《软件工程硕士论文无线局域网取证关键技术的研究.doc》由会员分享,可在线阅读,更多相关《软件工程硕士论文无线局域网取证关键技术的研究.doc(70页珍藏版)》请在三一办公上搜索。
1、密级: 工程硕士专业学位论文(设计)题目: 无线局域网取证关键技术的研究 作者: 完成时间: 2010年9月1日 培养单位: 四 川 大 学 指导教师: 指导教师: 工程领域: 软 件 工 程 授予学位日期: 2010年 月 日无线局域网取证关键技术的研究工程领域:软件工程研究生 指导老师 无线局域网以其接入的灵活性与组网的方便性等特点,呈现快速发展的趋势。与此同时,无线局域网的安全机制相对有限网络却是脆弱的,无线局域网将成为下一代黑客攻击的主要对象,因此对无线局域网的取证研究就极为迫切。无线局域网取证主要涉及三方面的问题,一是获取特定频段的网络数据包;二是在收集数据包有限的情况下高速破解获取
2、明文数据;三是根据网络协议将单个网络数据包恢复为应用明文。此外,如何设计数据库以存贮网络取证结果和展示取证结果视图也是必须的环节。论文主要研究了无线网络取证中的解决上述主要问题的方法和技术。首先,论文研究了无线局域网取证的相关技术基础,包括无线局域网相关协议、无线信号测控技术以及计算机取证技术等。其次,论文重点研究了用于无线局域网中广泛被使用的两种无线路由加密方式:WEP和WPA。通过分析指出了WEP加密机制的各种漏洞并引出了WPA加解密机制,分析了WPA安全协议中存在的安全漏洞以及针对它们的各种攻击方式,并设计完成了WEP和WPA破解原型系统。 然后,根据破解得到的单个明文数据包,根据应用层
3、协议、TCP/IP协议,设计了应用层数据恢复流程,完成了原型系统并给出了测试结果。最后,论文给出了无线局域网取证原型系统设计,包括系统用户视图、部署视图等,在无线局域网WLAN的实验环境,使用上述的方法,实现了原型系统,完成了对计算机的取证及分析,研究结果对计算机取证应用有重要的实践指导意义。关键词:无线局域网;WLAN取证;WEP;WPA;Wincap A research on the key technique of WLAN ForensicsField: Software EngineeringGraduate Student: Advisors: The flexibility o
4、f accessing WLAN and the convenience of organizing network have indicated the trend of sharp development of WLAN. Meanwhile, as a weak safety mechanism which is confined to a limited network, WLAN would be the main target of hackers in next generation, therefore a research on WLAN forensics seems to
5、 be extremely urgent.The WLAN forensics refers to the following key techniques: 1. How to obtain data cell in specified frequency. 2. How to draw out clarified data by rapidly dispelling the finite data cell. 3. How to change individual data cell into clarified ones according to the network protocol
6、. Besides, designing the related data base for storing and illustrating forensics is drawn out to be another critical concern. The paper focuses on the research on the above mentioned pivotal questions about WLAN forensics.To be more specific, the technical foundation of WLAN forensics has been anal
