无DHCP的无线网络的攻防
    对于大多数的无线路由器或者AP而言，都已经内置了DHCP功能，即都支持用户进行 DHCP服务的配置。通过在无线AP上设置启动DHCP服务，无线客户端在正确连接无线 AP时，就可以直接从DHCP可分配的地址范围中获取一个IP地址，并自动使用该IP连接 AP进行上网的操作。需要注意的是，客户端无线网卡的lP配置页一般都会全部设置成自动 获取。
    DHCP全称为Dynamic Host Configuration Protocol，即动态主机配置协议。主要目的是 自动分配事先指定的IP地址给发出请求的客户端，这些客户端在没有连网的情况下曾经使 用的IP地址将被服务器收回，并重新发送给其他请求的客户端。这样，网络管理员不但可 以从繁杂的客户端IP地址分配中解脱出来，而且有效地节约了网络资源。
    下面就以市面上流行的BUFFALO无线路由器为例，带大家肴看常见无线接入点的 DHCP配置界面，如图6-35所示。在DHCP Server setting（DHCP服务器设置）中提供 了192.168.11.2～64共计63个IP地址给客 户端使用。
    但这个时候问题产生了，如果无线管 理员将AP上的DHCP服务关闭了，不再 提供IP地址自动分配。换句话说，就是 即使能够坡解出连接该AP的WEP或 WPA-PSK密码，但是不知道内部IP地址， 依1日无法与该AP建立连接。那么，无线 黑客是如何解决这一问题呢？

图6-35
    若攻击者试图突破DHCP的限制，就意味着要获取目标AP的内部网络所使用的IP地 址或范围。可以使用前面提及的OmniPeek进行无线嗅探，其基本操作步骤大家可以参考本 章前面的内容，这里不再重复。当然，也可以使用Airodump-ng来进行截获。使用OmniPeek 打开截获的无线数据包后的内容如图6-36所示，可以箸到详细的数据交互内容，不过这是 针对没有设置加密的无线网络，
    对于采用WEP或者WPA-PSK加密的环境，需要先行坡解WEP密码，然后再对无线加 密数据包进行解密。关于对无线加密数据包解密的详细步骤，请大家参考7.1节“截获及解 码无线加密数据”的内容。
    攻击者成功截获了无线客户端的IP地址请求包，即图6-37中标识为ARP Request及 ARP Response的数据包，在其后面的内容中可以清楚地看到内网的IP地址。换句话说， 无论是DHCP分配，还是客户端默认采用前次的连接设置，对于攻击者而言，已经算是得 到了内部网络的lP网络地址。通过具体分析，还可以得到无线客户端网关、DNS配置信 息等。
    图6-36    图6-37
    下面攻击者就可以直接配置自己的无线网卡了，把网卡IP的网络部分设置成与目标 内网一致，这样，就绕过了DHCP分配的限制，可以连接至无线接入点来进行上网或其 他操作了。
    由于DHCP有着IP地址租约更新时间的设置，所以在默认情况下无线客户端会在一定 时间间隔后与DHCP进行IP地址的更新与确认。对于谨慎且有耐心的攻击者而言，只要稍 稍等待，就可以获得芙于内网IP的数据。
    但是不是说一定要等待才可以获得，一些不太愿意浪费时间的攻击者也会采用诸如 D.O.S的方式来攻击无线客户端，使之掉线。当这个或者这些无线客户端试图和无线接入点 重新连接与DHCP建立联系的时候，攻击者就可以如其所愿地截获含有内部IP地址的数据 报文了。
    很多时候，对于攻击者而言，先对WEP加密的坡解会有助于对截获数据包的分析，关 于对指定目标或者大范围进行D.O.S攻击的具体内容在第8章会有详细阐述。

 无客户端Chopchop的攻防
    能够用于进行无客户端坡解攻击的无线黑客工具主要为Aircrack-ng套装，不过，这里 直接使用图形化的傻瓜工具来实现。这款工具大家应该都比较熟悉了，就是前面第4章讲到 坡解WEP时常用到的傻瓜式工具-SpoonWEP2。  

