回滚攻击RollbackAttack-电算中心网路组课件.ppt

1、11/3/20061無線網路安全技術之分析與偵測分析系統之設計與實現報告人:戴志坤高雄師範大學資訊教育所研究生Email: 指導教授:楊中皇 博士高雄師範大學資訊教育所所長Email:chyangcomputer.org 11/3/20062Outline Introduction The analysis and solution of WLAN security technology WEP(Wireless Equivalent Protocol)TKIP(Temporal Key Integrity Protocol)CCMP(Counter-mode/CBC-MAC)802.1x 8

2、02.11i WEP&WPA-PSK cracking Design and implementation Conlusion11/3/20063Introduction(1/2)無線區域網路無線區域網路WLAN（Wireless LAN）的安全技術主）的安全技術主要根據要根據IEEE工作小組工作小組TGi（Task Group i）所制定的）所制定的所使用的安全技術所使用的安全技術WEP（Wireless Equivalent Protocol）為主為主 WEP缺乏金鑰交換及認證的技術，已被證實有高度的缺乏金鑰交換及認證的技術，已被證實有高度的安全問題，於是安全問題，於是IEEE及及Wi-F

3、i Alliance制定了制定了 802.1x、WPA、802.11i等技術來解決金鑰交換及認證的問題，等技術來解決金鑰交換及認證的問題，但其中還是存在一些安全上的顧慮但其中還是存在一些安全上的顧慮 11/3/20064Introduction(2/2)Task GroupStandard ComponentsWi-Fi AllianceWPAWPA-PSK、802.1x、TKIPIEEE Task Group iWEPRC4、ICV802.11iPre-RSNARSNAEntity authentication、WEP802.1x、TKIP、CCMP11/3/20065The analysi

4、s of WLAN security technologyWEP(Wired Equivalent Private)固定（靜態）的固定（靜態）的WEP Key（40、104-bit）IV值太小（值太小（24-bit），IV collision沒有金鑰管理、交換機制及安全的認證的機制沒有金鑰管理、交換機制及安全的認證的機制加密演算法加密演算法RC4是個不安全的演算法是個不安全的演算法 CRC Checksum訊息完整檢查碼（訊息完整檢查碼（ICV）是不安全）是不安全的，容易遭受到第三者的篡改的，容易遭受到第三者的篡改 11/3/20066The analysis of WLAN security

5、 technologyTKIP(Temporal Key Integrity Protocol)(1/2)使用使用48bits的的IV值（值（WEP所使用的為所使用的為24bits）每個每個Packet都會產生不同的加密金鑰與都會產生不同的加密金鑰與WEP不同，不同，WEP會將會將IV直接與直接與WEP Key經過經過RC4演算法之後來做加密的演算法之後來做加密的RC4 Key，而，而TKIP只只是把是把IV當作加密的參數當作加密的參數，安全性較佳安全性較佳使用的使用的Key分成兩個部份，分成兩個部份，128bits的的Key用於用於金鑰混合，另外金鑰混合，另外64bits的的Key用於用於M

6、ichael演演算法算法11/3/20067The analysis of WLAN security technologyTKIP(Temporal Key Integrity Protocol)(2/2)訊息完整碼訊息完整碼MIC（Message Integrity Code）使）使用用Michael演算法雖然強大，但須配合演算法雖然強大，但須配合Sequence Number(IV)的使用尚可達到安全標準的使用尚可達到安全標準 仍然使用有缺陷的仍然使用有缺陷的RC4加密演算法加密演算法 與目前硬體相容性較佳與目前硬體相容性較佳11/3/20068The analysis of WLAN

7、security technologyTKIP的運作流程的運作流程11/3/20069The analysis of WLAN security technologyCCMP(Counter-mode/CBC-MAC)(1/2)使用使用48bits的的IV值。值。使用使用AES（Advanced Encryption Standard）演算）演算法，但目前尚未經過完整的測試，且相容性低，執法，但目前尚未經過完整的測試，且相容性低，執行難度高。行難度高。不對每個封包加密，而是對所有封包，並使用不對每個封包加密，而是對所有封包，並使用CTR（Counter）模式，因為沒有對每個封包實施加密）模式，

