黑客大曝光：无线网络安全

　　资深无线网络安全专家撰写，既包含当前常用网络的各种技术，也包含新型的无线技术的入侵，是利用和防御较新无线网络攻击的指南
　　以当前主流的Windows、OSX和Linux操作系统作为主要的描述对象，涵盖民用、工业和物联网及智能家居领域的无线通信，以实践为主，详化攻击过程和操作步骤，深入剖析各种技术

　　本书系统介绍如何通过详尽的信息安全知识，保护无线系统免受瘫痪式的攻击，全面更新和囊括了当今已广泛使用和新兴的无线技术，揭示攻击者如何利用既有的或者定制的黑客工具来锁定、渗透并攻击系统，帮助读者更好地维护无线网络安全。全书共分为三部分，一部分专门讨论针对Wi-Fi的破解技术，第二部分主要介绍蓝牙网络的破解，第三部分介绍的是除了Wi-Fi协议和蓝牙协议之外，其他无所不在的网络无线技术及其所支持的网络。
　　本书主要内容：
　　装备一套针对无线网络攻击的利器工具包，熟练掌握黑客的武器。
　　有效地扫描Wi-Fi网络，列举和评估该网络上的所有客户端设备。
　　使用先进的无线攻击工具，包括：集众长于一身的Wifite工具、“框架类”的程序Scapy工具、WPA-PSK认证进行暴力破解Pyrit工具、开源的漏洞检测Metasploit工具、专攻ZigBee网络的KillerBee工具，以及黑客必备的Aircrack-ng工具套件。
　　通过“ARP欺骗”和数据包转发的Ettercap工具和“Wi-Fi小菠萝”破解并发起基于客户端的攻击。
　　使用GSM信号探测器Airprobe工具、GSM数据包捕获和解密工具Kraken、GSM加密数据破解工具Pytacle和实施“中间人”攻击的YateBTS工具入侵手机网络。
　　在目前广泛使用的基于WPA和WPA2认证加密的个人或企业安全方案的网络中，寻找和突破漏洞。
　　使用“骗子”AP接入点，通过虚假的软件升级传送远程访问控制软件。
　　在“传统蓝牙模式”和“低功耗蓝牙模式”的网络中，侦测传送的数据包。
　　通过“软件无线收发”工具捕获和评估专有的无线技术。
　　在使用ZigBee和Z-Wave网络技术连接的智能家居和工业办公室网络中，探索网络中存在的漏洞。
　　使用一台已被攻陷的Windows操作系统主机，使用内置的工具，对一个远程无线网络实施攻击。

　　Joshua Wright，Counter Hack公司（美国新泽西州的一家反黑客公司）高级技术分析师，SANS研究所的高级讲师和作家。他拥有丰富的渗透测试经验，为数以千计的组织提供移动设备、无线系统攻防指导，并向知名组织披露重要产品和安全协议漏洞。作为一名开源软件倡导者，Joshua在软硬件安全评估通用工具方面进行比较前沿的研究，这些工具应用于Wi-Fi网络、蓝牙网络、ZigBee网络、Z-Wave无线系统、智能网格部署、Android和Apple公司iOS的移动设备平台。

　　Johnny Cache，于2006年获得“美国海军研究生院”（Naval Postgraduate School）计算机科学专业硕士学位。他的论文主攻802.11指纹设备驱动程序，因其在计算机科学领域*具创新性而赢得了“Gary Kildall” 奖。Johnny于1988年某一时间，在Tandy 128K彩色计算机编写了他的一个程序，从那时起，他曾在几个安全组织会议上发言，包括黑帽子组织 （BlackHat）、蓝帽子组织 （BlueHat），以及Toorcon组织 。他还发表了一系列与802.11安全有关的论文，同时也是许多无线工具软件的作者。他还是Cache Heavy Industries的发起人和首席科学官。

译者序
关于作者
序言
前言
致谢
第一部分　破解802.11无线技术
案例学习：用十二伏电压的英雄 2
第1章　802.11协议攻击概述 4
1.1　802.11标准简介 4
1.1.1　基础知识 5
1.1.2　802.11通信包的地址 5
1.1.3　802.11安全启蒙 6
1.2　“服务发现”的基本知识 11
1.3　硬件与驱动程序 18
1.3.1　Linux内核简介 19
1.3.2　芯片组和Linux驱动程序 20
1.3.3　现代的芯片组和驱动程序 21
1.3.4　网卡 24
1.3.5　天线 29
