大多数发烧友真的有可能破解人们的Wi-Fi网络吗?


157

大多数热情的用户(即使他们不是专业人士)是否可以使用众所周知的技术来突破普通家用路由器的安全性?

一些基本的安全选项是:

  • 具有多种加密方法的强大网络密码
  • 自定义路由器访问密码
  • WPS
  • 没有SSID广播
  • MAC地址过滤

这些措施是否受到损害?如何使家庭网络更安全?


26
使用正确的工具和足够的时间,一切皆有可能。
joeqwerty 2014年

61
MAC过滤绝对没有意义
Ramhound 2014年

12
@Mondrianaire要访问Internet,我的大学网络需要注册,稍后会通过MAC地址识别您的身份。欺骗我一个宿舍邻居的地址真是微不足道。如果我使用该连接做了任何不好的事情,那将被确定为她这样做。我想说MAC地址过滤是很容易造成错误的安全感的事情之一。
2014年

8
我说的是MAC过滤不是安全功能
Ramhound14年

10
@Mondrianaire-它确实引入了一个洞。如果某人将其MAC地址掩盖为属于此处的地址,那么不应该有人出现在您的网络中就少了一个线索。如果您不过滤MAC地址,则它们可能不会这样做。
2014年

Answers:


147

无需争论语义,是的,陈述是正确的。

WIFI加密有多种标准,包括WEP,WPA和WPA2。WEP受到了威胁,因此,即使您使用强密码,也可能会轻易破坏它。我认为,虽然WPA很难破解(但是您可能会遇到与WPS相关的安全性问题,而绕过此问题),并且自2017年10月起,WPA2还提供了可疑的安全性。而且,即使是相当硬的密码也可以被强行使用-Moxie Marlinspike-一个著名的黑客提供了一项使用云计算的服务,价格为17美元-尽管不能保证。

强大的路由器密码无法阻止WIFI端的某人通过路由器传输数据,因此这是无关紧要的。

隐藏的网络是一个神话-尽管有一些框使网络不出现在站点列表中,但客户端信标WIFI路由器,因此可以轻而易举地检测到它的存在。

MAC过滤很容易,因为可以对许多(大多数/全部?)WIFI设备进行编程/重新编程,以克隆现有的MAC地址并绕过MAC过滤。

网络安全是一个大主题,不是超级用户问题所能解决的问题,但基本原理是安全性是分层构建的,因此即使某些安全隐患也并非全部被破坏,而且,只要有足够的时间和资源,任何系统都可以被渗透。和知识,因此安全性实际上不是“可以被黑客入侵”的问题,而是“需要多长时间”进行黑客攻击。WPA和安全密码可防止“ Joe Average”。

如果您想增强对WIFI网络的保护,则可以将其仅视为传输层,并对经过该层的所有内容进行加密和过滤。对于绝大多数人来说,这太过分了,但是您可以采用的一种方法是将路由器设置为仅允许访问您控制下的给定VPN服务器,并要求每个客户端通过VPN上的WIFI连接进行身份验证-因此,即使WIFI受到威胁,也要击败其他[更难]的层。这种行为的一部分在大型公司环境中并不罕见。

更好地保护家庭网络的一种更简单的选择是完全放弃WIFI,仅需要有线解决方案。如果您拥有手机或平板电脑之类的东西,则可能不切实际。在这种情况下,您可以通过降低路由器的信号强度来减轻风险(一定不能消除风险)。您还可以屏蔽房屋,以减少频率泄漏-我还没有做到,但有谣言(经研究)表明,即使房屋外部的铝网(如防蝇网)也能良好接地逃逸的信号量的差异。[但是,当然,再见的手机报道]

在保护方面,另一种选择可能是让您的路由器(如果能够做到,大多数则不能,但是我想运行openwrt的路由器,也许tomato / dd-wrt可以)记录通过网络的所有数据包并密切注意-地狱,即使只是监视各种接口进出总字节的异常情况,也可以为您提供良好的保护。

归根结底,也许要问的问题是:“我需要做些什么,才能使他们不值得随意的黑客时间来渗透我的网络”或“让我的网络受到破坏的真正成本是多少?”从那里。没有快速简便的答案。