8、因為沒有對每個封包實施加密的程序，也變成在安全上的一個缺點的程序，也變成在安全上的一個缺點11/3/200610The analysis of WLAN security technologyCCMP(Counter-mode/CBC-MAC)(2/2)資料完整性的部分使用的資料完整性的部分使用的CBC-MAC比比TKIP所提供所提供的的Michael演算法強大，提供演算法強大，提供8 byte的的MIC（Message Integrity Check），而且在加密資料最後不加），而且在加密資料最後不加 ICV（Integrity Check Value），比），比WEP的的CRC的安全性的安

9、全性提高很多。提高很多。在資料的加密和完整性使用同樣的在資料的加密和完整性使用同樣的Key11/3/200611The analysis of WLAN security technologyCCMP 的運作流程的運作流程11/3/200612The analysis of WLAN security technologyWEPTKIPCCMP加密演算法RC4RC4AES金鑰的長度40bit104bit認證：64bit加密：128bit128-bit初始向量24-bit48-bit48-bit(PN)每個封包之加密金鑰IV+WEP Key兩階段金鑰融合無金鑰管理無802.1x802.1x資料完

10、整性CRCMichaelCCM11/3/200613The analysis of WLAN security technology802.1x IETF於於2001年制定了年制定了802.1x RADIUS Usage Guide Line身份認證及密鑰管理協定，身份認證及密鑰管理協定，802.1x主要分成客戶主要分成客戶端（端（Supplicant，SP）、認證系統（）、認證系統（Authenticator，AP）及認證伺服器（）及認證伺服器（Authentication Server，AS），），而而802.1x機制仍有安全顧慮機制仍有安全顧慮11/3/200614The analysi

11、s of WLAN security technology802.1x 的運作方式11/3/200615The analysis of WLAN security technology802.1xs threat(1/3)中間人攻擊（中間人攻擊（Man-in-Middle-Attack）在在802.1x的驗證系統（的驗證系統（Authenticator system）中只能）中只能單純的接收客戶端（單純的接收客戶端（SP）的）的EAP信息或向客戶端提出信息或向客戶端提出EAP的請求，無法做到雙向的認證，有可能會遭受的的請求，無法做到雙向的認證，有可能會遭受的中間人的攻擊，這也是中間人的攻擊，這

12、也是802.1x設計最大的缺陷，設計最大的缺陷，Attacker可先假冒可先假冒AP發出一個發出一個EAP succeed 訊息給訊息給SP，因為因為SP沒有對沒有對AP認證的機制，所以會把認證的機制，所以會把Attacker當當作合法的作合法的AP開始傳送資料，開始傳送資料，Attack就可以開始中間就可以開始中間人攻擊。人攻擊。11/3/200616The analysis of WLAN security technology802.1xs threat(2/3)會話劫持（會話劫持（Session Hijacking）Attacker在客戶端與認證系統完成認證後，對客戶端在客戶端與認證系

13、統完成認證後，對客戶端發動攻擊，使其無法工作，但此時認證系統對客戶端發動攻擊，使其無法工作，但此時認證系統對客戶端仍處與認證完成的階段，仍處與認證完成的階段，Attacker可以利用客戶端的可以利用客戶端的MAC取得認證系統的服務，達到攻擊的目的。取得認證系統的服務，達到攻擊的目的。11/3/200617The analysis of WLAN security technology 802.1xs threat(3/3)阻斷攻擊（阻斷攻擊（Denial-of-Service，DoS）802.1x的協定中的的協定中的 DoS攻擊可分為兩階段，攻擊可分為兩階段，第一階段第一階段：當客戶端未完成驗

14、證時，驗證系統發送一個當客戶端未完成驗證時，驗證系統發送一個EAP-Failure的封包給客戶端，然後客戶端保持的封包給客戶端，然後客戶端保持HELD的狀的狀態，此時態，此時Attacker可以冒充驗證系統，對客戶端每可以冒充驗證系統，對客戶端每60秒送出一個秒送出一個EAP-Failure的封包，欺騙客戶端使用者，的封包，欺騙客戶端使用者，達到阻斷目的。達到阻斷目的。第二階段第二階段：驗證如已完成，：驗證如已完成，Attacker會冒充客戶端送出中止服務的會冒充客戶端送出中止服務的EAP-logoff的封包，欺的封包，欺騙驗證系統，阻斷服務騙驗證系統，阻斷服務11/3/200618The a