1.3.6　蜂窝数据卡 32
1.3.7　GPS 33
1.4　本章小结 35
第2章　发现和扫描802.11网络 36
2.1　选择操作系统 36
2.1.1　Windows操作系统 36
2.1.2　OS　X操作系统 36
2.1.3　Linux操作系统 37
2.2　Windows服务发现工具 38
2.2.1　Vistumbler工具 38
2.3　Windows嗅探工具/注入工具 41
2.3.1　NDIS 6.0对“监测模式”的支持（NetMon/MessageAnalyzer） 41
2.3.2　AirPcap工具 43
2.3.3　Wi-Fi版CommView 44
2.4　OS X服务发现工具 48
2.4.1　KisMAC工具 48
2.5　Linux服务发现工具 51
2.5.1　airodump-ng工具 52
2.5.2　Kismet工具 56
2.6　高级可视化技术 60
2.6.1　可视化PPI标签Kismet数据 61
2.6.2　基于PPI的三角架机器人 63
2.7　本章小结 64
第3章　攻击802.11无线网络 66
3.1　攻击的基本类型 66
3.2　悄无声息地安全通过 67
3.3　击败的WEP认证 74
3.3.1　WEP密钥还原攻击 75
3.4　集众长于一身的Wifite 87
3.4.1　在“Wi-Fi小菠萝”上安装Wifite 87
3.5　本章小结 91
第4章　攻击WPA保护下的802.11网络 93
4.1　破解企业模式下的WPA认证 115
4.1.1　获取扩展认证协议的握手 116
4.1.2　EAP-MD5认证方式 117
4.1.3　EAP-GTC认证方式 119
4.1.4　LEAP认证方式 121
4.1.5　EAP-FAST认证方式 122
4.1.6　EAP-TLS认证方式 124
4.1.7　PEAP和EAP-TTLS认证方式 126
4.1.8　运行恶意RADIUS服务器 129
4.2　本章小结 134
第5章　攻击802.11的无线客户端 135
5.1　browser_autopwn：穷人的漏洞使用服务器 136
5.1.1　使用browser_autopwn程序 137
5.2　使用I-love-my-neighbors网络 139
5.2.1　创建AP接入点 140
5.2.2　分配IP地址 141
5.2.3　搭建路由 141
5.2.4　重定向HTTP的数据流向 142
5.2.5　用Squid软件提供HTTP内容服务 143
5.3　攻击连到AP接入点上的客户端 144
5.3.1　连接上网 145
5.4　ARP欺骗 150
5.4.1　使用Etterfilter程序编译过滤器 154
5.5　直接的客户端注入技术 163
5.6　本章小结 166
第6章　在Windows 8上架桥过隙 167
6.1　攻击的准备 169
6.1.1　利用“热点”环境进行攻击 173
6.1.2　控制客户端 174
6.2　本地的无线侦察 176
6.3　远程无线侦察 183
6.3.1　Windows的监测模式 185
6.3.2　Microsoft公司的NetMon程序 185
6.3.3　建立远程桌面访问 186
6.3.4　安装NetMon程序 188
6.3.5　监视模式捕获数据包 189
6.4　对无线目标网络攻击 193
6.5　本章小结 199
第二部分　蓝牙网络的安全
案例学习：入侵看不到的东西 202
第7章　传统蓝牙模式下的扫描和侦测 204
7.1　“传统蓝牙”技术概述 204
7.1.1　“设备发现”技术 205
7.1.2　协议概述 206
7.1.3　蓝牙支持协议规范 208
7.1.4　加密和认证 208
7.2　准备一次攻击 210
7.2.1　选择传统蓝牙攻击设备 210
7.3　侦查 211
7.3.1　主动式设备扫描 212
7.3.2　被动式设备扫描 221
7.3.3　组合式扫描 222
7.3.4　被动通信数据包分析 225
7.4　服务的枚举 233
7.5　本章小结 239
第8章　低功耗蓝牙模式下的扫描和侦测 241
8.1　“低功耗蓝牙”技术概述 242
8.1.1　物理层的行为 243
8.1.2　操作模式和连接的建立 243
