

    你所要使用的软件工具，同这些支持软件运行的硬件一样重要，所

    以一提到硬件的选择，世界上最好的无线网卡和芯片组肯定是你的首

    选。不过，也有例外，那就是如果控制硬件的驱动程序根本就不知道你

    想要什么，然后把驱动程序做得一塌糊涂，那就另当别论了。

    本节会介绍一些目前可用的驱动程序和它们所控制的芯片组，以及

    装有芯片组的网卡。这里着重强调Linux驱动程序是因为这将是当前绝

    大多数开发中会遇到的。

    1.3.1 Linux内核简介

    在对无线通信提供支持方面，Linux操作系统的内核常常招来相当

    坏的评价。事情是这样子的，一般来说，老一代芯片组都会为自己提供

    独立的驱动程序，每个驱动程序自成一体，形成“孤岛设计”，程序本身

    也不向其他驱动程序共享任何东西，也不需要将其他驱动程序作为自己

    的先决条件。可是，在Linux内核开发中，驱动程序几乎没有独立性，每个驱动程序都需要与其他的独立单元一起合作才能生效，因此对其的

    批评声遍布于整个内核开发中，每个人都希望会好起来。

    这样做有很大的弊端，既然驱动程序间要相互协作，所以每次要统

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者一编译，如此一来，每个驱动程序都携带约数千行代码，并且每个驱动

    程序中已实现的功能，又都被其他驱动程序重复实现。如果驱动程序编

    写者有某种标准化的“应用程序接口”(API) [1]

    可供驱动程序调用来处

    理这些问题，那么他们的工作将变得更加容易，并且可以用更少的工作

    来维护这些核心代码。类似于驱动程序所用的代码，无非是诸如身份验

    证、系统配置，以及信道选择等几乎所有驱动程序都必然会用到的共同

    功能。

    这种共享的代码库最终被设计出来，称为“802.11堆栈”。Linux开发

    人员认为实现两次是一个好主意，但也许三次更好，这取决于你想怎么

    来计算次数。无论如何，总有一段极度粗制滥造期，编写者希望他们的

    驱动程序被包括在主驱动树结构中，就写了又写。最后事情尘埃落定，大家也平静下来，在伟大的“802.11堆栈设计战” [2]

    (802.11 stack war)

    中，“mac80211驱动框架”脱颖而出，成为赢家，而其他竞争者(特别是

    ieee80211)被戏称为“折旧”而扔进了大垃圾堆中。

    由于现在只有一个标准化的Linux 802.11堆栈，所以许多老掉牙

    的、与802.11堆栈没有依赖关系的独立驱动程序都被改写，合并到驱动

    树结构中。不过，为了保持兼容，并不是所有驱动程序都必须符

    合“802.11堆栈”的要求，这意味着，虽然仍有一些“老爷车”式的历史遗

    留式的驱动程序(包括那些为特定的无线攻击而进行优化的补丁类驱动

    程序)，那些成绩平平的入侵类驱动程序仍然可以在不做任何修改的情

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者况下，编译到你的内核中。

    具体来说，本书中所有提到的攻击方式，都是以功能集驱动程序的

    方式在栈结构实现的，并且全部都添加在上面提到的“mac80211驱动框

    架”树状结构中。对于具有特征的攻击方式中，凡是在未打补丁

    的“mac80211驱动框架”的驱动程序找不到的，统统都会在本书中明确地

    告知，类似的驱动程序有ath9k和iwlwifi。这就是说，之后绝大多数的攻

    击技术，并不需要读者做深度挖掘和提供补丁程序之后才能使用，而是

    在最原始的Linux版本的内核上就可以使用。除非另有说明，否则本书

    中所有的攻击方式，都是运行在没做任何修改的，版本等于或高于3.3.8

    的内核中。

    1.3.2 芯片组和Linux驱动程序

    每个网卡都需要有芯片。虽然市场上有数百种形状各异的网卡，但

    其实这些网卡所用的芯片也只是少数的几个，所以大多数的网卡因为使

    用了同一芯片，而可以使用相同的驱动程序，它们通常情况下也都是这

    么做的。因为对于驱动程序软件来说，即使不同的网卡，只要使用的是

    相同芯片，那么软件所看到的都是一致的。唯一真正的区别在于网卡有

    什么样的功率输出，或天线插孔的类型和可用性。所以，对于从事无线

    攻击的人员来说，选择购买什么样的网卡，首先要做的是决定要什么样

    的芯片组。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者 提示

    许多网卡广告宣称支持某些功能，例如支持802.11n和802.11ac。但

    请务必记住的是，使用这些功能，需要芯片组硬件和驱动程序软件的通

    力合作才能实现。许多Linux驱动程序在一些尖端技术上，是落后于最

    先进技术的，对于网络入侵，我们最需要关注的是802.11ac。如果你关

    心新功能的兼容性问题，一定要仔细检查驱动程序的支持程度。

    1.驱动程序中想要的特定功能

    任何无线驱动程序都有两个非常渴望的功能。显然，其中最重要的

    一个功能是“监测模式”(详见前面的1.2.2节)。另一个需要驱动程序一

    起实现的功能是“数据包注入”(packet injection)。数据包注入 是指在

    一个在线网络中，通过大量发送任意格式数据包，进而影响该网络原有

    功能的能力。这种能力允许重现网络上的数据通信，加快对“有线等效

    保密协议”的统计袭击；也允许注入“解除认证数据包”(deauthentication

    packet)，然后借助该数据包，可以将某个在线用户从AP接入点上踢

    掉，使其与网络断开。接下来讨论数据包注入。

    2.数据包注入

    许多年前，借助于Abaddon公司发布的一个名为AirJack的工具，使“数据包注入”功能首次成为可能。AirJack是一个驱动程序，与Prism2

    芯片组和一套使用该芯片的应用程序一起工作。自AirJack发明以来的这

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者几年，数据包注入的特性已被广泛添加到主流驱动程序中，所以随便找

