无线网络设备的WPS 功能

    本章介绍一种比较特殊的攻击无线WPA加密的方式，即利用无线网络设备的WPS 功能。

1  关于WPS
    WPS（Wi-Fi Protected Setup，Wi-Fi保护设置）是由Wi-Fi联盟(http://www.wi-fi.org/) 组织实施的认证项目，主要致力于简化无线网络的安全加密设置。
    在传统方式下，用户新建一个无线网络时，必须在接入点手动设置网络名( SSID)和 安全密钥，然后在客户端验证密钥以阻止“不速之客”的闯入。Wi-Fi Protected Setup能帮 助用户自动设置网络名( SSID)、配置最高级别的WPA2安全密钥，具备这一功能的无线 产品往往在机身上设计一个功能键，称为WPS按钮，用户只需轻轻按下该按钮或输入PIN 码，再经过两三步简单操作即可完成无线加密设置，同时在客户端和路由器之间建立一个 安全的连接。
    用户可在产品包装上寻找Wi-Fi PROTECTED SETUP的标识，以确保所购产品 具备WPS功能。具备WPS功能的无线产品都会在其机体外壳上注明WPS标识，如 图11-1所示。

2 WPS的基本设置 

    由于元线路由器的品牌和型号不同，下述步骤将稍有偏差。
    @运用配置程序选择“连接到带有WPS的无线网络”。
    @个别无线设备需要按住路由器上的WPS按钮，或者用其他计算机登录到路由器页面，如图11-2所示，在有关页面选择连接计算机。

  @在无线网卡配置工具上选择PBC连接形式，或者在无线网卡上按图11-3中的WPS按键。  

@等待数秒钟，连接成功。  

整个流程与TCP/IP的三次握手协议类似，看起来只有一呼一应两个联系，但是因为配 置了120秒超时的限定，所以实际上也是一个三次握手的流程。WPS完成的工作只是一个 输入超长密钥的流程，但因为操作的便利以及纯人工管控，使得不太容易被运用攻击。

 图11-2    图11-3
    对于市面上的绝大多数n系列无线路由器来说，都能非常便利地运用WPS功能，并且 建立连接的时间不超过20秒。对一个初级用户来说，只要按两次按键就可以建立超长位数 的WPA2加密，无疑是一项非常有吸引力的功能。不过需要特别注意的是，使用WPS的前 提是使用无线网卡自带的管理配置程序，不能使用Windows自带的无线管理配置服务。

扫描WPS状态

1  扫描工具介绍
    目前专门支持WPS扫描的工具并不多，不过由于WPS相关标准的公开，各大厂商在各 自的无线网卡产品配套工具中，都内置了WPS扫描及总动配置功能。这里介绍两款工作在 Linux下使用python编写的小工具，分别为wpscan.py和wpspy.py。其中，wpscan.py用于 扫描开启WPS功能的无线网络设备，wpspy.py则用来确认无线网络设备当前WPS状态。此 工具套装可以到http://bogpack.blogbus.com上下载。
    安装很简单，将wps_tools.tar.gz下载到本地，然后使用tar命令解压缩，会看到图11-4 历示的内容。该压缩包包含两个文件，分别为wpscan.py和wpspy.py。

2扫描开启WPS功能的无线设备

工具安装完毕，即可开始具体的WPS扫描，具体步骤如下：

设置无线网卡为监听模式。

和之前最基本的坡解过程一样，在Linux下需要先行使用Aircrack-ng工具套装中的 airmon-ng工具将无线网卡设置为监听模式。注：若觉得安装Aircrack-ng工具套装很麻烦， 可以考虑直接使用BackTrack4 Linux。具体命令如下： 

    其中，start后跟具体的无线网卡名称，此处为wlan0，载入后的监听网卡ID为 mon0。
    当前采用Ralink 2573芯片的无线网卡已被激活为Monitor监听模式，之后的程序将调 用名为mon0的无线网卡，如图11-5所示。

图11-5  

扫描开启WPS功能的无线设备。

扫描开启WPS功能的无线路由器，具体命令如下：  

其中，-1后跟无线网卡名称，这里是mon0。   按【Enterl键后稍等片刻，wpscan.py可以将周围能够搜索到的开启WPS的无线路由 器全部列举出来。如图11-6所示，扫描出了一款开启WPS的无线路由器，其SSID为 ZerOne Lab．其具体型号未能显示，但其芯片组为Ralink。

图11-6
    没有显示出产品具体型号也是正常的，因为并不是所有的厂商都会在WPS中加入厂商 的详细信息，这也是出于安全的考虑。不过一些大的厂商都会在WPS中加入一些信息，比 如在图11-7中的Model Name处，就识别出Belkin的型号为F5D7230-4的无线路由器，甚 至可以显示出具体的型号为v9。这也就导致了信息的暴露，所以针对WPS的扫描也是有效 探测无线设备的方法之一。

图11-7  

 监测WPS状态。

在获知了存在开启WPS功能的无线设备后，即可对其进行监控，代码如下：   

  参数解释：

  ●-i：后跟无线网卡，这里即为mon0。

  ●-e:后跟SSID，若需要对某指定AP进行监测，可以使用此项，但并不是必需的。  

按IEnterl键后即可看到图11-8所示的内容，监测到SSID为ZerOne Lab的无线路由 器。当前WPS功能状态为已配置，即WPSState处显示为Configured。而在WPSPasswordID 处显示为PushButton，即要求客户端按无线网卡上的PBC按键进行连接。
    若WPS功能未被配置，则会幽现图11-9所示的内容，在WPSState处显示为Not Configured。

图11-8 图11-9
    在WPS的状态改变过程中，使用wpspy.py监测的显示也在不断变化，这将有助于攻击 者掌握当前的WPS部署情况。如图11-10所示，两个不同的提示表示当前WPS正处于调试 配置过程中，当出现WPSPasswordID:PushButton时，将是最利于后续连接的时刻。

图11-10

11.3  使用WPS坡解WPA-PSK密钥
    直接进入正题，开始讲解如何利用WPS坡解WPA/WPA2密钥，具体步骤如下：
    圆先确认当前网络中是否存在开启WPS功能的无线设备。
    具体参考本章前面的内容，这里不再重复。
    圆打开无线网卡配置工具。
    此时打开无线网卡自带配置工具，扫描当前存在的无线网络。如图11-11所示，可以看 到，之前扫描发现的SSID名为ZerOne的无线网络信号充足，当前无线网卡处于其信号范 围内。
    需要注意的是，若此时无法接收到之前扫描的目标AP信号，应采用为无线网卡加装高 增益的天线、增大网卡功率、改变当前接收位置等多种方法来改善。此外，需要额外注