15、nalysis of WLAN security technologyThe solution of 802.1x threats 目前實現目前實現802.1x的身份認證技術各家不同，如的身份認證技術各家不同，如EAP-TLS、EAP-TTLS、LEAP等都具有雙向等都具有雙向認證的技術，可預防中間人攻擊認證的技術，可預防中間人攻擊 Radius/Diameter Server AAA Technology11/3/200619The analysis of WLAN security technology802.11i802.11i 主要分為兩個機制主要分為兩個機制 Pre-RSNA：802

16、.11實體的認證和實體的認證和WEP RSNA：主要分成主要分成802.1x和金鑰的管理和金鑰的管理、TKIP、CCMP，由，由Supplicant（SP）、）、Authenticator(AP)、Authentication Server（AS）三個實體及六大步驟）三個實體及六大步驟11/3/200620The analysis of WLAN security technology802.11i-RSNA的六大步驟的六大步驟1.網路及安全能力檢測網路及安全能力檢測2.認證（認證（Authentication）與連結（）與連結（Association）3.EAP、802.1x、RADIUS認

17、證認證4.四向交握（四向交握（4-Way Handshake）5.Group Key 的交握的交握6.加密資料的傳輸加密資料的傳輸(AES algorithm)11/3/200621The analysis of WLAN security technologySupplicant狀態：Unauthentication UnassociationAuthenticator狀態：Unauthentication UnassociationSupplicant狀態：UnauthenticationAuthentica-tionUnassociationAssociationAuthenticato

18、r狀態：UnauthenticationAuthenti-cationUnassociationAssociation網路及安全能力檢測網路及安全能力檢測 認證與連結認證與連結 11/3/200622The analysis of WLAN security technologySupplicant狀態：AuthenticationAssociationAuthenticator狀態：AuthenticationAssociationAuthentication ServerEAP、802.1x、RADIUS認證認證11/3/200623The analysis of WLAN securit

19、y technologySupplicantMSKPMKPMKPTK802.1x unblockedAuthenticatorMSKPMKPMKPTKPTKGTK802.1x unblockedAuthentication Server,2,2PTKSPASNoncesnmsg M ICSNoncesnmsg,1AAANoncesnmsg,1,3,1,3PTKAAANonceGTK AA RSNIEsnmsg M ICANoncesnSgims,1,4,1,4PTKSPAsnmsg M ICsnmsg四向交握四向交握 11/3/200624The analysis of WLAN securi

20、ty technologyRSNAs threat(1/3)回滾攻擊（回滾攻擊（Rollback Attack）在一般情形下，雖然在一般情形下，雖然802.11i不允許不允許Pre-RSNA和和RSNA同時執行，但同時執行，但802.11i所規範的所規範的TSN（Transient Security Network）同時支援）同時支援Pre-RSNA和和RSNA，會在一般使用的情況下發生，會在一般使用的情況下發生當當Pre-RSNA和和RSNA同時執行時，會遭受到此攻擊，同時執行時，會遭受到此攻擊，在執行在執行Pre-RSNA的情況下，的情況下，Attacker此時可扮演類此時可扮演類似中間人

21、的角色，交替扮演，會冒充似中間人的角色，交替扮演，會冒充AP發出一個偽發出一個偽造的造的Beacon或探測回應封包（或探測回應封包（Probe-Response frames），也會冒充），也會冒充SP來發出偽造的連線請求來發出偽造的連線請求（Association Request），達到竊取金鑰的目的），達到竊取金鑰的目的11/3/200625The analysis of WLAN security technology回滾攻擊回滾攻擊(Rollback Attack)-solutionSP和和AP均使用均使用RSNA，但會缺乏彈性和相容性，但會缺乏彈性和相容性能提供一個能提供一個Pre-