    个网卡，基本上没有为了这个功能而去查找提供该功能的补丁程序的必

    要。

    事实上，对“数据包注入”的技术支持已经发展得很好，现在，有两

    组不同的用户级“应用程序接口”编程库可以使用。应用程序可以通

    过“应用程序接口”，以一种跨驱动程序的方式完成无线网络中数据包的

    注入。第一组编写并发布的“应用程序接口”编程库被称为“无线连接的

    剪断器”(Loss Of Radio Connectivity，LORCON)。这组程序库目前已

    升级为LORCON2。

    另一个支持注入的编程库被称为osdep，由较新版本的Aircrack-ng软

    件使用。不幸的是，现在有两个库来完成同样的事情，然而，这也许仅

    仅是程序开源领域里成熟度的一个标志。否则就不会有GNOME和

    KDE，Alsa和OSS，Wayland、Mir和Xorg等这么多对优秀的开源程序供

    我们使用。开放源码给我们的最大自由是选择权 [3]。如果你忙于选择

    哪款“窗口管理器”软件，或哪款“电子邮件提醒器”软件，或者想知道为

    什么某个程序的设计者不再积极地维护他们的某个程序，那么，只要你

    有时间发电子邮件，你只需要在邮件里问问RMS(Richard Stallman，自

    由软件基金会的创始人)，作为这方面的行家，他会给你推荐你满意的

    开源软件的。

    无论如何，LORCON和osdep都为应用程序开发人员提供了一组方

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者便的“应用程序接口”，使他们的应用程序可以在不依赖特定驱动程序的

    前提下，发送自己定制的数据包。在mac80211得到广泛支持之前，想实

    现这样的注入功能是一件很困难的事。现在，大多数用户只须使用带

    LORCON支持库的“mac80211驱动框架”的驱动程序，即可轻松实现。下

    面汇总了在Linux操作系统上，支持的802.11数据包注入功能的应用程序

    中，使用这两个“应用程序接口”编程库的当前状态。另外，osdep和

    LORCON都分别为不同的驱动程序提供了类似的支持。

    1.3.3 现代的芯片组和驱动程序

    以下介绍的所有芯片组，都有积极地维护着的被合并到mainline版

    内核 [4]

    的Linux驱动程序，它们也很容易在当今市场上找到。当然，这

    个无线芯片组和驱动程序的功能列表清单并非详尽无遗。相反，这里只

    是一组最常见的、对Linux提供相当好的支持的芯片组名单。而那些不

    提供现代“mac80211驱动框架”下驱动程序的芯片组，还有那些太陈旧，本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者以至于不能完成有效的黑客攻击的芯片组，则都未在列表中列出。

    喂，我的802.11ac呢？

    对Linux无线网络来说，一般情况下，最大的讽刺是，Linux的内核

    对802.11n和802.11ac路由提供强大支持的同时，对802.11n和802.11ac客

    户端的支持程度，则似乎落后于其他平台。在写作至此时，就有两个内

    核驱动程序在限制对802.11ac的支持。这两个程序分别是athlOk驱动程

    序和Intel公司的iwlwifi驱动程序。不幸的是，基于athlOk驱动的外部设

    备目前非常有限。

    1.Ralink(RT2X00)

    Ralink公司(中文名叫“雷凌”)是规模较小的802.11芯片组制造商

    之一。Ralink公司的软件产品具有极好的程序开源支持，已经使用过的

    所有该品牌网卡都非常稳定。Ralink是在Linux上提供USB硬件接口的少

    数几个芯片组制造商之一，另一个制造商是Realtek公司的RTL8187芯片

    组。

    像大多数芯片组一样，Ralink基本上已经有两个驱动程序系列。“历

    史遗留式”的驱动程序是独立的驱动程序，每个程序针对一个特定的芯

    片组。这些驱动程序在被广泛使用之前就提供了对黑客来说非常有用的

    功能，如数据包注入功能。Pedro Larbig收集保存了一组增强型的传统

    Ralink驱动程序，见http:homepages.tu-darmstadt.de~p_larbigwlan 。这

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者些驱动程序可能都是最优化的独立驱动程序，并且都保留了专门针对

    802.11入侵而做的修改。不过，这些驱动程序也太陈旧了，就像前面所

    说的，连“历史遗留式”的独立式驱动程序都属于早期产物了，这些驱动

    程序当然也不例外，现在也当然不值得为要不要使用这些老的驱动程序

    而争论什么。

    较新的Ralink驱动程序被统称为rt2x00。这种驱动程序现在根

    据“mac80211驱动框架”要求驻留在内核中。虽然这些位于“mac80211驱

    动框架”结构树中的rt2x00驱动程序并没有针对无线黑客入侵进行多少优

    化，但它的优点是可以在任何现代分布设备上使用。

    2.Realtek(RTL8187)

    虽然这里所说的大部分驱动程序支持许多种网卡和为数不多的芯片

    组，但是使用RTL8187驱动程序的用户通常记得一种单一的网卡——

    Alfa网卡(阿尔法)。Alfa卡是一块USB接口的无线网卡，内置

    Realtek(中文名叫“瑞昱”)公司的RTL8187芯片组。该驱动程序具有和

    芯片组相同的名称。此驱动程序已被合并到mainline版内核好多年了，并且成绩斐然，令人印象深刻。尽管基于RTL8187芯片组和驱动程序的

    Alfa网卡多年来一直都是一个简单的选择，但该网卡本身不支持802.11

    的a、n和ac版本，所以这一缺点限制了程序在新设备上抓取数据包的能

    力。也就是说，对于数据包注入方面，这款网卡也可以作为排名第二的

    板卡。同时，这也是能工作在OS X操作系统上最早出现的外置式网卡

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者芯片组和驱动程序。

    3.Atheros芯片组(AR5XXX，AR9XXX系列)

    由于可扩展性和高质量开放源码的驱动程序，Atheros(中文名

    叫“钰硕” [5])的芯片组多年来一直深受黑客社群的青睐。虽然所有

    Atheros的802.11芯片组都可以完美地支持Linux操作系统，但基于

    Atheros的大多数无线网卡都不支持USB接口，而是支持PCMCIA接口。

    这意味着，随着笔记本电脑逐渐放弃使用PCMCIA总线，对外置基于

    Atheros无线网卡的接受度已经变得越来越棘手。Atheros生产其大部分

    芯片都是为嵌入式迷你PCI网卡的，或者是直接将芯片逻辑做到进入

    SoC [6]

    中。可悲的是，如果一个Linux驱动程序“同时支持”USB接口和一

    个不支持USB接口的Atheros无线网卡，那就会变得不伦不类。

    如果你足够幸运，有一块内置Atheros芯片的设备(之所以说“设

    备”，是因为在笔记本电脑中，很少能看到内置Atheros芯片的无线网

    卡)，或者你想将一块迷你PCI卡部署到笔记本电脑或其他嵌入式设备

    中，那么下面的内容给出了当前驱动程序支持能力的解释。

    ·MadWifi：MadWifi是一款“历史遗留式”的驱动程序，因其稳定性

    方面的不足而从未被合并到mainline版Linux内核中，如果你坚持想用

    Madwifi网卡，那么就像卡的名称一样，你就等着疯掉吧。这款芯片最

    好的替代品就是ath5k或ath9k。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者·ath5k：这款驱动程序是MadWifi的合乎情理的继承者。性能很稳