7、yzed including WLAN-related protocols, techniques of the measures, monitoring of wireless signal and cyber-forensics.Additionally, the text has also highlights the researches into two chief encryption modes for WLAN, which are titled as WEP and WPA. Many bugs in the WEP have been revealed from the a
8、nalysis, and from which the WPA has been derived. In doing so, the bug in WPA safety protocol and the possible relevant attack has been evaluated in addition to the accomplishment of designing the prototype-dispelling system within WEP and WPA.Moreover, the research has designed the recovering proce
9、ss of application layer data according to application layer protocol, TCP/IP and individual clarified data cell, finished the prototype-dispelling system and indicated the testing result.Finally, the text has offered the designation of WLAN prototype system, including system user view and deployment
10、 view, it finished the cyber-forensics and analysis by using the above methods in WLAN experimental environment thereby forming a final applicable prototype system for illustration, and it has realizable significance for cyber-forensics.Keywords: Wireless LAN; WLAN forensics; WEP; WPA; Cracking; Win
11、cap; 802.11目 录1 概 述11.1 WLAN无线网络安全11.2 WLAN取证技术11.2.1 研究背景11.2.2 WLAN取证技术21.3 无线信号测控技术21.4 论文结构22 WLAN取证相关技术42.1 WLAN无线安全机制42.2无线破解技术52.3 计算机取证技术52.4 Qt技术63 WEP破解原型系统设计73.1WEP协议73.1.1 WEP加密73.1.2 WEP解密83.2 WEP漏洞分析83.2.1 密钥序列的重复使用93.2.2 CRC32的缺陷93.2.3 802.2头信息113.3 WEP破解原理123.3.1 FMS攻击123.3.2 Korek攻击
12、143.3.3 PTW攻击143.3.4 加速WEP破解143.4 WEP破解设计及测试163.4.1 aircrack-ng163.4.2 图形化界面的编写163.4.3测试环境193.4.4 测试目的193.4.5 测试步骤193.4.6 包采集速度的对比274 WPA破解原型系统设计294.1 WPA协议294.1.1 WPA核心组成294.1.2 WPA加密294.2 WPA攻击方法304.2.1 中间人攻击304.2.2 会话劫持304.2.3 拒绝服务攻击314.3 WPA的破解及测试314.3.1 实验方法314.3.2 其它破解方法374.3.3 提高WPA攻击效率385 WL
