无线网络基础与监听
无线渗透和有线渗透最大的不同,是信号在空中开放传播——任何人都能接收。这篇打基础:802.11 的关键概念(SSID/BSSID/信道)、加密协议的演进(WEP → WPA2 → WPA3)、无线网卡的"监听模式"是什么,以及如何用 aircrack-ng 套件把网卡切到监听模式并扫描周边网络。
监听、抓包、注入只能针对你自己拥有或获得书面授权的无线网络。嗅探、破解他人 WiFi 在中国属于违法行为。请用自己的路由器搭建实验环境。
802.11 基础概念
| 术语 | 含义 |
|---|---|
| SSID | 无线网络的名字(如 MyHome) |
| BSSID | 接入点(AP)的 MAC 地址,唯一标识一个 AP |
| STA / Client | 连接到 AP 的客户端设备 |
| 信道(Channel) | 2.4GHz 有 1–14 信道,5GHz 信道更多;同一时刻网卡只能监听一个信道 |
| Beacon 帧 | AP 周期性广播,宣告自己的存在(SSID、加密方式等) |
| 管理帧 | 包括认证、关联、解除认证(deauth)等,WPA2 下未加密,这是很多攻击的切入点 |
无线帧分三类:管理帧(management)、控制帧(control)、数据帧(data)。WPA2 只加密数据帧,管理帧明文传输——这就是为什么攻击者能伪造"解除认证"帧把客户端踢下线。
加密协议演进
| 协议 | 状态 | 说明 |
|---|---|---|
| WEP | 已彻底破解 | 用 RC4,IV 太短,可在几分钟内破解,禁止使用 |
| WPA (TKIP) | 已淘汰 | WEP 的过渡补丁,同样不安全 |
| WPA2 (CCMP/AES) | 仍广泛使用 | 个人版用 PSK 预共享密钥,主要风险是弱口令被离线破解 |
| WPA3 (SAE) | 当前推荐 | 用 SAE(蜻蜓握手)抵御离线字典攻击,前向保密 |
个人家用网络绝大多数是 WPA2-PSK,它本身的密码学是安全的,攻击的本质是抓到握手包后离线爆破弱密码(见下一篇)。WPA3 的 SAE 握手让"抓包后离线爆破"基本失效,是真正的升级。
监听模式是什么
普通网卡工作在 Managed(受控)模式,只接收发给自己的帧。要捕获空中所有帧,必须把网卡切到 Monitor(监听)模式,并且要做注入攻击还需要网卡芯片支持数据包注入。
不是所有网卡都支持监听 + 注入。常见可用芯片:Atheros AR9271、Ralink RT3070/RT5370、Realtek RTL8812AU 等。虚拟机内的虚拟网卡不支持监听模式,必须用 USB 无线网卡直通到 Kali,或直接用物理机。
用 airmon-ng 开启监听模式
aircrack-ng 套件里的 airmon-ng 负责管理监听模式。
# 1. 查看无线网卡(确认接口名,如 wlan0)
airmon-ng
# 2. 检查并杀掉会干扰的进程(NetworkManager 等)
sudo airmon-ng check
sudo airmon-ng check kill
# 3. 开启监听模式,会生成新接口 wlan0mon
sudo airmon-ng start wlan0
# 4. 锁定到指定信道开启(已知目标信道时更高效)
sudo airmon-ng start wlan0 6
# 用完恢复
sudo airmon-ng stop wlan0monairmon-ng check kill 很关键——NetworkManager 会不断把网卡拉回 Managed 模式,不杀掉它监听会频繁失败。
用 airodump-ng 扫描周边网络
切到监听模式后,airodump-ng 负责捕获并展示周边 AP 和客户端。
# 扫描所有信道(不断跳频),快速摸清环境
sudo airodump-ng wlan0mon
# 锁定单个 AP:指定信道和 BSSID,并把抓到的包写到文件
sudo airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w capture wlan0mon输出上半部分是 AP 列表,下半部分是客户端列表,重点关注这些列:
| 列 | 含义 |
|---|---|
| BSSID | AP 的 MAC 地址 |
| PWR | 信号强度,越接近 0 越强(负值) |
| CH | AP 所在信道 |
| ENC / CIPHER / AUTH | 加密方式(WEP/WPA2/WPA3)、算法、认证(PSK/SAE) |
| ESSID | 网络名 |
| STATION | 关联到某 AP 的客户端 MAC |
记下目标的 BSSID、信道(CH)、加密方式和一个在线客户端的 STATION,下一篇抓 WPA 握手包就靠这三样。
防御视角
- 用 WPA3,至少 WPA2-AES,关闭 WEP/WPA-TKIP。
- 强 PSK 口令:12 位以上、无规律,直接让离线爆破不可行(这是 WPA2 个人版唯一也是最重要的防线)。
- 关闭 WPS:WPS PIN 有已知爆破缺陷(Reaver/Pixie Dust),路由器后台关掉。
- 企业环境用 WPA2/3-Enterprise(802.1X):每用户独立凭据,不共享 PSK。
- 无线入侵检测(WIDS):监控异常的 deauth 洪水和伪造 AP。
最后更新于