    定，足以包含在vanilla版Linux内核中，并且像所有在Linux上的现代无

    线驱动程序一样，它使用“mac80211驱动框架”的堆栈结构。在许多使用

    AR5XXX系列芯片组的设备上，ath5k驱动程序都为其提供支持。不

    过，ath5k不提供对USB的支持，同时也不提供对802.11n标准的支持。

    ·ath9k：作为块头比ath5k大的兄弟，ath9k后来居上，在Linux下的

    这些芯片组，基于802.11n标准提供了稳定的支持。虽然最初的驱动程

    序是由Atheros开发的，但现在是开放源码社群在维护它。ath9k同时也

    为后来的AR54XX各版本芯片组提供支持，除此之外，对AR91XX系列

    的各个版本，ath9k也同样提供支持。不过，ath9k和ath5k存在相同的不

    足，那就是ath9k设备也不提供对USB接口的支持。

    ·ath10k：作为块头比ath9k大的兄弟，ath10k同样当仁不让。不过该

    版本除了增加对802.11ac标准的某种程度的支持之外，其他只是ath5k和

    ath9k的一个功能合集。

    ·ath9k_htc：ath9k_htc是少数支持基于USB接口的Atheros芯片组的

    驱动程序。这些芯片组包括AR9271和AR7010。

    ·carl9170：如果你有一个Ubiquiti SR71的USB设备，那么carl9170将

    是支持这个设备的第3款(注意这里的“第3”，意味着它的评价排名)驱

    动程序。曾经，carl9170源自并取代了ar9170usb驱动程序，而ar9170usb

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者也曾经巧妙地取代过一款名为otus的驱动程序。如果你分不清它们这几

    代之间的关系，那你就难以想象到，同那个稳定的同行兼对手之间，这

    三代软件分别与ath5k、ath9k、ath10k之间存在一一对应的竞争关系。

    4.Intel公司Pro无线驱动(iwlwifi)

    Intel公司的802.11芯片组通常内置在笔记本电脑中，并且与PCIe总

    线 [7]

    相关联。较新的Intel芯片组是由iwlwifi或iwlagn驱动程序支持的，这些驱动程序都被合并到了最新的Linux内核中。

    Intel公司的芯片组通常都有很好的优势，那就是供应商基本上都是

    买主的坚实后盾。然而，事情都有两面性，在各外置网卡中几乎看不到

    基于Intel芯片的好卡，究其原因，就是对于Intel公司来说，没有令人信

    服的理由为了更方便破解支持802.11的驱动程序而加入任何需求。那

    么，如果你的笔记本电脑上，本来就带有一个集成Intel芯片组的无线网

    卡总可以吧？事实上，如果你有这样的笔记本电脑，出于测试目的使用

    这个网卡练练手也许没有问题，但要想当一个资深的黑客，你就只能自

    己想办法，为这个内置的无线网卡接一个外置的天线了。

    为什么我在监测模式下，看不到基于802.11n或802.11ac标准的

    数据包呢？

    在从事无线入侵黑客的眼里，在监测模式下，看不到基于802.11n

    或802.11ac标准的数据包，其最大的问题是这两个标准都使用了“多输入

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者多输出”(MIMO)技术。一言以蔽之，就是MIMO允许单个适配器同时

    发送多个数据包流，这就是为什么你能在界面上同时看到802.11n和

    802.llac所有小天线图标都处于连接状态的主要原因。这就意味着，攻击

    者要想看到无线网卡所捕获到的全部通信数据包，就也得具备同时接收

    和重组两路，甚至是三路独立传送的数据包流。对于任何一个流，即使

    是有一个字节未成功收到，那么你也不得不扔掉与这个字节相关的完整

    数据包。

    1.3.4 网卡

    既然芯片组和驱动程序已经考虑好了，下面该决定用什么网卡了。

    记住，内置的无线网卡将提供基本的监测模式和数据包注入支持，这是

    赔率很高的方案，因为你可能不需要再购买任何其他东西，只需要试一

    下就知道结果了。本节的目标是编制一张列表，在表格中列出各网卡的

    重要特征，最后，你会看到一张“推荐网卡”的列表，供读者根据列表购

    买一款自己感兴趣的网卡。

    购买无线网卡的过程中，最令人丧气的事，就是做完了所有的调

    查，也从中找到恰到好处的那一款并购买回家时，你发现其实你拿到的

    是一个硬件版本稍有不同，但芯片组却完全迥异的无线网卡。事实上，包装盒里的网卡和你花钱想买的网卡，唯一的相似之处，就是长得都跟

    包装盒里的网卡的形状一样。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者不幸的是，这种情况经常发生，并且你束手无策，除非你所购买无

    线网卡的这家店里有无条件退货的规定。一个提供了最全面描述的列

    表，包括从产品到芯片，以及驱动程序的网站名叫“Linux无线产

    品”(Linux Wireless)，其网址是http:linuxwireless.orgenusersDevices。

    提示

    你对哪种芯片组出现在新近发布的网卡里感到好奇吗？如果你能拿

    到网卡的“FCC ID” [8]

    ，就可以直接从FCC网站中搜集大量信息，最有

    用的信息是该网卡所使用的芯片组。除此之外，还有一些通过高分辨率

    的内部相机，在拍照后又发到网络上的在线照片，从这些照片中，通常

    也可以读到很多信息。如果你对卡的内部结构感到好奇，但不想自己动

    手打开它，那么我强烈建议你访问“http:www.fcc.govoeteafccid ”网

    站，在界面中输入“FCC ID”，然后你就可以查到与设备相关的内部照片

    记录了。

    1.发射功率

    发射(Transmit，TX)功率当然是指你的网卡可以把数据传送到多

    远的距离，单位通常是毫瓦(mW)。大多数“客户级”(consumer-

    level)的无线网卡的发射功率是30毫瓦(+14.8 dBm，单位全称是

    decibel milliwatts)。“专业级”(professional-grade)的基于Atheros的无

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者线网卡，在UbiquiLi系统中的发射功率是300毫瓦(+24.8dBm)。Alfa的