先对当前网络进行基本的探测。

和前面讲到的WEP坡解一样要先进行探测，来获取当前无线网络概况，包括AP的 SSID、MAC地址、工作频道、无线客户端MAC及数量等。只需打开一个Shell，输入如下 命令：
   

    按IEnterl键后，就能看到类似于图6-38所示的内容，这里直接锁定目标是SSID为 zerone的AP，其BSSID( MAC)为“OO:1D:73:55:77:97”，工作频道为2，当前并没有任何 无线客户端相连。
    图6-38  

打开SpoonWEP2，在SPOONWEP SETTINGS中进行基本的设置。

如图6-39所示，在NET CARD中选择当前已经载入的无线网卡，这里就是之前大家看 到的MONO，在DRIVER中设定当前的无线网卡驱动，这里由于是TP-LINK，所以选择 ATHEROS即可，需要注意的是，在MODE（模式）处一定要设定为KNOWN VICTIM，即 已知客户端攻击。设定完毕后单击NEXT按钮，如图6-39所示。

图6-39

设定无客户端攻击方式。

接下来，选择上方ATTACK PANEL（即攻击面板）选项卡，在界面中间设置攻击方式及无线客户端MACo这里选择CHOPCHOP&FORGE ATTACK，即之前所说的注入攻击方式。然后在Inj Rate处设定发包速率，可以设置为600以上，这里直接设置为1000。

@然后在中间的Victim Mac处设定预攻击的AP的MAC地址，由于是在无客户端破LAUNCH按钮即可开始攻击，如图6-40所示。

在单击LAUNCH按钮后，在SpoonWEP2的一侧也将出现一个Airodump-ng的Shell调用界面，在此Shell中，能看到当前的AP及合法的客户端的无线报文交互情况。

等待一会后，可以清楚地看到IVs的快速增长，如图6-41所示。

图6-40 图6-41

坡解密码。

在捕获了足够数量的无线数据报文后，SpoonWEP2将自动坡解出WEP密码，如 图6-42所示，如在工具界面的下方显示ATTACK FINISHED即攻击完成，而在该提示下方出现的“WEP Key[5A:65:72:4F:6E:65:53:65:63:54:65:61:6D]“即为目标AP所使用的WEP密码。

把上面显示的WEP Key复制到前面章节提到的ASCII转换工具中，具体如图6-43所示，将坡解出的十六进制内容，即“5A65724F6E655365635465616D”输入， 注意把原来中间的冒号去掉，单击“十六进制转字符串”按钮就可转换成常用的 ASCII码，即ZerOneSecTeam。接下来，只要在连接时注意区分大小写就可以了。

图6-42 就这样，在无客户端的情况下，再一次坡解了WEP加密。

   无客户端Fragment的攻防

    由于本节内容除了在原理上和开始的选项上稍有不同之外，其他均与Chopchop攻击几 乎一致，所以本节把主要的步骤讲解一下即可，重复的部分将不再赘述。主要的部分如下。

先对当前网络进行基本的探测。
    使用Airodmup-ng先进行探测，来获取当前无线网络概况，包括AP的SSID、MAC地 址、工作频道、无线客户端MAC及数量等。

打开SpoonWEP2，在SPOONWEP SETTINGS中进行基本的设置。
    如图6-44所示，在NET CARD中选择当前已经载入的无线网卡，这里就是之前大家看 到的MONO，在DRIVER中设定当前的无线网卡驱动，这里设置为ATHERO即可，需要注 意的是，在MODE（模式）处一定要设定为KNOWN VICTIM，即已知客户端攻击。设定完 毕后单击NEXT按钮。

 设定无客户端攻击方式。

◇接下来，选择上方ATTACK PANEL【攻击面板）选项卡，在界面中间设置攻击方式及无线客户端MAC。这里选择FRAGMENTATION&FORGE ATTACK，即之前所说的注入攻击方式。然后在Inj Rate处设定发包速率，可以设置为600以上， 这里直接设置为1000。

④然后在中间的Victim Mac处设定预攻击的AP的MAC地址，由于是在无客户端破 解模式下，所以Client Attack处