13、AN数据恢复技术研究405.1设计架构405.2程序实现415.2.1 数据包获取模块415.2.2 IP包的乱序重组415.2.3 数据包解析模块445.2.4 邮件分析还原模块455.2.5 界面与后台数据库515.3 测试与问题分析525.3.1 测试环境525.3.2 实验结果525.3.3 问题与分析556 WLAN取证及测控技术设计与实现566.1系统开发模型566.2 WLAN取证技术测试结果566.2.1 测试步骤566.2.2 测试结果576.2.3 无线测控技术测试结果59结束语61参考文献62声 明64致 谢651 概 述1.1 WLAN无线网络安全近些年来随着个人数据通
14、信的发展,功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展,由此无线局域网技术得到了快速的发展。在互联网高速发展的今天,可以认为无线局域网将是未来发展的趋势,必将最终代替传统的有线网络。无线局域网,也被称为 WLAN(Wireless LAN) , IEEE在1997年为无线局域网制定了第一个版本标准IEEE 802.11。其中定义了媒体存取控制层(MAC层)和物理层。物理层定义了工作在2.4GHz的ISM频段上的两种展频作调频方式和一种红外传输的方式1,
15、总数据传输速率设计为2Mbit/s。两个设备之间的通信可以设备到设备(ad hoc)的方式进行,也可以在基站(Base Station, BS)或者访问点(Access Point,AP)的协调下进行。为了在不同的通讯环境下取得良好的通讯质量,采用 CSMA/CA (Carrier Sense Multi Access/Collision Avoidance)硬件沟通方式。针对WLAN的监听与破解主要是指的针对目前WLAN中使用的主流的加密算法:WEP,WPA,WPA2等的破解。通过破解加密算法,获取广播的数据包,然后对数据包进行分析和还原,获取数字证据。1.2 WLAN取证技术1.2.1 研
16、究背景随着无线网络的普及,无线网络的安全问题也越来越重要。由于数据无线传输 ,所以窃听、身份假冒和信息篡改等攻击对无线局域网构成了严重的威胁 ,无线局域网逐渐成为犯罪分子进行违反犯罪活动的平台。该问题能否得到比较完善的解决 ,成为无线局域网获得更大应用及推广的关键因素。无线网络传播介质的共享性,攻击者可以轻易的监听网络,并向网络中发送攻击数据包。在802.11无线网络中,针对WEP和WPA的破解是一种常见攻击,可以为攻击者带来非法利益。WEP加解密技术的研究对WLAN取证有重要作用。1.2.2 WLAN取证技术对WLAN取证技术的研究主要是基于WEP和WPA加密技术的研究。通过对被取证网络的破
17、解(合法的前提下),达到进入该被取证网络进行相关的取证工作。由于 WEP 采用密钥长度可变的 RC4 流密码算法来保护数据传输,而在实际应用中,密钥经常基于用户所选择的密码,这就大大降低了密钥的安全有效长度。RC4算法自身存在的不足给破解被取证的网络提供了可能性。1.3 无线信号测控技术对安全协议WEP了解之后,研究相关算法,定位被取证目标的信号范围。最小的减少对无效目标检测所带来的资源浪费。在11Mbps的802.11g标准的54Mbps的802.11b的速度取决于信号强度和噪声对无线网卡和无线系统的水平而定。理想情况下。噪音水平(以dBm为单位计算),尽可能低。无线接入点(AP)通常有一个
18、在Wi-Fi天线内置的辐射超过250至300英尺(76-91米)距离各个方向的信号一样好。这些天线通常被称为全向天线。根据无线信号的分布特点,研究一个比较合适的算法进行信号选择,尽量减少对不必要的信号源的检测,减少系统负荷,提高工作效率。该项课题可以在筛选信号的算法开销和取证开销之间折中选择。1.4 论文结构本文共分为六个部分,各章内容介绍如下:第一章:概述,分析了当前无线网络中存在的问题,WLAN取证技术提出的背景,以及WLAN取证技术可行性论证。第二章:WLAN取证及测控相关技术,阐述了WLAN取证及测控相关技术,包括:计算机取证技术、QT技术等。第三章:阐述了WEP破解原型系统设计,相关
19、技术包括WEP协议、RC4算法、破解原理、系统实现。第四章:阐述了WPA破解原型系统设计,相关技术包括WPA协议、破解原理、攻击与防范。第五章:WLAN数据恢复技术研究,主要阐述了网络应用协议,数据恢复设计与实现等技术。第六章:阐述了WLAN取证及测控系统的结果,无线信号测控的演示结果,并就测试的结果进行了一些分析;同时提出未来该进方案,对下一阶段的研究进行展望。2 WLAN取证相关技术2.1 WLAN无线安全机制有线等效加密(Wired Equivalent Privacy),又称无线加密协议(Wireless Encryption Protocol),简称WEP,是个保护无线网络(Wi-F