    AWUS306H无线网络，目前握有十足的发射功率金牌，据称提供1000毫

    瓦(+30dBm)的功率。虽然发射功率很重要，但随便指定一张无线网

    卡，不要忘记它是与灵敏度参数息息相关的。

    2.灵敏度

    很多人判断一张无线网卡的优劣，往往只重点关注发射功率，而忽

    视网卡的灵敏度，这种看法是很肤浅的。假如有一张发射功率很大，但

    灵敏度很小的网卡，虽然能够将数据发送到很远的距离，但由于发射功

    率和灵敏度明显不匹配，最终这块网卡有可能无法接收对方的回复。人

    们经常会忽略灵敏度，是因为无线网卡的广告中，较少会强调这个参数

    的重要性。如果你能找到一个网卡的产品性能参数表，表上应该会列出

    灵敏度，该值通常也是以dBm为单位的。不过该值一般是负值，并且在

    测量灵敏度的时候，除去负号后的数字越大，灵敏度越好 [9]

    (如灵敏

    度为-90dBm的就比灵敏度为-86dBm的要好)。

    ·一般“客户级”的无线网卡的灵敏度的标准值是-80~-90dBm。“专业

    级”的高端网卡则可能到达-93~-97dBm的灵敏度。

    ·每增加3dBm的变化代表灵敏度加倍，比如信号源和测量的一方正

    在相向移动；每减少3dBm的变化代表灵敏度减半，比如信号源和测量

    的一方正在背向移动。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者·如果你发现需要把mW毫瓦转换成dBm，不要害怕。dBm功率恰巧

    是以10为底的毫瓦功率的对数的10倍。公式是：10×log10 (mW)

    =dBm，或mW=10dBm10 。

    注：例如上面的10×log10 30(mW)=14.8dBm，以及

    30mW=1014.8dBm10 。——译者注

    3.天线的支持

    决定购买哪种网卡，最后要考虑的一项就是天线对网卡的支持。什

    么样的天线能够支持你的网卡？你需要先由天线开始考虑吗？如果你的

    工作职责就是确保公司的无线网络安全，或者是对公司的无线网络安全

    进行审计，那你一定得想有一个或两个相当好的天线，这样才能精确地

    测量到你公司的信号泄漏到外边有多远。

    目前，你的无线网卡上，通常会有0个、1个或2个天线插孔。如前

    所述，802.11n卡由于支持“多输入多输出”(MIMO)模式，所以你的网

    卡至少需要再安装两个外置天线(即使你的笔记本电脑中已经内置了一

    个无线网卡)。无线网卡与天线卡之间起连接作用的缆线连接器 [10]

    ，被称为“小辫子” (pigtail)。在这里，小辫子的作用仅仅是在卡上的任

    意插孔和连接天线上的任意插孔之间起到连接的作用。使用USB接口的

    外置无线网卡的好处之一，就是几乎所有的插座都无一例外地使用了相

    同的接口，该接口称为“反极性SMA”接口(reverse polarity SubMiniature

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者version A，RP-SMA)。

    幸运的是，大多数天线与一个特定的连接器相连。这个连接器称

    为“N型连接器”(N-type connector)。特别需要说明的是，天线端通常

    是母头的“N型连接器”。这种标准的连接器接口意味着朋友间可以互借

    天线，而不用担心因为线缆接口和天线接口不是同一类型而无法使用。

    其他天线连接器类型也不是没有，所以在你假定天线有一个N型连接器

    之前一定要检查一下。表1-1详细列出不同连接器的类型，以及其生产

    商的名称。

    表1-1 不同连接器的类型及其生产商

    注：MMCX(Miniature Microax rf Coaxial Connectors)，微小型射

    频同轴连接器，主要用于在对系统体积、重量都有要求的小型通信、网

    络设备之间连接射频同轴电缆。——译者注

    4.推荐的网卡

    作者强烈推荐以下三种网卡。它们有高于平均水平的灵敏度和发射

    功率，Linux下的稳固支持，以及外接天线连接器。它们大多也支持OS

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者X和Windows系统上的数据包注入和监测模式。

    Alfa无线网卡(详见表1-2)，逐渐开始为众人所知，在最近的一段

    时间以来，已经是802.11狂热爱好者的主要选择。从支持802.11g标准以

    来，这种网卡的缺点主要是对跨平台系统的支持较少，以及价格较高。

    因为Alfa的产品线一直处于拓展状态，为了与新产品进行区分，我们习

    惯上称早期原始的Alfa中的无线网卡为“银色Alfa”，其型号为

    AWUS036H，之所以这样称呼，是因为该款网卡的颜色就是银色的，如

    图1-8所示。

    表1-2 AlfaAlfa AWUS036H无线网卡的参数

    虽然“银色Alfa”无线网卡在很长的时间里我们都感觉挺好，但是它

    已被更新的型号所取代。使用“银色Alfa”网卡的读者们，是时候认真地

    考虑一下，将其升级为一块更现代的无线网卡了。

    型号为AWUS036NEH的“黑色Alfa”(见图1-9)，是Alfa系列中一

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者款支持802.11n的基本版无线网卡，也是“银色Alfa”网卡的缩减版本，其

    性能指标详见表1-3。与其他支持802.lln的网卡相比，它最大的变化就是

    体形明显较小。不过可悲的是，这款Alfa无线网卡并不支持OS X操作系

    统上的KisMAC软件。其实，自“银色Alfa”以后所有其他版本的无线网

    卡都不支持KisMAC软件。

    图1-8 银色Alfa无线网卡

    图1-9 黑色Alfa

    表1-3 Alfa AWUS036NEH

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者型号为AWUS051NH的“金色Alfa”无线网卡(如图1-10所示)是Alfa

    系列中一款支持5GHz频率的无线网卡(详见表1-4)，不幸的是，这款

    无线网卡并不支持OS X操作系统。

    图1-10 金色Alfa

    表1-4 Alfa AWUS051NH

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者SR71-USB(见表1-5)是一款较好支持Windows操作系统的无线网

    卡(如图1-11所示)。如果你正在寻找一块既可以稳定地运行在

    Windows上，又能同时提供数据包注入功能，还能在监测模式下监测所

    有基于802.11标准的通信数据包的无线网卡，那么你就要考虑SR71了，配上“CommView for Wi-Fi”软件就可以完成上述所有需求。这种组合要

    比在CACE系统上，配上“AirPcap NX”软件的组合，便宜得不是一星半

    点。

    表1-5 Ubiquiti公司的SR71-USB

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者图1-11 SR71-USB

    Tamosoft软件公司是“CommView for Wi-Fi”软件的创造者，在加配

    一个小适配器装置后，也可以支持802.llac标准。如果读者比较关注这款

    网卡在Windows上监测无线通信数据包的功能，可以看一下该产品的兼

    容性列表。其网址

    是：http:www.tamos.comproductscommwifiadapterlist.php 。

    1.3.5 天线

    市场上有不少各式各样的遵从802.11标准的天线。如果你之前从来

    没有购买或看到过一款，那么，与天线相关的术语可能就会让你找不着

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者北。所以在开始之前，需要学习一些基本术语。“全向天线”