22、RSNA與與RSNA兼具並有安全選擇兼具並有安全選擇機制的機制的TSN（Transient Securty Network），提），提供使用者選擇其所需要的安全層級，需要安全性供使用者選擇其所需要的安全層級，需要安全性較高的資料可選擇較高的資料可選擇RSNA11/3/200626The analysis of WLAN security technologyRSNAs threat(2/3)反射攻擊（反射攻擊（Reflection Attack）在一般的無線網路基礎建設中，一台主機不可能同時扮演在一般的無線網路基礎建設中，一台主機不可能同時扮演SP和和AP，但在支援，但在支援802.11i協定

23、的協定的IBSS網路中，這種情形是有可網路中，這種情形是有可能的能的 IBSS是一種是一種ad hoc LAN的應用，所以每台主機都有可能扮演的應用，所以每台主機都有可能扮演AP和和SP。如果。如果AP和和SP使用同樣的使用同樣的PMK，合法的，合法的AP開始開始RSNA之四向交握（之四向交握（4-Way Handshake）時，）時，Attacker會使用會使用同樣參數發出另一個四向交握給受害同樣參數發出另一個四向交握給受害SP，受騙的，受騙的SP會將合法會將合法交握訊息傳回給交握訊息傳回給Attacker，最後，最後Attacker利用合法利用合法SP交握資料交握資料完成四向交握完成四向交

24、握 雖然反射攻擊並不能在這個攻擊行動中獲得之後合法的加密金雖然反射攻擊並不能在這個攻擊行動中獲得之後合法的加密金鑰，但仍破壞原有的交握機制鑰，但仍破壞原有的交握機制11/3/200627The analysis of WLAN security technology反射攻擊反射攻擊(Reflection Attack)-solution要能避免此狀況發生，一台主機所扮演的角色要單要能避免此狀況發生，一台主機所扮演的角色要單一化，也是就在一化，也是就在ad hoc網路下，固定主機擔任類似網路下，固定主機擔任類似像像AP功能功能如果在同一台主機上扮演兩種角色，可使用不同的如果在同一台主機上扮演兩種

25、角色，可使用不同的PMK，不過此方法會增加交握的複雜度，不過此方法會增加交握的複雜度11/3/200628The analysis of WLAN security technologyRSNAs threat(3/3)阻斷攻擊（阻斷攻擊（Denial of Server,DoS）由於由於802.11i所定義的部份是在資料鏈結層，在認證層所定義的部份是在資料鏈結層，在認證層級部份並沒有規定，且各家使用標準不同，因此這個級部份並沒有規定，且各家使用標準不同，因此這個部份，如果未選用具有雙向認證及動態金鑰加密的話，部份，如果未選用具有雙向認證及動態金鑰加密的話，可能會遭受多種阻斷式攻擊，雖然可能會

26、遭受多種阻斷式攻擊，雖然 DoS很難避免，但很難避免，但可將傷害減到最低。可將傷害減到最低。11/3/200629The suggest of WLAN security硬體硬體 網路的區隔網路的區隔 訊號的範圍訊號的範圍使用者管理使用者管理 勿使用描述性語言的勿使用描述性語言的SSID或或password 更改預設的更改預設的SSID及及password 停止停止 beacon packets 主動偵測惡意的主動偵測惡意的(Rogue)AP 設置入侵偵測系統設置入侵偵測系統(IDS)勿使用勿使用DHCP安全協定安全協定 WEP加密的選擇性加密的選擇性 802.11i(硬體尚須配合硬體尚須配合

27、)11/3/200630 WEP所使用的加密技術為所使用的加密技術為RC4，是一種同步的，是一種同步的串流加密法，利用串流加密法，利用XOR的邏輯運算結合金鑰串的邏輯運算結合金鑰串流產生器和明文產生最後輸出的密文，而流產生器和明文產生最後輸出的密文，而RC4之所以被稱為串流加密法的原因在於他會隨機之所以被稱為串流加密法的原因在於他會隨機產生一個初始向量來產生唯一的金鑰，但這也產生一個初始向量來產生唯一的金鑰，但這也是其被破解的主要因素。是其被破解的主要因素。WEP cracking11/3/200631WEP crackingRC4最主要分成兩個部份最主要分成兩個部份 金鑰排程法金鑰排程法(K

