为什么你的Karma攻击不好使了老生常谈WiFi Hacks

很清楚的记得5年前我发表过一篇原创文章《骇客有方法让你自动连上陌生的WiFi》，文章中介绍Karma攻击可以让你的无线设备自动连上骇客的WiFi。当时引起了还算比较热烈的讨论，关于WiFi安全，关于Karma攻击等。同时，我也提到WiFi钓鱼将会成为接下来几年的一个热门。如今WiFi安全发生了许多变化，相比于三年前我对WiFi安全也有了更多的了解。本篇文章将介绍为什么Karma攻击逐渐失效了，厂商是如何修补的，以及我们还有哪些攻击方式。
1. Karma攻击
被动扫描（Passive Scan）和主动扫描（Active Scan）
无线客户端可以使用两种扫描方式：主动扫描和被动扫描。在主动扫描中，客户端发送probe request，接收由AP发回的probe response。在被动扫描中，客户端在每个频道监听AP周期性发送的Beacon。之后是认证（Authentication）和连接（Association）过程。

Karma
2004年，Dino dai Zovi和Shane Macaulay发布了Karma工具。Karma通过利用客户端主动扫描时泄露的已保存网络列表信息（preferred/trusted networks），随后伪造同名无密码热点吸引客户端自动连接。

如上图所示，当Karma发现有客户端发出对SSID为Telekom的热点请求时，向其回复Probe Response；当Karma发现有客户端发出对SSID为RUB-WiFi的热点请求时，也向其回复Probe Response。
这实质上是违反了802.11标准协议，无论客户端请求任何SSID，都向其回复表示自己就是客户端所请求的热点，使客户端对自己发起连接。
Why works？
1.主动扫描过程中（Active Scan）泄露客户端已保存网络列表信息
为实现自动连接已保存网络等功能，客户端会定时发送带有已保存网络信息的Probe Request（在后文统称为Directed Probe Request）。黑客通过无线网卡监听无线帧便能轻松获取这些信息。
2.客户端对保存热点不检验MAC地址
为了增大信号覆盖范围，通常会部署多个同名热部署在整个区域。当客户端发现信号更强的同名热点，满足“一定条件”后便会切换过去，即所谓的无线漫游功能。为了实现这种特性同时也意味着，只需要SSID名称及加密方式相同客户端便能自动连接，不会检查MAC地址。
在曾经某段时间里，甚至加密方式不一样，只要SSID同名也能让客户端连接。比如客户端曾连过SSID为“yyf”的WPA热点，只需建立SSID为“yyf”的OPEN热点，客户端也会自动连接。具体的时间点及手机操作系统版本号我暂时没检索到。
相关工具
Pineapple
Hak5的便携式无线安全审计设备——WiFi Pineapple，内置了Karma攻击功能。

airbase-ng
它是著名的wifi攻击套件aircrack-ng中的一个工具。其用法如下，其中-P、-C为Karma相关的参数。
airmon-ngstartwlan0#网卡设为monitor模式 
airbase-ng-c6-P-C20-vmon0 
-cchannel 
-vbeverbose 
-P(karmamode)respondtoallprobes. 
-CenablesbeaconingofprobedESSIDvalues(requires-P)
危害性
如果黑客在公共场合开启了Karma攻击，便能轻松吸引周边大量设备连接到黑客的热点（一般会配合着Deauth攻击）。随后，黑客便能随心所欲对网络内的客户端进行流量嗅探或其他的中间人攻击了。可谓危险性巨大。
2. 后来Karma攻击逐渐不好使了
Broadcast Probe Request
随着各厂商对于Directed Probe泄露SSID导致钓鱼攻击问题的重视，在较新的设备中都改变了主动扫描的实现方式。主要使用不带有SSID信息的Broadcast Probe，大大降低了Directed Probe的使用频率。Broadcast Probe流程如下图所示。

对比下两种方式

Directed Probe的交互如（b）所示，客户端定时发送携带已保存网络列表信息的Probe Request，造成了泄露；而在Broadcast Probe中，客户端的Probe Request不再带有已保存网络列表信息，SSID字段为空。而所有收到该请求的热点都将回复Probe Response，其中带有AP的SSID名称，客户端根据回复的SSID来决定是否进行连接。如此一来，在实现原有功能的同时，解决了泄露保存热点信息的问题。
iPhone大概在iOS7做了这个改变。Android大概在Android 4.x，还有同样使用了wpa_supplicant的Linux。
wpa_supplicant 在2014年7月的一个patch修复了Android在省电模式下的扫描依然会发送暴露SSID的Directed Probe Request的行为。 http://w1.fi/cgit/hostap/commit/?id=4ed3492206097c24aa37b4429938fec049ba1827
隐藏热点（Hidden SSID）
当AP配置为隐藏模式时，在主动扫描的Beacon帧和被动扫描的Probe Response帧中都不会公布自身SSID。于是客户端连接隐藏热点的唯一方法就是持续不断的发送带SSID的Directed Probe Request。