    (omnidirectional antenna)是一种在所有方向上都能够发送和接收无线

    信号的天线。“定向天线” (directional antenna)是一种可以将信号集中

    于某一个特定的方向进行发送和接收无线信号的天线。两种类型的天线

    在不同情况下各有各的用武之地。

    如果你以前从未使用过天线，千万不要抱着“最贵、最大的就是最

    好”的思想，初次去买的时候，逢大个的就买，最后只能是“只买贵的，不买对的”收场。相反，一个便宜的“磁性底座天线”(magnetic-mount

    omnidirectional antenna)就可以收到相当不错的效果，而其售价只要20

    或30美元。如果可行，先从懂行的朋友那里借个天线试试手，也不失为

    一个好办法，至少你可以知道，当前借到的这个天线还需要再增加点什

    么功能就可以满足自己的需要了，借此你也可以估算一下你心目中的天

    线大概需要花多少钱了。

    如果你有机械和电气方面的爱好，可以用一些易拉罐自助创建一个

    便宜的波导天线(waveguide antenna)，造价仅为几美元。这些摇摇晃

    晃的自制土天线，其接收效果却并不见得差，互联网上随处可以看到这

    类故事，你的天线也可以达到很好的效果。这需要你在车库里花上数小

    时，造出一个什么也看不出来，但却有一个带洞的罐和一个带奇怪的辐

    射模式的1dBi或2dBi的增益的天线。当然，如果你感觉这个小爱好还算

    有趣，那么你不妨在网上找找，必定能找到很多这样的DIY指南。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者天线好坏的判断指标是“天线灵敏度”，它的单位是dBi(decibel

    isotropic，各向同性上的功率对比)。最后是一个关于天线灵敏度比较

    的提示：“天线灵敏度”就是天线指标的一个对比值，但不要随意进行两

    个dBi数值大小的比较，因为这样可能会误导你对它们的直观印象。究

    其原因，是因为“天线灵敏度”每增加3dBi，天线的有效功率覆盖范围就

    会加倍。也就是说12dBi的天线的功率是9dBi的天线功率的两倍。

    1.基本部件

    有相当多不同类型的天线，甚至有些博士论文通篇都是论证如何用

    不同的技术改进其性能的。当然，本节不会讨论这类内容，本节的目的

    是为读者提供一些实用的知识，帮助读者选择正确的天线，最后完成手

    边所要做的工作。

    天线既不是变戏法，也不会向你的信号中注入魔幻的力量，而是将

    无线网卡正在产生的信号集中起来，并准确地发出去，或者接收来自外

    部的信号。可以想象一下，你的网卡产生的信号覆盖范围，其形状像一

    个三维球体(确切地说不是球体，但是先这么假定)。首先我们想象一

    下一个细管的喷泉，当喷口垂直向上，水压适中时，水会经由喷口向四

    周散开，形成一个类似没柄的苹果把儿处的形状，如果下面也对称想象

    成这样的形状，那么现在无线网卡产生的信号覆盖范围就是这样的一个

    形状，基于这个三维模型的想象，全向天线的工作原理基本上就是在这

    样一个竖放的“苹果”，可以增大发射功能，这个苹果不是等比例地扩

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者大，而是由于电磁力的相互作用，两极的磁力相互抵消改变不大，但四

    周的范围却被扩大，这时的“苹果”被压扁，变成一个圆形的矮胖“大南

    瓜” [11]

    平放在地面上的形状，这时，原本属于“大南瓜”上面和下面的垂

    直方向的能量被“压”到“大南瓜”侧面水平方向上的范围内，从而增加了

    这一区域的功率，所以这样在水平方向上的信号传得更远，但垂直方向

    上却达不到原来那么远。更重要的是，全向天线的增益越高，这个“大

    南瓜”的形状就越扁平。定向天线以同样的方式工作，只不过它将信号

    集中在一个方向发送，而在另一个相反的方向上接收信号。要记住一个

    重要特点：无论是哪种天线，信号发射的功率值一直是保持不变的，但

    信号发出的功率范围却是可以变化的，而所能变化的，只是天线的功率

    覆盖范围的形状。如果仍使用上述比喻，那就是“大南瓜”内的发射器功

    率是个恒定的常量，但“大南瓜”的厚度是可以变的，越接近于原来的球

    体，水平方向上“大南瓜”能到达的区域越小；反之，“大南瓜”越扁，水

    平方向上能达到的区域越大。

    如前所述，全向天线的功率覆盖范围近似接近于“大南瓜”的形状，由于实施了变形，所以扩大了原来的功率发射范围。如果你想开着车，借助于天线在街上寻找无线网络，那么全向天线可能是该工作的最佳工

    具。不过，在某些情况下，如果你希望能够更精确地调整信号，那么换

    用一个定向天线则会非常方便。试想一下，如果将全向天线中的“大南

    瓜”进行垂直中轴的等分，那么分后的每一个“扇形饼”就是一个定向天

    线的功率覆盖范围的形状。其中“扇形饼”两个切边的夹角称为“波束宽

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者度”(beamwidth)，定向天线比普通定向天线的波束宽度要小。这一点

    不难理解，夹角内的总功率是一定的，夹角越小，则“扇形饼”向远处延

    伸的范围越大。如果夹角足够小，那么全向天线中将“大南瓜”进行“压

    扁”的操作也是多余的，进而定向天线就简化为一个“锥体”的形状(试

    想一下夜晚打开手电筒，光柱所形成的形状)，这时，“波束宽度”越

    小，发射能量就越集中，发射的范围就越远(例如，我们在大声喊远处

    的人的时候，有时会用双手在嘴边形成一个喇叭状，以使声音能传得更

    远)。不过，“波束宽度”也有缺点，那就是很难瞄准对方。

    2.天线特性

    每一个无线黑客至少需要一个全向天线。全向天线基本上有两种类

    型：9~12dBi的“基站天线”(base-station antenna)和5~9dBi增益的“磁性

    底座天线”(magnetic-mount antenna)。“磁性底座天线”的设计原理是

    利用磁性直接吸附在汽车的顶部，“基站天线”的设计是可以直接插入到

    一个AP接入点设备中。

    “基站天线”通常外套一个白色PVC管 [12]