28、ey Scheduling Algorithm，KSA)虛擬隨機金鑰產生法虛擬隨機金鑰產生法(Pseudo Random Generation Algorithm，PRGA)11/3/200632WEP cracking金鑰排程法金鑰排程法(Key Scheduling Algorithm，KSA)：最主要是初始化一個陣列值來作為串流金鑰產最主要是初始化一個陣列值來作為串流金鑰產生，其過程先排定一個陣列，然後打散其順序。生，其過程先排定一個陣列，然後打散其順序。11/3/200633WEP crackingK=私鑰陣列私鑰陣列初始化：初始化：For i=0 to N-1 Si=ij=0打散：打

29、散：For i=0 to N-1j=j+Si+K i mod L Swap(Si,Sj)KSA演算法演算法11/3/200634WEP cracking虛擬隨機金鑰產生法虛擬隨機金鑰產生法(Pseudo Random Generation Algorithm，PRGA)：首先將兩個變數初始化為首先將兩個變數初始化為 0，然後丟入迴圈做，然後丟入迴圈做為每個封包建立金鑰串流為每個封包建立金鑰串流11/3/200635WEP cracking初始化：初始化：i=0j=0產生迴圈：產生迴圈：i=i+1j=j+SiSwap(Si,Sj)輸出串流金鑰輸出串流金鑰 S Si+Sj PRGA 演算法演算法1

30、1/3/200636WEP crackingWEP破解的因素破解的因素(1/2)IV collision 利用利用IV value相同的封包做相同的封包做XOR運算運算明文11/3/200637WEP crackingWEP破解的因素破解的因素(2/2)所使用的所使用的IV長度為長度為3byte（24-bit），其所能提供的金鑰產生可），其所能提供的金鑰產生可能為，但事實上在隨機的選取下可能在傳輸了能為，但事實上在隨機的選取下可能在傳輸了5000個封包後產個封包後產生重複的現象，增加了破解的可預測性生重複的現象，增加了破解的可預測性 根據根據IV的缺陷所產生的弱密鑰的缺陷所產生的弱密鑰(Wea

31、k Key)，也就是密鑰最後，也就是密鑰最後仍會出現在串流的位元組裡的情形，只要蒐集足夠的弱密鑰，仍會出現在串流的位元組裡的情形，只要蒐集足夠的弱密鑰，就可以反推出金鑰就可以反推出金鑰 幾乎所有的無線封包傳送時都會以幾乎所有的無線封包傳送時都會以SNAP檔頭做為第一個位元檔頭做為第一個位元組，這個檔頭的值組，這個檔頭的值OxAA是由明文的第一個位元和是由明文的第一個位元和PRGA做做XOR邏輯運算後的第一個位元組，這也是邏輯運算後的第一個位元組，這也是WEP的一個重大的的一個重大的缺失缺失11/3/200638WEP crackingWEP破解的流程破解的流程破解方式（破解方式（FMS 攻擊）

32、：攻擊）：假設假設IV封包格式：封包格式：B+3、N-1、X（弱密鑰格式）（弱密鑰格式）B：是欲猜測的密碼位元組，但由於密鑰是由：是欲猜測的密碼位元組，但由於密鑰是由IV+共共享密鑰，而前三個享密鑰，而前三個byte的為明碼，所以在這裡我們設的為明碼，所以在這裡我們設為為 0 N：在：在WEP中均為中均為256 X：可用：可用ASCII、十進位或十六進位來表示從、十進位或十六進位來表示從0-255的的值，在這裡設定為值，在這裡設定為711/3/200639WEP crackingK0K1K2+K33K44K55K6632557?密鑰格式（密鑰格式（IV+IV+共享密鑰共享密鑰 )利用四次的利用

33、四次的KSA迴圈、迴圈、PRGA演算法加上演算法加上SNAP標標 頭檔位元組頭檔位元組OxAA即可反推得第一個金鑰位元。即可反推得第一個金鑰位元。11/3/200640WEP cracking初始狀態：初始狀態：i=0 j=0，S0=0,S1=1,S2=2,.S255=255，L=8KSA third loop3i=2，j=3j=j+Si+Ki mod L=3+S2+K 2 =3+2+7=12S2=2，S12=12Swap(S2，S12)=S2=12，S12=2PRGAi=0，j=0，i=i+1=0+1=1，j=j+S1=0+0=0Swap(S1,S0)=S1=3，S0=0輸出串流金鑰輸出串流