20、i)信息安全的体制。密码分析学家已经找出 WEP 好几个弱点,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代。WEP 是1999年9月通过的 IEEE 802.11 标准的一部分,使用 RC4(Rivest Cipher)串流加密技术达到机密性,并使用 CRC-32 验和达到资料正确性。标准的64比特WEP使用40比特的钥匙接上24比特的初向量(initialization vector,IV)成为 RC4 用的钥匙。在起草原始的 WEP 标准的时候,美国政府在加密技术的输出限
21、制中限制了钥匙的长度,一旦这个限制放宽之后,所有的主要业者都用 104 比特的钥匙实作了 128 比特的 WEP 延伸协定。用户输入 128 比特的 WEP 钥匙的方法一般都是用含有 26 个十六进制数(0-9 和 A-F)的字串来表示,每个字符代表钥匙中的 4 个比特, 4 * 26 = 104 比特,再加上 24 比特的 IV 就成了所谓的 128 比特 WEP 钥匙。有些厂商还提供 256 比特的 WEP 系统,就像上面讲的,24 比特是 IV,实际上剩下 232 比特作为保护之用,典型的作法是用 58 个十六进制数来输入,公式如下:(58 * 4 = 232 比特)+ 24 个 IV
22、比特 = 256 个 WEP 比特钥匙长度不是 WEP 安全性的主要因素,破解较长钥匙需要拦截较多的封包,但是有某些主动式的攻击可以激发所需的流量。WEP 还有其他的弱点,包括 IV 雷同的可能性和变造的封包等,这些用长一点的钥匙根本没有用。WEP 协议提供了基于链路层的数据加密和认证机制,采用密码算法是共享密钥RC4 PRNG 算法,密钥的长度为40 位。在数据通信过程中,所有的终端和接入设备都使用这个共享密钥来加密数据。在WEP 中,共享密钥是通过安全信道分发给所有可信的WLAN 设备。在分发共享密钥时,对这些设备的合法性进行必要的认证。WEP 采用共享密钥认证方式,通过安全信道分发共享密
23、钥,以及双方利用共享密钥对随机生成的请求/ 应答信息进行加密和完整性计算;整个认证过程需要双方进行4 次交互。2.2无线破解技术从破解难度上讲 WEP 是很容易破解的,只要收集足够的 Cap 数据包就肯定可以破解。WPA 的破解需要有好的密码字典配合才能完成,复杂的 WPA 密码可能几个月也破解不出来。输入:aircrack-ng -z b 123*.cap 123 是前面所获得的握手包的文件名。系统会自动在你输入的文件名后加上-01、-02(如果数据包太多,系统会自动分成几个文件存储并自动命名,可以使用 ls查看) ,输入123*是打开所有123相关的cap文件。举例常见的利用Deauth验
24、证攻击。也就是说强制让合法无线客户端与AP被断开,当它被从WLAN 中断后,这个无线客户端会自动尝试重新连接到AP上,在这个重新连接过程中,数据通信就产生了,然后利用airodump捕获一个无线路由器与无线客户端四次握手的过程,生成一个包含四次握手的cap包。然后再利用字典进行暴力破解。 2.3 计算机取证技术电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,其综合了文本、图形、图像、动画、音频、视频等多种多媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。计算机取证过程如图2-1。数据
25、保护数据提取数据分析受害系统电子证据图2-1 电子取证过程WLAN取证技术是计算机取证一部分。2.4 Qt技术Haavard Nord和Eirik Chambe-Eng于1991年开始开发Qt,最早名为Quasar Technologies,然后更名为Troll Tech,然后在改为Trolltech,中文名是“奇趣科技”,2008年6月17日被NOKIA公司收购,以增强该公司在跨平台软件研发方面的实力,更名Qt Software。该工具包名为Qt是因为字母Q在Haavard 的Emacs 字体特别漂亮,而“t”代表“toolkit”,灵感来自XtX toolkit。2009年5月11日,诺基