8.1.3　数据帧的配置 244
8.1.4　蓝牙支持协议规范 246
8.1.5　“低功耗蓝牙”的安全控制 247
8.2　扫描和侦听 248
8.3　本章小结 256
第9章　蓝牙侦听 257
9.1　传统蓝牙的侦听 257
9.1.1　传统蓝牙的开源侦听技术 258
9.1.2　传统蓝牙的商业侦听技术 263
9.2　低功耗蓝牙的侦听技术 271
9.2.1　捕获低功耗蓝牙的“连接建立”过程 274
9.2.2　低功耗蓝牙的混杂模式跟踪 281
9.3　通过“侦听攻击”技术攻击蓝牙网络 283
9.4　本章小结 290
第10章　攻击和使用蓝牙 292
10.1　蓝牙网络中的“个人身份码”攻击 292
10.1.1　传统蓝牙中的个人身份码攻击 294
10.1.2　低功耗蓝牙中的个人身份码攻击 299
10.1.3　实用的个人信息码配对破解 302
10.2　伪造设备的身份 305
10.2.1　蓝牙服务类别和设备类别 305
10.3　蓝牙规范的滥用 309
10.3.1　测试连接访问 309
10.3.2　未授权访问个人局域网 311
10.3.3　对文件传输的攻击 316
10.4　攻击Apple公司iBeacon通信模块 320
10.4.1　iBeacon部署实例 321
10.5　本章小结 329
第三部分　入侵其他无线技术
案例学习：永不言败 332
第11章　软件无线收发设备 334
11.1　“软件无线收发”设备的体系结构 335
11.2　选择合适的“软件无线收发”设备 337
11.2.1　RTL-SDR：入门级的软件无线收发设备 338
11.2.2　HackRF：多功能的软件无线收发设备 339
11.3　开始使用软件无线收发设备 340
11.3.1　在Windows操作系统上的下载与安装SDR#程序 340
11.3.2　在Linux操作系统上的下载与安装gqrx程序 341
11.3.3　使用SDR#和gqrx程序扫描无线频谱 344
11.4　数字信号处理的速成课程 352
11.4.1　最基础的通信 352
11.4.2　最基础的无线通信 353
11.4.3　在“时域”和“频域”上的POCSAG信号 353
11.4.4　声音中的信息 355
11.4.5　挑选攻击目标 356
11.4.6　查找和捕获射频发送信号 357
11.4.7　通过盲测发起“重播”攻击 359
11.4.8　那么，还有什么遗漏吗 368
11.5　本章小结 369
第12章　破解蜂窝网络 370
12.1　蜂窝网络通信的基础知识 370
12.1.1　蜂窝网络的射频频率 371
12.1.2　无线蜂窝网络通信标准 371
12.2　2G无线蜂窝网络的安全 373
12.2.1　全球移动通信网络的模式 374
12.2.2　全球移动通信的认证 375
12.2.3　全球移动通信中的加密 376
12.2.4　针对全球移动通信的攻击 377
12.2.5　全球移动通信中的侦听 377
12.2.6　全球移动通信中A5/1密码算法的密钥还原 386
12.2.7　全球移动通信中的国际移动用户标识符的捕获器 395
12.3　攻击3G“家庭基站”网络 400
12.4　4G长期演进技术网络的安全 410
12.4.1　长期演进技术无线通信网络的模型 411
12.4.2　长期演进技术无线通信网络的认证 412
12.4.3　长期演进技术无线通信网络的加密机制 415
12.4.4　长期演进技术无线通信网络的空算法 415
12.4.5　长期演进技术无线通信网络的加密算法 416
12.4.6　长期演进技术无线通信网络的平台安全 416
12.5　本章小结 418
第13章　破解ZigBee网络 420
13.1　ZigBee简介 421
13.1.1　ZigBee在无线标准中的地位 421
13.1.2　ZigBee的部署 422
13.1.3　ZigBee的历史和发展过程 423
13.1.4　ZigBee协议层次结构 424
13.1.5　ZigBee规范 428
13.2　ZigBee安全 429
13.2.1　ZigBee的安全设计规则 430
13.2.2　ZigBee的加密 430
13.2.3　ZigBee的可靠性 431