    ，长度是30或48英寸。长

    度越长，增益越高，并且价格越贵。当“战争驾驶”时，从“可接收

    性”(reception)上来说，尽管增益较低，“磁性底座天线”一般比“基站

    天线”接收更好些，这一点不难理解，汽车本身就是一个大铁盒子，对

    无线信号具有很强的屏蔽作用，所以在汽车里边，接收效果无疑会差很

    多。不过，如果你想在办公楼里使用全向天线，12dBi增益的“基站天

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者线”效果明显更好。

    接下来说一下各种“定向天线”。到目前为止，最流行的是廉价的波

    导天线(有时称为Cantenna [13]

    ，不妨称为“手工易拉罐天线”)。一个

    典型的“手工易拉罐天线”可以获得12dBi的增益。相比波导天线的平均

    性能上有较大提升的是“八木天线”(Yagi)。增益为15和18dBi的“八木

    天线”很容易找到，但它们往往比波导天线明显贵很多。

    3.全向天线

    “全向天线”通常是用磁性底座将天线吸附在一辆汽车的车顶。这些

    天线一般配置比较低，不引人注目，增益通常是5~9dBi范围内，价格为

    20~40美元。对于喜欢“战争驾驶”的黑客来说，一个基本的“磁性底座全

    向天线”是必备的。

    4.定向天线

    波导天线 ，俗称“手工易拉罐天线”(Cantenna)，一般都比其他的

    定向天线便宜，并且有大约30度左右的“波束宽度”(beamwidth)和

    15dBi的增益范围。虽然比起专业天线商品，这种天线在执行任务的时

    候并不完全理想，但这种形式的天线可以很容易地由成套的模块半成品

    或零配件制作手工组装完成。

    板状天线 (panel antenna)通常有13~19dBi的增益，和35~17度

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者的“波束宽度”。“波束宽度”越小，意味着增益值越大。这些天线一般售

    价都在30美元~50美元之间。对喜欢“渗透测试”攻击的黑客来说，板状

    天线是个不错的选择，究其原因，板状天线的面板是一个平板，相比于

    其他的定向天线，更容易隐藏。

    八木天线 (yagi antenna)通常可以有30度的“波束宽度”和

    15~21dBi的增益。当大多数人想到“长相很吓人”的天线时，可能就会想

    到八木天线。

    抛物面天线 (parabolic antenna)可以提供最大的增益和最窄的“波

    束宽度”。一个标准的抛物面天线具有24dBi的增益和5度的极窄的“波束

    宽度”。“波束宽度”这么窄，就意味着很难“瞄准”目标，换句话说，就

    是在安装这种天线的时候，为了进行两点间“点对点”(point-to-point)

    的回程线路(backhaul)测试，所以必须进行很专业的安装。

    5.射频放大器

    如果在你的系统里添加一个射频放大器(或双工放大器的发送模

    式)，那么这将大大增加系统的发射范围。如果再增加一个接收放大器

    (或双工放大器的接收模式)，也将同样大大提高天线的接收灵敏度。

    不过，缺点是，放大器(amplifier)在放大信号的同时，也放大了信号

    噪音。因此，我们会建议先使用“定向天线”收发信号，然后再使用放大

    器放大信号。如果还是觉得放大的效果不够，或者如果你已打算好不惜

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者花上数百元来改进无线设备，那么下面就是要记住的基本思路。

    任何在市面上能见到的802.11放大器都是双向收发的，这意味着系

    统可以在需要发送的时候自动切换到发射模式，而在有数据到达时自动

    切换到接收模式。在802.11的Wi-Fi无线网络通信中，一个只有发送功能

    或只有接收功能的放大器是没有用处的。放大器的另一个重要特征是它

    的增益控制(gain control)，一般放大器具有固定增益型、可变增益型

    或自动控制增益型三种。可变增益型放大器因为增益效果可变，因而使

    用灵活；固定增益型放大器的成本更低；自动控制增益型放大器则有智

    能，可以将放大器的发射功率始终保持在一个设定的值上，也就是说，你不必担心输入端现在提供的是多大功率，因为放大器会“多增少降”，进而使之平衡在所需要的功率点上。如果你打算从上述三种型号中选择

    一种，那么建议使用一个自动控制型增益放大器。RFLinx 2400 SA是一

    个不错的自动控制型增益放大器，适合于那些从事802.11无线网络攻击

    的黑客们。

    1.3.6 蜂窝数据卡

    在通过“战争驾驶”模式采集无线信号的时候，蜂窝数据卡 [14]

    (cellular data card)是必不可少的。有了这些卡，你就可以在采集数据

    的同时，实时下载地图和Google Earth(谷歌地球)上的实时地理图

    像，还能从互联网上下载预先忘了下载的任何软件工具。令人惊讶的

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者是，这些卡大部分都在Linux操作系统上有较好的表现。从操作系统的

    角度来看，系统会把这些卡作为一个串行设备(serial device)，该设备

    与操作系统之间通过基本的AT指令集 [15]

    进行通信。你几乎可以将该设

    备看作是一个拨号连接时使用的调制解调器。

    如果你正在考虑购买一个蜂窝数据卡，那么在订购之前，你需要先

    核查一下所要购买的蜂窝数据卡是否支持你的无线网络系统所需要的那

    些特定模式。比如AT＆T公司的蜂窝数据卡不支持Linux操作，所以你

    也别指望该公司的技术支持来帮助你解决因他们公司蜂窝数据卡而引起

    的Linux的问题。通常情况下，大多数中国华为公司的蜂窝数据卡

    (Huawei card)可以很好地运行在Linux操作系统上。

    1.3.7 GPS

    许多基于802.11协议的扫描工具都可以使用“全球定位系

    统”(Global Positioning System，GPS)接收器。这意味着，扫描软件可

    以把从GPS接收器读到的经度和纬度与一个给定的AP接入点关联起来。

    对于GPS接收器，一个可喜的地方在于几乎所有可以连接到计算机的接

    收器都使用统一的通信协议，这个通信协议被称为“美国国家海洋电子

    协会”(National Marine Electronics Association，NMEA)标准协议，简

    称“NMEA协议”。只要你有一个可以使用NMEA协议的GPS设备，那么

    它可能就会在你的操作系统上很好地工作。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.鼠标式和手持式接收器的对比

