引言
欢迎来到本实验,我们将使用 airodump-ng 进行 Wi-Fi 网络扫描。airodump-ng 是 Aircrack-ng 套件的核心组件,Aircrack-ng 是一套用于审计无线网络的工具。它的主要功能是捕获 802.11 帧,让你能够看到范围内所有可用的 Wi-Fi 接入点(access points)和已连接的客户端。
在使用 airodump-ng 之前,无线网络接口卡(wireless network interface card)必须被置于“监控模式”(monitor mode)。监控模式允许网卡监听特定信道上的所有无线流量,而不仅仅是发往该网卡的数据。在本实验中,我们已经准备了一个模拟环境,其中的接口已处于监控模式,因此你可以直接专注于使用该工具。
在本实验中,你将学习如何执行通用扫描、解读扫描结果、将扫描聚焦于特定频段和目标,以及如何保存捕获的数据以供将来分析。
启动监控接口的通用扫描
在本步骤中,你将启动一个基础扫描,以发现附近所有的 Wi-Fi 网络。其基本命令是 airodump-ng,后面跟着你的监控模式(monitor mode)下的网络接口名称。
在我们的模拟环境中,监控模式接口的名称是 wlan0mon。
在你的终端中执行以下命令开始扫描:
airodump-ng wlan0mon
你将看到一个实时显示的已探测 Wi-Fi 网络列表。该工具将持续扫描并更新此列表。在实际场景中,你需要按 Ctrl+C 来停止扫描。在本实验中,命令将显示输出后自动退出。
你的输出将与此类似:
CH 9 ][ Elapsed: 1 min ][ 2023-10-27 10:10 ][ WPA handshake: 1A:2B:3C:4D:5E:6F
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
1A:2B:3C:4D:5E:6F -45 24 8 0 6 540 WPA2 CCMP PSK MyHomeWiFi
88:77:66:55:44:33 -67 12 3 0 11 300 WPA2 CCMP PSK CoffeeShop
AA:BB:CC:DD:EE:FF -78 8 1 0 36 866 WPA3 SAE PSK SecureNet-5G
11:22:33:44:55:66 -82 5 0 0 6 54 WPA TKIP PSK OldRouter
BSSID STATION PWR Rate Lost Frames Probe
1A:2B:3C:4D:5E:6F 00:11:22:33:44:55 -50 0 - 1 0 15 MyHomeWiFi
此输出分为两个主要部分。上半部分列出了已探测到的接入点(APs),下半部分列出了已探测到的客户端(Stations)以及它们连接到的 AP。
解读 airodump-ng 输出列
在本步骤中,我们将解析上一扫描的输出,以理解每一列的含义。这些信息对于有效的无线分析至关重要。这是一个信息性步骤,无需执行任何命令。
接入点部分(顶部)
此部分提供有关无线路由器或接入点(Access Points)的详细信息。
- BSSID: 接入点的 MAC 地址。这是其唯一的硬件标识符。
- PWR: 你的设备所看到的网络的信号强度。负数越小(例如,-45)表示信号越强,负数越大(例如,-82)表示信号越弱。
- Beacons: AP 发送的公告数据包的数量。这些数据包宣告了网络的存在。
- #Data: 捕获到的数据包数量。
- CH: AP 运行的信道(例如,2.4GHz 的 1、6、11)。
- MB: AP 支持的最大速度,单位为 Mbit/s。
- ENC: 使用的加密标准(例如,WPA、WPA2、WPA3、WEP)。
- CIPHER: 使用的具体加密算法(例如,CCMP、TKIP)。
- AUTH: 使用的认证协议(例如,PSK 表示预共享密钥,MGT 表示企业级认证)。
- ESSID: Wi-Fi 网络的公开名称,也称为 SSID。
客户端部分(底部)
此部分列出了已连接到 AP 的客户端(如笔记本电脑和手机)。
- BSSID: 客户端关联的 AP 的 MAC 地址。
- STATION: 客户端设备的 MAC 地址。
- PWR: 你的设备所看到的客户端的信号强度。
- Rate: 客户端与 AP 之间的传输和接收速率。
- Lost: 通信中丢失的数据包数量。
- Frames: 客户端发送的数据帧数量。
- Probe: 如果客户端未关联,此列可能显示它尝试连接的 ESSID。
理解这些字段可以帮助你快速评估周围网络的安全性状况和活动情况。