26、亚Qt Software宣布Qt源代码管理系统面向公众开放,Qt开发人员可通过为Qt以及与 Qt相关的项目贡献代码、翻译、示例以及其他内容,协助引导和塑造Qt未来的发展。为了便于这些内容的管理,Qt Software启用了基于Git和 Gitorious开源项目的Web源代码管理系统。3 WEP破解原型系统设计3.1WEP协议3.1.1 WEP加密WEP的加密过程如图3-1所示。IV为初始化向量,Secret Key为用户密码,Plaintext为明文。图3-1 WEP加密过程图 1、AP先产生一个IV,将其同密钥串接(IV在前)作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为
27、MPDU长度加上ICV的长度)的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID为0,如果使用Default Key,则Key ID为密钥索引(03其中之一)。图3-2 加解密前格式 图3-3 加密后格式 3.1.2 WEP解密解密过程和加密过程相反。如图3-4图3-4 WEP解密过程图 1、找到解密密钥;2、将密钥和IV串接(IV在前)作为RC4算法的输入
28、生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICV,并和ICV比较,如果相同则解密成功,否则丢弃该数据。3.2 WEP漏洞分析通信安全分三个主要方面:机密性(confidentiality)、完整性(integrity)、真实性(authentication)。机密性旨在保证数据不被未被授权的第三方拦截,比如通过加密来防止数据被窃听,这点对使用广播方式的无线环境尤为重要;完整性旨在保证数据不被修改,这可以通过一些效验手段来实现;真实性旨在保证数据源的合法性。其中,真实性是任何安全策略的基础,授权(author
29、ization)和访问控制(access control)均建立在真实性之上。为了实现这三个主要方面的目标,IEEE在WEP的最初设计时做了很多工作。然而,WEP由于其算法的不可靠,在安全架构中留下了很大的隐患。WEP有以下几个安全弱点:密钥序列的重复、使用线性CRC32完整性校验、简单的身份验证机制。3.2.1 密钥序列的重复使用众所周知,流密码加密算法的一个缺点就是如果使用同一初始化向量和密钥来加密两条明文,那么容易导致消息泄露。WEP协议为了防止该类攻击,采用了每个分组使用不同的IV来避免密钥序列的重复使用。WEP协议中,IV大小为24bit,所以密钥空间只有224大小。由于WEP采用的
30、是共享基本密钥,每个连接的客户端共享一个基本密钥,这样密钥序列的不同即完全取决于IV。 设有消息P1、P2,采用相同的IV进行加密,密文为C1、C2。有C1C2 = RC4(IV,K)RC4(IV,K) = = = 由上式可以看出,两个用相同IV进行加密的密文进行异或后可以将密钥流抵消掉,得到两个明文的异或值。假如知道其中一个明文值,就可以得到另一个明文的值。上面的推导在消息篡改时仍需使用。此外,IV存在重复使用值而在接受方不会引起任何警告,还会导致其它一些攻击。当已知一个初始化向量IV,以及其相应的密钥流序列RC4(IV,K),这个IV重复使用特性允许重复使用已知的密钥流,并且成功骗过WEP
31、的访问控制措施。攻击者还可以通过向网络中回放ARP包进行ARPREPLAY攻击。对这种攻击的一个本能的防卫应该是禁止在多数据包中重复使用IV,并且要求所用的接收者强制执行这个禁令。然而IEEE 802.11标准没有这么做。它虽然强烈建议不要重复使用IV,但却没有明确要求每个数据包使用不同的。因此,每个接受方必须冒有一定风险地接收重复使用IV的数据。这是IEEE 802.11标准中的一个漏洞。3.2.2 CRC32的缺陷WEP使用了40位的流密码RC4算法。RC4流密码是一种一次将1 BYTE明文变化为1 BYTE密文的对称密码,密文通过把明文与密钥流(伪随机序列)进行异或运算产生,解密时把相同
32、的密钥流与密文异或即可。由于流密码具有这样的特点,它对消息的完整性要求很高。为了保证通信信息的完整性,在WEP中的通信报文加入了完整性校验IC域,以保证数据包在传输过程中不被篡改。完整性校验和采用CRC-32校验和,作为通信报文的一部分,CRC-32校验和也要经过加密。但事实上,CRC-32校验和并不能胜任保证攻击方不对信息数据的修改。这是因为CRC-32校验和不是一种基于密码学的安全认证代码。CRC-32校验和作为一种完整性校验方式,主要设计用于检测信息数据中的随机错码。CRC-32校验和一般用于检查非恶意的突发性错误(如由于传输信道噪声而导致的错误),但它对于抵抗蓄谋恶意的攻击显然就显得软