13.2.4　ZigBee的认证 432
13.3　ZigBee攻击 433
13.3.1　KillerBee的介绍 433
13.3.2　网络发现 441
13.3.3　侦听攻击 443
13.3.4　重播攻击 451
13.3.5　针对加密的攻击 454
13.3.6　伪造数据包攻击 456
13.4　攻击演练 468
13.4.1　网络发现和定位 468
13.4.2　分析ZigBee硬件 470
13.4.3　设备RAM数据分析 473
13.5　本章小结 475
第14章　破解Z-Wave智能家居网络 476
14.1　Z-Wave技术简介 476
14.1.1　Z-Wave协议的层次 477
14.1.2　Z-Wave协议的安全 485
14.2　攻击Z-Wave网络 489
14.2.1　对Z-Wave网络的侦听攻击 490
14.2.2　对Z-Wave网络的注入攻击 505
14.3　本章小结 511

　　也就是一年以前，麦格劳-希尔教育出版公司的编辑找到我，谈及本书第3版的撰写事宜。当时，我们并不确定这是一件好事，因为当时每天的工作、会议计划，以及正在做的项目，使我们没有几乎没有时间投入到如此巨大的项目中。
　　现在回过头来看，我们很欣慰于当时做出了写作第3版的决定。首先，这是必须的！因为自从几年前本书第2版出版以后，黑客无线攻防技术变化非常之大。其次，我们可以将第2版出版以后研究的新协议、开发的新工具，通过本版与读者进行分享。再次，写这本书意味着这是一个保持信息共享的良好机会，因为无线是计算机网络安全的“瑞士奶酪（Swisscheese）重叠孔”。
　　关于本书在开始写作之前，我们讨论了在本书第3版中要写什么。我们要写的应该是务实的、有用的、注重实践的内容，注意实践意味着读者可以通过该方法进行渗透式攻击的测试与安全评估。因此，每章开始的第一节都描述某个被黑客攻破的技术案例，并不是用大量并不重要的背景知识打乱你的头绪，而是介绍一些底层协议以方便理解其原理。随后，在必要的背景介绍之后，每章都会介绍一些可行的攻击技术，这些技术足以用于攻击你的目标。
　　我们也清楚需要请专家在相应章节中为我们答疑解惑。在第11章和第12章中，我们幸运地请到了TimKuester和ChrisCrowley。无论是广度，还是深度，这两人在各自领域内都造诣颇深。当然，我们并没有让二位在两章中直接代笔，而是让他们作为技术审校人员提供技术支持。TimMedin作为本书大部分章节的技术评审，MikeRyan在最具挑战的、与蓝牙技术相关的第7～10章中提供了宝贵的见解，Jean-LouisBourdon则在第14章中提供了专家的视角，在Z-Wave领域，目前还没有几个人敢自称为安全专家。
　　对于本书第2版，我们也尽所能地找到读者的评论，花了大量时间来阅读（包括每一条正面和负面的评论）。对于正面的评论，我们会确保在写这些章节的时候继续保持。对于负面的评论，如果是非常有价值的，我们会悉心接受。例如有一些读者抱怨缺少在Windows操作系统上运行的黑客工具，再如在一个非常重要的话题，即针对“全球移动通信系统”（GlobalSystemforMobileCommunication，GSM）网络的入侵中，缺少必要的内容涵盖。我们希望在这次大规模更新版本中会对这些批评所涉及的不足进行修正。
　　对黑客来说，本书意味着：无论你是想点到为止，看看就行；还是牛刀小试，尝试“入侵”；或者是以全新的方式探索网络安全，以便达到以前已成文的技术所未曾到达的深度。动机你自己来选，只是我们可以很容易地看到，无论是在你的下一个无线入侵测试的过程中，还是你在重新审视以前对无线技术的使用方式上，又或者是在选择保护下一代嵌入式无线系统的资源上，本书就是你的绝佳参考。
　　本书涵盖了对无线安全进行攻击的很多内容，其意义在于通过了解黑客技术入侵到无线系统的技术，进而提高无线系统的安全。尽管Wi-Fi已成为无处不在的互联网接入技术，但许多其他无线协议也在使用，而本书所涵盖的协议是从安全角度出发，我们认为在日常使用中最重要的无线通信协议。包括从Wi-Fi协议到先进的“软件无线收发”协议，后者是目前无线通信协议中前所未有的。也包括“传统蓝牙”通信协议到“低能耗蓝牙”（BluetoothLowEnergy，BLE）通信协议。还包括苹果发布的iBeacon协议。对于“关键任务业务”和“家庭控制系统”，也包括ZigBee协议和Z-Wave协议。我们每天都在使用这些协议，所以了解它们的安全缺陷，保护它们免受攻击至关重要。
