SSID(Service Set Identifier)也可以寫為ESSID�����,用來區分不同的網絡���,最多可以有32個字符�����,無線網卡設置了不同的SSID就可以進入不同網絡�����,SSID通常由AP廣播出來�,通過XP自帶的掃描功能可以相看當前區域內的SSID���。出于安全考慮可以不廣播SSID����,此時用戶就要手工設置SSID才能進入相應的網絡����。簡單說��,SSID就是一個局域網的名稱��,只有設置為名稱相同SSID的值的電腦才能互相通信���。一個AP可以設置多個SSID�,對應不同的業務需求����。
目前絕大多數的公司及家用無線網絡都設置為使用開放式WEP加密的環境���,即允許他人都可以搜索到該接入點公開的SSID標識��,這是由無線路由器進行SSID廣播實現的�。但針對WEP加密而言���,因為其非常容易被破解的特點��,所以目前已經被公認為是非常威脅甚至毫無意義的加密�����,已遠不能夠滿足較高一點的安全環境�。那么一些稍有安全意識的人都會想:既然如此�����,我還是關閉SSID廣播好了�����,或者把AP的SSID名稱取得奇怪一點��,不容易猜到����,是不是就沒人能破解我的無線網絡��,也就進不到內網來了?1所示����,在TP-LINK無線接入點設置頁面中將“允許SSID廣播”前的對鉤去除即可關閉SSID廣播���。
圖1 在TP-LINK無線路由器中關閉SSID廣播
對于Linksys品牌無線路由器或者其它一些無線廠商而言��,則可以在無線設置主配置頁上將對應的“Wireless SSID Broadcast”設置為Disable即可�。2所示��。
圖2 在Linksys無線路由器中關閉SSID廣播
在成功修改了無線路由器上的關閉SSID設置后�����,也將需要對所有的合法無線客戶端進行預設置��。這樣���,若不屬于合法客戶端��,將無法連接此關閉SSID廣播的無線路由器����。當然����,這也是國內大多數無線安全改進文章中所認為的�����。
作為無線黑客們多采用被動探測方式的無線探測工具Kismet��,作為被動探測不僅隱蔽性好�,而且更加可靠����。因為如果選用主動探測��,可以配置AP使它不回復將SSID設置為“任何”的探測請求幀����。然而�,如果選用被動探測工具來檢測AP的SSID�����,也可能由于AP被配置為不在廣播信標幀中傳輸其SSID而延遲�。無線網絡的發現之所以是被延遲而不是完全阻止��,是因為稍后當合法用戶試圖和AP進行連接時�����,SSID將會以明文的方式傳輸����。
過去�����,無線黑客們發現這種等待很令人厭煩��,于是設計出了被稱之為Essid-Jack的工具來解決等待問題��。這款在2005年拉斯維加斯BlackHat全球黑帽子大會上公開的工具在當時轟動一時�����,不過有些遺憾的是該工具只支持802.11b����,此外被主要用于無線釣魚攻擊���。
那么對于當前流行的802.11b/g�,惡意的攻擊者們也想到很多辦法來對付SSID廣播關閉�����。最常用的方法有三種���,分別是抓包分析法���、暴力破解法及Deauth攻擊法�。我們先來看看抓包分析法�。
方法一:抓包分析法
顧名思義�����,抓包分析法指的就是可以通過抓取一定數量的無線網絡數據包�,進行簡單分析就可以得到對方的SSID���。比如工作在Windows下的OmniPeek或者科來網絡分析工具�,在抓取一部分無線數據包后�,即可分析出SSID(見圖3)����。當然���,使用Ethereal或者Wireshark也可以達到同樣的效果�����。
圖4 使用tcpdump分析無線數據
攻擊者也可以通過tcpdump實現�����。在Linux Shell下進行抓包��,耐心等待片刻���,即可看到SSID出現(見圖4)����。類似地�����,Kismet的效果也非常不錯���。
圖4 使用tcpdump分析無線數據 方法二:暴力破解法
除了被動地監聽和等待�,攻擊者也可以通過在線暴力破解的方式來猜測ESSID���,該攻擊模式支持字典攻擊和純暴力破解兩種方式���。
5所示��,首先在相關工具(此工具為MDK3的GUI版本���,Java編譯)上設置為“Brute Force Mode”(暴力破解模式)����,可以在下拉菜單里選擇目標SSID可能采用的組合方式���,這里我們選擇為“LCase & UCase”�,這個詞組實際上是Lowercase和Upcase的縮寫�,即小寫字母和大寫字母�。這個地方根據需要進行設置��。
然后��,在下方VICTIM SPECS處設定預攻擊的無線接入點MAC地址及工作頻道��,這些信息可以通過簡單的預掃描獲得�,如使用airodump-ng進行探測�。
圖5 設置為“Brute Force Mode”(暴力破解模式)
接下來���,就可以進行在線攻擊了�����,6所示�����,可以看到嘗試破解SSID的速度為124個包/秒����,在左下角Packets sent后面還可以看到總共發送的數據包數量統計�。
圖6 正在暴力破解SSID中
當經過短短14秒后�,可以看到目標無線接入點的SSID已經被破解開��,7所示���。
圖7成功破解出SSID為“True
當然��,若對方采用了有規律的單詞�����、詞組或生日等作為SSID的話�,也可以考慮使用字典破解的方法來進行破解���,8所示���,勾選“Use Dictionary Mode”����,然后在下面欄里指定預先編輯好的專用字典即可�����。關于字典的制作我會在以后的文章說明�����。
圖8設置為字典破解模式
9所示為字典破解過程�,可以看到和純暴力破解模式界面幾乎是一樣的�����,但破解效率要略低于暴力破解���。
圖9 正在進行字典破解SSID中
放大圖10��,可以看到進行字典破解時在成功載入字典時的提示為: 方法三:Deauth攻擊法
在無線D.O.S攻擊中�����,Deauth攻擊是其中主要的方式之一�����。簡單來說�����,通過發送Deauth攻擊數據包��,可以迫使無線接入點與合法客戶端之間斷開�����。對于已關閉SSID廣播的AP�,由于原本連接的合法無線客戶端會嘗試與AP再次建立連接�����,此時無線探測即可截獲重新連接時無線數據包中的SSID標識����,換句話說�����,也就使得禁用廣播的SSID重現原型��。具體步驟如下:
步驟1:打開airodump-ng進行無線探測�����,可以看到����,對于關閉SSID的AP只能顯示出其SSID的長度���,11中ESSID處顯示為���。
圖11掃描到關閉SSID的無線接入點
步驟2:通過發送Deauth數據包����,迫使AP與已連接無線客戶端斷開連接�,12所示�����。
圖12 發送Deauth攻擊包
步驟3:此時�,回到airodump-ng界面上��,即可看到原本無法顯示的SSID的位置已經顯示為7位的“TP-LINK”�����。同時����,提示為SKA算法���。接下來��,即可進行破解WEP或者破解WPA的內容����。
圖13 獲得隱藏的SSID
所以�,關閉SSID廣播確實是一個能夠提升無線接入點安全的措施���,但是并沒有很多人想象的那么有效�����,攻擊者至少還是可以通過上面介紹的三種方式來輕松地獲取設置為關閉廣播的SSID�����。上述方法對于WPA���、WPA2破解時同樣有效����。