    GPS接收器有两个系列：一种是鼠标式，另一种是手持式。鼠标式

    GPS接收器是一种后面拖出长长连线的GPS接收器，因为像鼠标，所以

    有了这样的名称。鼠标式GPS接收器本身不能单独使用，只能跟别的设

    备联合起来使用。比如与笔记本电脑或PDA一起使用。有些鼠标式GPS

    接收器是防雨的，这种设计无疑是可以将它贴附到汽车的车顶上。其他

    的设计也有在车内使用的。通常情况下，鼠标式的GPS接收器都使用

    USB接口，不过，也有使用其他连接方式(比如蓝牙通信)的。不推荐

    使用蓝牙通信的GPS接收器，因为蓝牙也工作在2.4GHz的范围内，当你

    进行“战争驾驶”操作的同时，蓝牙的无线信号会干扰天线的工作。

    如果你已经有了一个GPS接收器，先插到电脑上，看看你的操作系

    统是否能认出这个设备，只有认出设备才有继续的可能。在不同的操作

    系统上，完成这一识别动作的操作方式差别很大，下面分别说明。在

    Linux系统上，在计算机上插入该设备后，还应该通过dmesg命令检查一

    下输出信息，运气好的话，你会看到一个“devttyUSB0”列表项弹出，这就意味着Linux操作系统识别到这个设备了，否则的话，就说明该设

    备不支持Linux。在OS X操作系统上，用户几乎肯定需要安装一个“USB

    转串口”的转换器驱动程序，否则不能识别。在Windows操作系统上，即使用户拥有并安装好所有必需的驱动程序，可能还需要运行一款名为

    GPSGate的软件，然后应用程序才能从这款GPS接收器中实时接收GPS

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者信息。GPSGate之所以可以帮助应用软件和设备进行交互操作，是因为

    程序的作用是创建一个虚拟串口，然后将该GPS接收器所用的USB口或

    蓝牙口数据转到这个虚拟串口上，这样使用GPS数据的应用程序只需要

    同这个虚拟的串口进行通信就行了。

    如果你还没有GPS接收器，并且正在寻找合适的GPS接收器，以便

    满足你想购置一套精良“战争驾驶”行头的念头，那么推荐使用GlobalSat

    公司的BU-353。这款GPS接收器的“USB转串口”接口使用的是Prolific公

    司的p12303芯片组，具有可靠的跨平台的支持特性(注意：Windows 8

    除外)。这种鼠标式GPS接收器还支持“广域增强系统”(Wide Area

    Augmentation System，WAAS [16])，从而可以显著提高GPS坐标的准

    确度，大约35美元就可以买到。本书后面与GPS坐标有关内容基本上都

    是使用BU-353作为例子的。

    2.Linux上的GPS

    在Linux操作系统上，GPS接收器基本上就是一个串行设备。如果

    你有一个Garmin公司的USB接口GPS接收器，那么你就需要使用

    garmin_gps驱动程序。如果你的GPS接收器采用的是Prolific公司的

    pl2303芯片组的BU-353设备，那么在Linux操作系统上，该设备的驱动

    程序使用相同的名称。

    如果你的GPS接收器不能正常工作，那么你需要卸载并重新加

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者载“USB转串口”转换器的内核模块(kernel module)。这个操作可以通

    过下面的命令来完成。

    假设上面的编译操作完成，那么在“dev”目录中，应该会看到有某

    种“字符设备”(character device)了(例如“devttyUSB0”)，这意味

    着，驱动程序已安装成功，之后就可以从该设备上读取到GPS设备的信

    息。

    这个时候，即使你已顺利完成驱动程序的加载操作，并且设备也开

    始正常工作，但是其实你也只是保证了设备正常地接入到Linux操作系

    统中，要读取GPS信息，还需要有两步操作步骤。第一步是运行gpsd程

    序，该程序是一个GPS读取的守护进程，其作用是将GPS信息读取到内

    存中，而当有应用程序向它提出请求时，它又会把GPS信息给这个应用

    程序。这样做的优点很明显，那就是多个不同的应用程序都可以按各自

    的节奏随意向它请求当前的GPS信息。出于调试目的，你只需要运

    行“gpsd–D 2–n–NdevttyUSB0”命令即可。如果系统开始按“国家海洋电

    子协会”的NMEA协议的格式的GPS提示信息开始滚动(由于数据太

    多，所以只能滚动显示)，说明当前gpsd正处于良好状态。如果你仅仅

    是拿到GPS信息即可，那么gpsd的滚动信息就可以直接读到，但要结合

    具体的应用，就还需要运行执行上面提到两个操作步骤中的第二步，第

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者二步操作就是运行使用GPS信息的应用程序，由于gpsd的存在，这些程

    序都可以独立地，不受任何影响地，各自同时从gpsd处获得当前的GPS

    信息。一个方便的实用工具名叫“cgps”(即curses gps)。在Linux的命

    令行中，不需要带任何参数，只要运行cgps，该程序就会自动连接到上

    面提到的gpsd运行实例上，并开始显示当前的所有GPS信息。

    3.Windows上的GPS

    在Windows 7操作系统中，“设备管理器”(Device Manager)会自动

    检测硬件的变动，并加载正确的驱动程序，以及给该驱动程序分配合适

    的串口(COM port)。不幸的是，即使在Windows 7上运行很好的驱动

    程序，在过渡到Windows 8之后，驱动程序中也明文规定禁用BU-353芯

    片。这个时候，Windows 8的用户(也许叫“受害者”更合适)要想使用

    这个芯片，只能安装一个旧版本的驱动程序，以便作为一个替代方案。

    在Windows 8中，BU-353驱动程序的主文件有两个，其中ser2pl.sys用于

    32位Windows 8中，ser2pl64.sys用于64位的Windows 8中。替代方案详细

    的方法在网上可以找到。图1-12显示了一个在64位Windows 8.1操作系统

    中BU-353驱动的详细信息，注意其中ser2pl64.sys的版本是一个较早的版

    本号3.3.2.102。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者图1-12 64位Windows 8.1操作系统中BU-353驱动的详细信息

    4.Macs上的GPS

    默认情况下，对基于p12303芯片组的“USB转串口”转换器的驱动程

    序，OS X操作系统并没有提供过滤产品。但是在该芯片生产商Prolific

    公司(“旺玖科技”)的主页(http:www.prolific.com.tw )上可以很容

    易找到这样一条信息，那就是在安装p12303的驱动程序以后，插入BU-

    353设备，系统会创建一个新设备“dev：”。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者KisMAC知道如何与此设备进行通信。该程序是一款运行在OS X操