34、金鑰SS1+S0=S3=？KSA first loop1j=j+Si+KimodL=0+S0+K0=3S0=0，S3=3Swap(S0，S3)=S0=3，S3=0KSA fourth loop4i=3，j=12j=j+Si+Ki mod L=12+S3+K 3 =12+1+K3=？S3=1，S？=？Swap(S3，S？)=S3=？，S？=1KSA second loop2i=1，j=3j=j+Si+KimodL=3+S1+K1 =3+1+255 =259mod256=3S1=1，S3=0Swap(S1，S3)=S1=0，S3=1破解流程破解流程SNAP的第一個位元組為OxAA與利用嗅探軟體所抓

35、取的密文位元組做XOR的邏輯運算Z=OxAA CiperText =170 165=15，可得 S3=15 反推 S15=1 得到 K3=15-12-1=2破解成功11/3/200641WPA-PSK cracking WPA-PSK是是WPA的種的種 沒有支援沒有支援802.1x的認證方式的認證方式 理論上提供每個使用者都可分配到不同的理論上提供每個使用者都可分配到不同的Key，但實，但實際上常常一台際上常常一台AP提供給整各網路的提供給整各網路的Key均相同，這也均相同，這也暴露了極大的風險暴露了極大的風險 管理者設定密碼的難易度也控制的被破解的可能管理者設定密碼的難易度也控制的被破解的可

36、能 利用暴力攻擊的方式配合字典檔利用暴力攻擊的方式配合字典檔11/3/200642WEP&WPA-PSK cracking 目前可利用的軟體有：目前可利用的軟體有：Aircrack、Airsnorf、WepLab、WepCrack、coWPAtty WEP破解所需的檔案量破解所需的檔案量(本研究實測本研究實測)40bits：20萬萬-30萬萬 104bits：80萬萬-100萬萬 WPA-PSK：取決於字典檔的豐富性及管理者：取決於字典檔的豐富性及管理者設定的方式設定的方式11/3/200643Design and implementation 利用利用Windump、Aircrack、Nma

37、p、WepLab等破解、等破解、擷取、分析封包的開放原始碼軟體來實做，這些軟體原擷取、分析封包的開放原始碼軟體來實做，這些軟體原都以大部分都是以文字介面來執行都以大部分都是以文字介面來執行，本系統以本系統以Microsoft Windows XP為平台、結合為平台、結合Microsoft Visual C+6.0與與Borland C+Builder 6.0，以視窗化的介面來呈現，方，以視窗化的介面來呈現，方便使用者運用便使用者運用11/3/200644研究環境及設定研究環境及設定 筆記型電腦一台筆記型電腦一台 作業系統作業系統：Windows XP 系統設計軟體系統設計軟體：Microsof

38、t Visual C+6.0、Borland C+Builder 6.0 無線網卡無線網卡：支援的晶片支援的晶片 Aironet(Cisco)、Atheros、Broadcom、Hermes l、Orinoco、RTL8180(Realtek)Prism 2/3/GT 安裝合適的網卡驅動程式安裝合適的網卡驅動程式 http:/ and implementation封包擷取AP探測加密分析加密破解封包解密封包分析安全分析WindumpAircrackairodumpWepLabNmapEtherealWSCT11/3/200646Design and implementation系統功能系統功能

39、AP探測加密探測加密破解封包解密安全分析流量分析11/3/200647Design and implementation 功能功能系統系統名稱名稱作業平台作業平台圖形化圖形化中文化中文化AP探測探測加密加密分析分析解密解密封包封包分析分析流量流量分析分析WSCTWSCT本研究實做本研究實做Windows AirSnortLinuxWindowsXXXSnort-WirelessLinuxXXXXXXNetStumblerWindowsXXXXWIDZLinuxXXXXXWifiScannerLinuxXXXXXWeplabLinuxWindowsMacOSXXXXXKismetLinuxWin

