欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WPA2漏洞破绽bug原理研究与防范(WIPS产品对抗KRACK漏洞)

来源:本站整理 作者:佚名 时间:2017-10-18 TAG: 我要投稿

1.媒介
最近几天,有网安研究员表露 WPA2 协定层中存在逻辑缺点,险些一切支撑Wi-Fi的装备都面对威逼,其传输的数据存在被嗅探、窜改的风险。入侵攻击者可获得WiFi网络中的数据信息,如信用卡、邮件、账号、照片等,迫害宏大。对付用户而言,应当存眷装备厂商网安通知布告,实时更新修补漏洞破绽bug。而对付企业而言,除催促员工尽快更新装备外,还可以或许利用WIPS产物来赞助抵抗KRACK入侵攻击等无线网安入侵攻击威逼,掩护企业内部的WiFI装备网安。
本文将以KRACK入侵攻击为例,先容WIPS产物为什么能疾速支撑KRACK入侵攻击检测并停止进攻。
2.甚么是WIPS
WIPS(无线入侵进攻体系)是针对企业无线利用环境的网安威逼发明与防护体系,经由进程将无线通讯技术、无线攻防、数据阐发与发掘等技术相结合,确保企业的无线网络界限网安、可控。
较为闻名的WAIDPS,便是一款由Python编写的无线入侵检测对象,基于Linux平台,完整开源。它可以或许探测包含WEP/WPA/WPS在内的无线入侵&入侵攻击办法,并可以或许网络周边WiFi相干的一切信息。

2.1WIPS(无线入侵进攻体系)基本架构
WIPS平日采纳采纳B/S或许C/S架构,收发引擎分布式安排在企业办公环境中,将网络到的热门信息传给中控办事器。治理员经由进程经由进程治理平台检查企业内部热门信息,对捕获到的入侵攻击行动停止告警,并对歹意、违规的热门停止阻断。

2.2.基本功效
利用WIPS产物可以或许检查并治理企业内可托热门、未知热门;辨认并告警可疑入侵攻击行动;疾速相应WiFi入侵攻击及威逼变乱。可以或许有用避免歹意热门、未知及内部热门、捏造热门、未受权挪动终端等能够带来的网安隐患,从而掩护企业的无线网络网安。

分布式安排在企业办公环境中的收发引擎将会收受接管全部地区内一切802.11原始数据并停止阐发辨认,如:
热门、客户端辨认
收受接管热门、客户端BSSID、ESSID、PWR、OUI & Loc等信息。
断定并标志歹意热门、未受权热门、差错设置装备摆设热门(弱暗码、有漏洞破绽bug的加密协定)。
发明客户端未受权衔接。
..
入侵攻击行动辨认
检测MDK3去认证入侵攻击
检测捏造正当热门入侵攻击
检测捏造MAC地点入侵攻击
检测Aircrack-NG无线破解入侵攻击
..
2.3.无线入侵攻击辨认规矩
因为后文对KRACK入侵攻击的检测办法触及检测捏造热门,此处便以此为例停止阐明。
捏造热门入侵攻击(Evil-Twin)是浩繁无线入侵攻击办法中,本钱较低、后果较好的一种,是以实时地发明并阻断垂纶热门是异常必要的。罕见的捏造热门入侵攻击检测办法有:热门惯例信息检测、登录凭据验证检测、时钟误差检测等办法。
惯例信息检测
利用目的AP的Beacon、Interval、SSID、Channel及其余无线信息停止比拟得出断定。
凭据验证检测
利用AP挂号保留的凭据信息向目的装备提议衔接,若胜利再用差错暗码测验考试衔接,若提醒差错则证明是正当热门。
时钟误差检测等办法
经由进程盘算两个相邻信标帧之间的timestamp距离差别,即时钟误差,与事后设定的阈值停止比拟来检测伪AP。假如AP的时钟误差值与特性库中贮存的误差值不一样,则可认定这个AP为一个无线垂纶AP。

如上图便是一个Python利用Scapy模块以实现经由进程时钟误差检测辨认垂纶热门的示例
3.KRACK入侵攻击道理阐发
本次的WPA2“密钥重装入侵攻击”,基本道理为:利用WPA协定层中的逻辑缺点,屡次重传握手进程中的新闻3从而招致重放随机数和重播计数器,为入侵攻击者供给了利用前提。
在协定尺度中还存在一条风险的正文“一旦装置后,就可从内存中消除加密密钥”,若按此正文停止实现,在密钥重装入侵攻击时会从内存中取回曾经被0笼罩的key值,从而招致客户端装置了值全为零的秘钥。而利用了含漏洞破绽bugwpa_supplicant版本的Linux及Android装备便是以遭遇重大威逼。
3.1.KRACK入侵攻击利用办法(入侵攻击视频阐发)
1、起首测试装备衔接实在的testnetwork网络:

2.开启WireShark监听并在稍后被设为垂纶热门的网卡:

3、 入侵攻击演示:
实在热门Real AP:
SSID:testnetwork
Mac:bc:ae:c5:88:8c:20
Channel:6
被入侵攻击客户端Target:
SSID: 90:18:7c:6e:6b:20
捏造同名同MAC热门(Rouge AP):
SSID: testnetwork
Mac:bc:ae:c5:88:8c:20
Channel:1(信道分歧)

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载