    作系统上流行的被动式扫描器名称。

    [1] API，应用程序接口，是一个或一组功能函数，所有用户的程序直接

    调用就可以使用，而不必再去亲自编写。在Windows中，有数千个这样

    的API。——译者注

    [2] 称其为“伟大的战争”并不夸张，“mac80211驱动框架”是一个无线驱

    动的框架，它提供了大量的API和规范，在这个框架下编写驱动程序能

    和其他驱动程序具有良好的共享性、兼容性(类似于Windows下的NDIS

    框架的作用)。一般来说，各家芯片厂商都会提供配套的驱动程序并提

    供更新支持。——译者注

    [3] 由于英文单词free本身同时有“自由”和“免费”两个意思，所以有人常

    认为自由软件是免费的无偿使用，这其实并不是自由软件的实际意思，这里free的实际意思是该软件大家都是可以获得并直接使用的，而不需

    要再获得授权。虽然绝大多数自由软件是免费的，但也不排除有些自由

    软件是收费的；与自由软件相对应的是闭源软件，而闭源软件中也不乏

    免费的软件。非自由软件经常要在软件显著位置显示“copyright”(版

    权)一词。有趣的是，英文单词right同时有“右边”和“权利”两个意思。

    于是自由软件的倡导者为了和非自由软件中的copyright相对应，故

    意“将错就错”，根据英文中left表示“左”的意思，设计出一个新的单词

    copyleft，以表示“放弃版权”。——译者注

    [4] Linux内核目前的开发模式是Linus Torvalds制作的新版本的发布，也

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者被称为“vanilla”或“mainline”的内核，这意味着它们包含了主要的、通用

    的开发分支。——译者注

    [5] 美国硅谷一家从事无线芯片组生产的公司，2011初被Qualcomm并

    购。——译者注

    [6] SoC即System on Chip的缩写，一般称为“片上系统”。如果某个系统

    的所有运算、控制、存储、输入输出都可以明确定义出来，并且改动

    小、用量大，那就可以将整个系统做到一个芯片中，形成芯片级系统。

    ——译者注

    [7] PCIe全称PCI-Express，是由Intel公司在2001年提出的最新的总线和

    接口标准。——译者注

    [8] FCC：Federal Communications Commission，即美国联邦通信委员

    会，进入美国市场的电子电器产品必须经过FCC的认证，该认证具有强

    制性，电子电器产品需拿到FCC认证证书才能顺利进入美国市场。FCC

    ID是指某一类通过FCC认证的产品的一个唯一标识号。——译者注

    [9] 对这一点的理解，可以简单地认为灵敏度就是“判断在多弱的信号

    下，我们对对方发出的无线信号仍然能够收到并进行识别”。随着距离

    增大，信号越弱，该值越小，那么当灵敏度差的(即除去负号后的数字

    小的)识别(且不说能不能收到)不到信号的时候，灵敏度好的仍然可

    以识别到。对于无线黑客，这意味着你能够在离目标更远的距离发起无

    线攻击。——译者注

    [10] 缆线连接器的作用是通过缆线将两个接口连接起来，起到物理接口

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者类型转换和延长线的作用，俗称“小辫子”。“正式的”名称众多且不统

    一，容易引起误会，而“小辫子”虽为口语，但普遍都理解，所以后文采

    用此术语。——译者注

    [11] 有些书喜欢用轮胎或游泳圈来形容，译者认为这两样东西对于“压

    扁”的程度过于夸张，另外这两样东西都是“空心”的，所以不太合适。

    ——译者注

    [12] PVC，全名为Polyvinylchlorid，主要成份为聚氯乙烯，PVC管本身

    没有单独使用的，主要用于对线缆的包装保护，因其良好的耐热性、韧

    性、延展性等优点而广受欢迎。——译者注

    [13] 这是一个由can(易拉罐)和antenna(这里应该理解为天线的接收

    模块)合成的新词，特指家里手工制造的，在天线的头端，由金属罐

    (如易拉罐)连接而成的定向波导天线，借以增加收发范围。这也是

    Wi-Fi爱好者最常做的事。——译者注

    [14] 根据书中的介绍，应该就是我国流行的无线上网卡。——译者注

    [15] AT即Attention，AT指令集是从数据终端设备(Data Terminal

    Equipment，DTE)向数据电路终端设备(Data Circuit Terminal

    Equipment，DCE)发送的一组指令的集合，早期主要用于对Modem的

    操作，可以进行呼叫、短信、电话本、数据业务、传真等方面的控制。

    ——译者注

    [16] WAAS(Wide Area Augmentation System)是由美国联邦航空局开

    发建立的用于空中导航的一个系统，该系统主要是通过解决广域差分

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者GPS的数据通信问题来提高全球定位系统的精度和可用性。——译者注

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者1.4 本章小结

    本章简要地介绍了与802.11无线网络安全相关的各项内容，并包括

    被动式扫描器和主动式扫描之间的区别。希望读者在看完本章后，对无

    线网络完成一次成功的攻击所需要的装备有一个完整的理解。总的来

    说，这需要一套802.11黑客工具包，包括天线、网卡、芯片组、信号放

    大器、GPS。同时，也应该对如下问题有一个宏观的了解。如哪些芯片

    组在Linux下可得到最好的支持，哪一款网卡适合对无线网络实施测试

    和攻击。下一章将详细介绍一些特定软件的各项详细内容，主要包括这

    些软件是如何对802.11网络进行扫描的，以及如何以可视化的效果显示

    给用户。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者第2章 发现和扫描802.11网络

    如前一章所述，当前有两类无线网络中的扫描工具：被动型扫描器

    和主动型扫描器，本章涵盖了这两种类型的扫描器。如果你已清楚你最

    适合使用什么操作系统，那就可以直接跳转到该操作系统所对应的那一

    节；如果你连所使用的扫描工具名称也清楚，还可以直接跳转到该工具

    所对应的小节中。如果你对其他操作系统平台好奇，或试图通过操作系

    统工具间的两两对比，比较出哪个更好，请继续依次阅读所有内容。

    本书来自：爱分享 http:www.ishare1.cn

    仅供技术学习和交流，请购买正版支持本书作者2.1 选择操作系统

    在上一章，我们讨论了依靠基本硬件的功能差异，会导致各种攻击

    技术的多样化差异。这些硬件都是靠设备驱动程序与操作系统进行通

    信，所以设备驱动程序都与特定的操作系统紧密相关。此外，不同的无

    线黑客软件也只运行在特定的操作系统平台上。所有这些因素组合在一

    起，使得选择一个合适操作系统变得非常重要。

    2.1.1 Windows操作系统

    Windows操作系统可能的优点是已被优先安装在您的笔记本电脑

    上。但是奇怪的是，在较新版本的这些Windows操作系统中，只有为数

    不多的几种方法可以将无线网卡设置为“监测模式”(monitor mode)。

    由Microsoft提供的一款最简单的程 ......