40、dows XXXXXNessusLinuxWindowsXXXXX11/3/200648Design and implementation運作架構及流程運作架構及流程封包擷取IV完整封包封包分析加密破解WEPWPA封包解密流量分析安全分析2加密分析AP探測主系統安全分析1AirodumpWepLab,etcEtherealWindump,etc轉換或合併11/3/200649Design and implementation狀態列狀態列主功能列主功能列基本操基本操作列作列系統程式主畫面系統程式主畫面11/3/200650Design and implementation封包分析封包分析(1/2

41、)(1)AP通訊協定、IP、MAC位 址、UDP、封 包長度等資訊(2)封包編碼及明 文資料11/3/200651Design and implementation封包分析封包分析(2/2)11/3/200652Design and implementation加密分析加密分析11/3/200653Design and implementation無線無線AP偵測及封包蒐集偵測及封包蒐集一般嗅探軟體所擷取的封一般嗅探軟體所擷取的封 包資料並法使用在破解的工具包資料並法使用在破解的工具上，因其在擷取時忽略掉上，因其在擷取時忽略掉802.11802.11的標頭檔，如的標頭檔，如EtherealEt

42、hereal，必須使用像必須使用像AirodumpAirodump、AiropeekAiropeek或本系統尚可擷取到或本系統尚可擷取到可作為破解的封包。可作為破解的封包。本系統擷取封包時可分成兩本系統擷取封包時可分成兩種格式種格式：IVIV封包封包(*.ivs.ivs)：僅：僅IVIV資料，檔案較小，破解速資料，檔案較小，破解速度較快，但無法進行進一度較快，但無法進行進一步的資料分析。步的資料分析。802.11802.11完整封包格式完整封包格式(*.cap.cap或或*pcappcap)：檔案較：檔案較大，可做為進一步封包分大，可做為進一步封包分析的資料。析的資料。11/3/200654D

43、esign and implementationWEP 破解分析破解分析（1）加密金鑰（2）IV封包量（3）AP的SSID和 MAC address（4）破解時間（5）加密型態11/3/200655Design and implementationWEP 破解分析破解分析(多台多台AP)11/3/200656WPA 破解分析破解分析11/3/200657Design and implementation檔案的轉換與合併檔案的轉換與合併11/3/200658WEP&WPA加密檔解密加密檔解密11/3/200659Design and implementation安全分析安全分析11/3/2006

44、60ConclusionConclusion 無線網路的普及提供給人們使用網路上一個更方便的無線網路的普及提供給人們使用網路上一個更方便的選擇，由於它的機動性（選擇，由於它的機動性（Mobility）高，不需佈線的）高，不需佈線的優點，使得普及率越來越高，但也因傳播的介質是空優點，使得普及率越來越高，但也因傳播的介質是空氣，遭到攻擊的機會也變高氣，遭到攻擊的機會也變高 本系統整合開放原始碼工具，實做便利使用的視窗介本系統整合開放原始碼工具，實做便利使用的視窗介面功能，提供封包分析、安全分析及封包破解的功能，面功能，提供封包分析、安全分析及封包破解的功能，可提供管理者在無線區網的安全管理上一些建

45、議與幫可提供管理者在無線區網的安全管理上一些建議與幫助助11/3/200661謝謝各位的聆聽謝謝各位的聆聽11/3/200662AP執行Pre-RSNARSNASP執行Pre-RSNARSNA回滾攻擊模式回滾攻擊模式 11/3/200663攻擊者攻擊者MAC：A2狀態：狀態：四向交握四向交握APSPMAC：A1狀態：狀態：四向交握四向交握反射攻擊模式反射攻擊模式SPA:合法SP的MACNonce：Supplicant和Authentication的認證字串MIC：訊息完整加密Msg：驗證訊息Sn：驗證序號RSN IE（RSN Information Element）：包含認證和加密模式11/3/200664 1%after 582 encrypted-frames 10%after 1881 encrypted-frames 50%after 4823 encrypted-frames 99%after 12430 encrypted-frames 資料來源:http:/www.dis.org/wl/pdf/unsafe.pdf(23 june 2004.)