使用 --band 将扫描聚焦于特定频段
默认情况下,airodump-ng 会在 2.4GHz 和 5GHz 两个频段的所有支持信道之间切换。如果你只对特定频段的网络感兴趣,这样做可能会效率低下。
你可以使用 --band 标志来告诉 airodump-ng 要扫描哪些频段。常用选项包括:
a: 扫描 5GHz 信道。b: 扫描 2.4GHz 信道(特别是 802.11b 速率)。g: 扫描所有 2.4GHz 信道(802.11b/g 速率)。
让我们运行一个只聚焦于 5GHz 频段的扫描。
airodump-ng --band a wlan0mon
输出现在将只显示在 5GHz 频段运行的网络。请注意,列出的信道会更高(例如,36、40、44)。
CH 36 ][ Elapsed: 30 s ][ 2023-10-27 10:15 ][ BSSID: AA:BB:CC:DD:EE:FF
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
AA:BB:CC:DD:EE:FF -78 15 5 0 36 866 WPA3 SAE PSK SecureNet-5G
99:88:77:66:55:44 -55 10 2 0 40 1200 WPA2 CCMP PSK Office-5G
BSSID STATION PWR Rate Lost Frames Probe
这种技术有助于减少干扰,并将捕获工作集中在特定类型的网络上。
锁定目标 BSSID 和信道
当你从通用扫描中识别出感兴趣的网络后,你可以让 airodump-ng 专门聚焦于该网络。这对于更高级的攻击或深入的数据包分析至关重要,因为它会阻止扫描器跳到其他信道,并确保你捕获到目标的所有流量。
要做到这一点,你需要使用 --bssid 和 --channel 标志。
让我们以第一次扫描中的 MyHomeWiFi 网络为目标。回顾一下之前的输出,我们可以看到它的详细信息:
- BSSID:
1A:2B:3C:4D:5E:6F - Channel:
6
现在,运行以下命令将扫描锁定到这个特定的接入点:
airodump-ng --bssid 1A:2B:3C:4D:5E:6F --channel 6 wlan0mon
当你运行此命令时,airodump-ng 将停止信道切换,只监听信道 6。输出将被过滤,只显示指定的 BSSID 及其连接的任何客户端。这极大地提高了捕获单个目标数据的效率和可靠性。
(注意:在我们的模拟中,输出将与通用扫描看起来相同,但在实际场景中,显示将如所述进行过滤。)
使用 -w 标志将扫描结果保存到文件
查看实时数据很有用,但通常你需要将捕获的流量保存下来,以便稍后进行离线分析,或与其他工具(如 aircrack-ng 用于破解密码,或 Wireshark 用于深入的数据包检查)一起使用。
-w(或 --write)标志告诉 airodump-ng 将捕获的数据保存到文件中。你提供一个前缀,airodump-ng 将创建几个具有不同扩展名(.cap、.csv、.kismet.csv 等)的文件。
让我们运行一个扫描,并将结果以 scan_results 为前缀保存。
airodump-ng -w scan_results wlan0mon
命令运行后,列出当前目录中的文件,查看创建了哪些内容。
ls -l
你应该会看到新文件,包括 scan_results-01.csv。airodump-ng 会自动在文件名中添加一个数字,以防止覆盖之前的捕获。
-rw-r--r-- 1 labex labex 512 Oct 27 10:20 scan_results-01.csv
...
.csv 文件包含屏幕上看到的输出的逗号分隔版本,易于通过脚本解析或导入电子表格。让我们查看其内容:
cat scan_results-01.csv
输出将是扫描的文本数据,格式化为便于机器读取。保存扫描数据是任何专业无线审计中的关键步骤。
总结
在本实验中,你学习了 airodump-ng 进行无线网络发现的基本操作。这些技能是任何 Wi-Fi 安全评估的第一步。
你已成功练习了:
- 在监控接口上启动通用扫描 (
airodump-ng wlan0mon)。 - 解析详细输出,包括 BSSID、信号强度、加密类型和连接的客户端。
- 使用
--band标志将扫描聚焦于特定的频段。 - 使用
--bssid和--channel针对特定接入点进行详细分析。 - 使用
-w标志将扫描结果保存到文件以供后续分析。
掌握这些命令为你继续学习更高级的无线渗透测试技术奠定了坚实的基础。