　　快速索引在本书中我们使用“黑客大曝光”特有的格式进行编写，该格式已注册。
　　攻击图标这个图标表示特定的渗透测试技术和工具。图标后面是技巧或者攻击技术的名称。在本书中你会看到传统的“黑客大曝光”危险分级表。
　　流行性我们预计这种攻击方式在现实中会发生的频率。表示的方法很简单：1表示最罕见，10表示普遍难易度实施攻击所需要的技术等级：10表示使用广泛流传的傻瓜式工具或者同等水平的技术，1表示需要自己编写新的入侵程序，5表示需要攻击者对目标系统或者协议有一定的了解，来使用比较难掌握的命令行工具影响力攻击实施后会产生的潜在危害，同样从1到10。1表示泄露设备或者网络上一些无足轻重的信息，10表示获取权限或者能够重定向、嗅探、修改网络流量危险级即上面三项值的平均值应对措施图标大部分的攻击都有对应的应对措施图标。应对措施表示我们可以采取的一些措施，使用它们可以缓解对应攻击所带来的威胁。
　　我们同样使用特殊标记（即注意、提示、警告）来强调我们认为必要的特定细节和建议。
　　配套网站。为了方便读者，作者为本书开发了一个相应的网站。在网站上，读者可以找到本书中描述的许多资源，包括源代码、脚本、高分辨率的图片、资源的链接等。
　　网站上同样包括了802。11网络和蓝牙网络的补充介绍资料，还有一整套有关“射频低电平”（low-levelradiofrequency）的完整材料，它影响着所有的无线通信系统。
　　在本书出版之后，我们确定了一张勘误表，在配套网站上读者也可以找到这些更正，所以请经常访问配套网站确保与无线入侵领域的发展保持同步。
　　本书使用指南阅读这本书，有几种不同的方法。第一种方法，随便翻到哪一页，找到“攻击图标”，就可以学到一种特定的技术，通过该技术可以查到一种具体的无线安全技术。第二种方法，随便翻到某一章的开始，可以学到一个具体的无线通信协议的重要操作特征。第三种方法，从头到尾，一章一章地读完。此外，我们希望这本书能作为一本有价值的参考书，能多年后仍然保存在你的书架上（或保存在你的数字阅读器里）。
　　本书共分成三个部分。第一部分专门讨论针对Wi-Fi的破解，本部分开始介绍如何入侵IEEE802。11网络（第1章），随后详细介绍了扫描和发现802。11网络（第2章）。第3章主要介绍针对Wi-Fi网络的通用攻击。第4章则将这种攻击目标扩展到了流行的“Wi-Fi保护访问”WPA/WPA2（“Wi-Fi保护访问”版本1或版本2）保护的Wi-Fi环境中。第5章在深度上介绍了如何入侵无线用户的客户端。第6章则主要介绍通过“架桥过隙”技术，借助于一个中间被攻陷的主机去攻击一个远端无线网络。
　　第二部分主要介绍蓝牙网络的破解，既包括传统蓝牙支持，又包括低功耗模式的蓝牙技术。第7章主要介绍在蓝牙传统模式下，扫描和侦测时所用的工具和技术。随后的第8章则是蓝牙在低功耗模式下的扫描和侦测。第9章是蓝牙侦听和嗅探过程中所用的攻击技术，囊括了前面的传统模式和低功耗模式。第10章则是组合所有的技术，攻击传统模式和低功耗模式的蓝牙网络，以及使用这些技术所涉及的协议。
　　第三部分主要介绍的是除了Wi-Fi协议和蓝牙协议之外，其他无所不在的网络无线技术及其所支持的网络。第11章介绍了通过软件无线收发技术入侵的精彩内容，该技术令黑客“如虎添翼”，使其可以方便地访问以往无法访问的无线网络。第12章着眼于“蜂窝网络”的破解，包括二代（即2G）、三代（即3G）、四代（即4G）网络及LTE安全。第13章探讨改进ZigBee的黑客技术，主要介绍工业控制系统和其他重要无线部署。最后的第14章关注之前从未出版过的Z-Wave智能家居网络破解的相关知识。
　　本书可以作为参考手册备用，帮你在下一个渗透测试中，进行脆弱性评估时，或在审计时，或在政策审查时，或道德入侵约定中使用。保有本书，可以在洞察复杂的无线协议时，将其作为参考。最后，在你发现某无线安全漏洞的时候，及时向全世界同行进行分享，因为只有公开披露，世界才会实现显著的变化。
　　JoshuaWright