33、弱无力。另外,CRC-32校验和作为信息数据的一部分和信息数据一起采用流密码进行加密,更加加剧了它自身的弱点。出现这种问题的主要原因是CRC-32的算法是线性的,这里所说的线性主要针对异或操作而言的,即CRC32(xy)=CRC32(x)CRC32(y)。利用这个性质,恶意的攻击者可篡改原文P的内容。就是说CRC-32校验和具有强烈的数据关联性,这一点与密码学要求的随机性相反。并且,CRC-32算法本身就十分简单,所以,恶意的攻击方完全可以做到在信息数据流中插入比特位后调整CRC-32校验和与其相符,使数据看起来没有发生变化,从而轻松地实施攻击。下面分析针对完整性校验缺陷的几种消息篡改攻击:1
34、、已知明文的消息篡改攻击若攻击者知道明文P,密文C,要想将内容篡改为S,作以下推导:RC4(IV,K) = CPS = TPT = SRC4(IV,K) = RC4(IV,K) = RC4(IV,K) = CC已知,P、S已知可求出T,CRC32(T)也就可求出。最后得到明文为S的加密好的消息。WEP中IV可以重用。2、未知明文的消息篡改攻击若攻击者不知道明文P,在篡改消息时,则需利用IV重复来构造。对于相同IV加密的消息P1、P2,在3.1节中推导得出:C1C2 = 设要想要将消息篡改为S,P1P2S = TP1P2T = SRC4(IV,K) = RC4(IV,K) = RC4(IV,K)
35、 = C1C2C1、C2已知,则P1、P2也就知道了,S已知,可求出T,CRC32(T),最后即得到明文为S的明文消息。在WEP攻击中,需要构造ARP数据包,即可用此方法,上面推导中的S即为明文的ARP数据包。3.2.3 802.2头信息IEEE中定义了这样一个协议,它可以运行在以太网和其它的802协议之上。该协议被称为LLC(Logical Link Control,数字链路控制),802.2。LLC构成了数据链路层的上半层,MAC子层在它的下边。图3-5 802.11体系结构 WEP在网络MAC层上采用RC4算法对节点间无线传输的数据实施加密以防止非法用户窃听或侵入无线网络,即从LLC子层
36、开始加密。RFC 1042定义了IP报文在802.2网络中的封装方法和ARP协议在802.2 SANP中的实现,其中指出,所有的IP数据包和ARP数据包第一个明文字节相同,为0xAA。由于WEP帧中数据负载的第一个字节是逻辑链路控制的802.2 头信息,这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测,利用猜的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到PRGA 生成的密钥流中的第一字节。这个已知的第一字节在WEP破解中具有相当重要的作用。3.3 WEP破解原理3.3.1 FMS攻击谈到WEP破解,就不能不说FMS攻击。这种攻击方式最初由Scott Fluhrer、Itsi
37、k Mantin和Adi Shamir在他们的论文Weaknesses in the Key Scheduling Algorithm of RC4中提出,因此这种攻击方式名为FMS攻击,即Fluhrer-Mantin-Shamir攻击。在第三章3.4节中,可以了解到802.11 Frame以SNAP标头为首,而SNAP的第1个字节为0xAA,于是只要将0xAA与加密后产生的第1个字节进行异或就能够得到密钥的第1个字节。继续深入,由于WEP采用RC4作为加密引擎,密钥中的各个字符对加密后的输出的影响大小不同,这种现象直接导致了弱IV(weak IV)的存在。弱IV与密钥的特定字节有着潜在的联系
38、,每个弱IV都会泄露密钥特定字节的信息。Fluhrer , I.Martin和A.Shamir已证明:利用已知的初始矢量IV 和第一个字节密钥流输出,并结合RC4 密钥方案的特点,攻击者通过计算就可以确定WEP密钥。下面说明FMS攻击的基本原理。记KSA 中Scrambling 循环进行i+1 次后排列S 的状态为Si (i=-1,0,1,N-1,S-1 表示Scrambling 循环之前排列S 的初始状态)。在WEP 中K0、K1、K2为已知的IV,攻击者希望得到的是秘密密钥K3、K4K7。下图所示的是经过KSA算法后的S盒状态。 1 X X+YXYZ上图所示的Z显然就是OUTPUT。一般情