[1] [2]  下一页

很清楚的记得5年前我发表过一篇原创文章《骇客有方法让你自动连上陌生的WiFi》，文章中介绍Karma攻击可以让你的无线设备自动连上骇客的WiFi。当时引起了还算比较热烈的讨论，关于WiFi安全，关于Karma攻击等。同时，我也提到WiFi钓鱼将会成为接下来几年的一个热门。如今WiFi安全发生了许多变化，相比于三年前我对WiFi安全也有了更多的了解。本篇文章将介绍为什么Karma攻击逐渐失效了，厂商是如何修补的，以及我们还有哪些攻击方式。
1. Karma攻击
被动扫描（Passive Scan）和主动扫描（Active Scan）
无线客户端可以使用两种扫描方式：主动扫描和被动扫描。在主动扫描中，客户端发送probe request，接收由AP发回的probe response。在被动扫描中，客户端在每个频道监听AP周期性发送的Beacon。之后是认证（Authentication）和连接（Association）过程。

Karma
2004年，Dino dai Zovi和Shane Macaulay发布了Karma工具。Karma通过利用客户端主动扫描时泄露的已保存网络列表信息（preferred/trusted networks），随后伪造同名无密码热点吸引客户端自动连接。

内容来自无奈安全网

如上图所示，当Karma发现有客户端发出对SSID为Telekom的热点请求时，向其回复Probe Response；当Karma发现有客户端发出对SSID为RUB-WiFi的热点请求时，也向其回复Probe Response。
这实质上是违反了802.11标准协议，无论客户端请求任何SSID，都向其回复表示自己就是客户端所请求的热点，使客户端对自己发起连接。
Why works？
1.主动扫描过程中（Active Scan）泄露客户端已保存网络列表信息
为实现自动连接已保存网络等功能，客户端会定时发送带有已保存网络信息的Probe Request（在后文统称为Directed Probe Request）。黑客通过无线网卡监听无线帧便能轻松获取这些信息。
2.客户端对保存热点不检验MAC地址
为了增大信号覆盖范围，通常会部署多个同名热部署在整个区域。当客户端发现信号更强的同名热点，满足“一定条件”后便会切换过去，即所谓的无线漫游功能。为了实现这种特性同时也意味着，只需要SSID名称及加密方式相同客户端便能自动连接，不会检查MAC地址。
在曾经某段时间里，甚至加密方式不一样，只要SSID同名也能让客户端连接。比如客户端曾连过SSID为“yyf”的WPA热点，只需建立SSID为“yyf”的OPEN热点，客户端也会自动连接。具体的时间点及手机操作系统版本号我暂时没检索到。
相关工具
Pineapple
Hak5的便携式无线安全审计设备——WiFi Pineapple，内置了Karma攻击功能。

airbase-ng
它是著名的wifi攻击套件aircrack-ng中的一个工具。其用法如下，其中-P、-C为Karma相关的参数。
airmon-ngstartwlan0#网卡设为monitor模式 
airbase-ng-c6-P-C20-vmon0 
-cchannel 
-vbeverbose 
-P(karmamode)respondtoallprobes. 
-CenablesbeaconingofprobedESSIDvalues(requires-P)
危害性
如果黑客在公共场合开启了Karma攻击，便能轻松吸引周边大量设备连接到黑客的热点（一般会配合着Deauth攻击）。随后，黑客便能随心所欲对网络内的客户端进行流量嗅探或其他的中间人攻击了。可谓危险性巨大。 本文来自无奈人生安全网
2. 后来Karma攻击逐渐不好使了
Broadcast Probe Request
随着各厂商对于Directed Probe泄露SSID导致钓鱼攻击问题的重视，在较新的设备中都改变了主动扫描的实现方式。主要使用不带有SSID信息的Broadcast Probe，大大降低了Directed Probe的使用频率。Broadcast Probe流程如下图所示。

对比下两种方式

Directed Probe的交互如（b）所示，客户端定时发送携带已保存网络列表信息的Probe Request，造成了泄露；而在Broadcast Probe中，客户端的Probe Request不再带有已保存网络列表信息，SSID字段为空。而所有收到该请求的热点都将回复Probe Response，其中带有AP的SSID名称，客户端根据回复的SSID来决定是否进行连接。如此一来，在实现原有功能的同时，解决了泄露保存热点信息的问题。
iPhone大概在iOS7做了这个改变。Android大概在Android 4.x，还有同样使用了wpa_supplicant的Linux。

copyright 无奈人生

wpa_supplicant 在2014年7月的一个patch修复了Android在省电模式下的扫描依然会发送暴露SSID的Directed Probe Request的行为。 http://w1.fi/cgit/hostap/commit/?id=4ed3492206097c24aa37b4429938fec049ba1827
隐藏热点（Hidden SSID）
当AP配置为隐藏模式时，在主动扫描的Beacon帧和被动扫描的Probe Response帧中都不会公布自身SSID。于是客户端连接隐藏热点的唯一方法就是持续不断的发送带SSID的Directed Probe Request。
无奈人生安全网

[1] [2]  下一页 www.wnhack.com

。 (责任编辑：admin)