39、况下, 这个OUTPUT的输出是完全随机的,但有一些特殊的IV会泄露密钥信息,通过捕获这些会泄露密钥的WEP包,再对其分析就可以获得密钥。现在考虑这样一种状态,在KSA算法中经过前i轮后,对以后所有轮,上图所示的三个值都不会再继续参加交换。称这样一种状态为“不变状态”。假定知道5字节用户的密钥中前A个字节(K3,KA+2,最初A = 0),为获得第A+1个密钥KA+3,分析其具有(A+3,0xFF,N)形式的IV,其中N为0x00到0xFF,即N任意。现在能观察KSA算法的前A+3轮。在第一轮中:j增加A+3,然后Si和Sj交换,此时S盒如下图所示,其中第一行表示序号,中间一行表示提供给KSA
40、算法的IV及密钥,下面一行表示此时S盒状态,还有两个下标标示此时的i,j位置。0 1 2 A+3A+3255NK3KA+3i0 j0A+3120接着第二轮,i 加1,这时j的增量算出来正好是0,这样Si和Sj交换后,得到如下的结构:0 1 2 A+3A+3255NK3KA+3 i1 j1A+3021由于已知N及K3,KA+2的值,这样就可以计算出前A+2轮后S盒的状态SA+2及jA+2,因此在第A+3轮时,j的增量是SA+2iA+3 + KA+3,然后交换Si和Sj,导致如下的结构:0 1 2 A+3A+3255NK3KA+3A+30SA+2jA+2SA+2jA+3现在经这第A+3轮后,满足条
41、件(1)(2),故得到“不变状态”,就可以根据相关公式算出KA+3。N的不同使得j值不同,这样经多个不同的N,就可以恢复KA+3。可见:这种破解方法是逐字节破获,即后一个字节密钥的破解必须依赖前面已知所有字节的密钥。假设n为满足上面要求的数据包的数量,当n = 20时,有75%左右的概率可以破获密钥,当n = 36时,有84%左右的概率可以破获密钥,而当n = 144时,有97.7%的概率可以破获密钥。因此,为破获一个字节的密钥最少需要20个样本,推荐36个样本,而如果有144个样本时,认为一定可以破获密钥。3.3.2 Korek攻击FMS Attack是最早的 Key Recovery At
42、tack, 该攻击只利用很少的一部分弱 IV 生成的密钥流。2004年,Korek Attack,用到了更多的弱IV, 而且在计算中不只用到了密钥流的第一个字节,还用到了第二个字节。他发现并总结了额外的16种RC4密钥前i个字节、中间生产的密钥流的前两个字节和下一个密钥Ki之间的关系。Korek给这些攻击命名为A_u15、A_s13等等。原始的FMS攻击在这里被称为A_s5_1。当S盒中有2-4个值在RC4 KSA算法第i+1轮后就保持不变时,中间生产的密钥流的前两个字节便会透露出ji+1的值。Korek就是用这种方法发现了上面的十几种关系的。由于Korek使用了更多的弱IV,并使用了密钥流中
43、的前两个字节,使得包的利用率大大提高了。实践证明,Korek Attack需要捕获的数据包为700000。3.3.3 PTW攻击以上两种方法效率比较低的原因是,即使搜集到了很多的数据包,在这其中能被FMS和Korek利用的其实只有很少一部分。但在攻击者只能被动监听客户端较少的网络的时候,推荐使用Korek Attack.PTW Attack可以利用搜集到的所有数据(当然这指被加密了的数据)。在该算法计算的时候,每一次 Key Vote 正确的概率要比 FMS,Korek Attack低,但是实验表明,总体效果PTW Attack的效果要比FMS和Korek好的多。在恢复密钥的第m字节Km时,PTW Attack的正确率与m无关,这与FMS, Korek Attack不同,他们在m增大的时候,正确率升高(假设在m前的那些字节已经计算出正确结果)。PTW Attack要利用到更多的密钥流字节 Z0,Z1,. 用多少不确定,这个使用的密钥长度等因素有关。 由于PTW Attack攻击使用了所有的数据包,对每个密钥位置可能出现的密钥字节使用了加权,大大减少了所需的数据包。PTW Attack所需要捕获的数据包为40000左右。3.3.4 加速WEP破解WEP破解经过上述几种攻击的演化,破解已经比较成熟,从上面几种破解方法可以看出,只要捕获到足够的WE