更新-2017年10月

大多数使用WPA2的客户端(除非进行了修补)都可以使用“密钥重新安装攻击-KRACK”以明文形式公开其流量, 这是WPA2标准的一个弱点。值得注意的是,这不会仅允许目标设备的流量访问网络或PSK。


2
是的,任何人都可以将其MAC地址更改为列入白名单的地址,但这不是a)对MAC地址的原始所有者立即造成明显的问题,并且b)默默无闻的安全性还不是很模糊吗?一台计算机什么时候可以通过家庭网络以明文广播其MAC?
明亮的星星

3
计算机公开其MAC地址的最常见时间是使用网络连接时-并非罕见。至于模糊的问题,相对于问题的上下文而言,这并不是模糊的,发烧友可以做什么,大概可以有效地进行网络搜索。
拉姆

2
@landroni-不,不容易,但是,如果密码是由普通单词串在一起构成的,那么它仍然很容易破解。无需通过尝试连接的机器来完成破解-而是它可以收集所需的信息并将其发送到云中,以使用更多的功能,资源甚至是彩虹表进行破解。不过,随机的20个字符的密码将非常安全。看看cloudcracker.com
大卫2014年

2
@clabacchio,因为现在您给用户带来了极大的不便?
Cruncher 2014年

1
@clabacchio完全关闭网络也将使其更加“安全”。用户会对此感到满意吗?
o0'。

52

就像其他人所说的,SSID隐藏是很简单的。实际上,即使您的网络没有广播其SSID,它也会默认显示在Windows 8网络列表中。网络仍然通过信标帧广播其存在。如果选中该选项,它只是在信标帧中不包括SSID。从现有的网络流量中获取SSID很简单。

MAC过滤也不是非常有用。这可能会暂时降低下载WEP破解程序的脚本小子的速度,但绝对不会阻止任何知道自己在做什么的人,因为他们可以欺骗合法的MAC地址。

就WEP而言,它已被完全破坏。您的密码强度在这里无关紧要。如果您使用的是WEP,则即使您拥有强大的密码,任何人都可以下载将很快打入您网络的软件。

WPA比WEP安全得多,但仍然被认为是无效的。如果您的硬件支持WPA但不支持WPA2,那总比没有好,但是坚定的用户可能可以使用正确的工具来破解它。

WPS(无线保护设置)是网络安全的祸根。无论您使用哪种网络加密技术,都请禁用它。

WPA2-尤其是使用AES的版本-非常安全。如果您有一个不错的密码,那么您的朋友在没有获得密码的情况下不会进入您的WPA2安全网络。现在,如果NSA试图进入您的网络,那是另一回事。然后,您应该完全关闭无线设备。可能还有您的Internet连接和所有计算机。如果有足够的时间和资源,WPA2(以及其他任何东西)可能会被黑客入侵,但与您的普通业余爱好者相比,它可能需要更多的时间和更多的功能。

正如David所说,真正的问题不是'这可以被黑客入侵吗?' 但是,相反,“拥有一套特定功能的人需要多长时间才能破解它?” 显然,该问题的答案在特定的功能集方面有很大的不同。他也绝对正确地认为安全性应该分层进行。您关心的东西不应该先加密就不能通过网络。因此,如果有人确实闯入了您的无线网络,那么他们可能除了使用您的Internet连接之外,还无法进入其他有意义的事物。任何需要确保安全的通信仍应使用可能通过TLS或某些此类PKI方案设置的强大加密算法(例如AES)。确保您的电子邮件和其他任何敏感的网络流量都已加密,并且您没有


更新2017年10月17日-此答案反映了最近发现一个同时影响WPA和WPA2的重大新漏洞之前的情况。所述密钥重新安装攻击(KRACK)发生在用于Wi-Fi的握手协议中的漏洞的优势。无需深入研究混乱的密码学细节(您可以在链接的网站上了解),在修补所有Wi-Fi网络之前,无论它们使用哪种特定的加密算法,都应将其视为已损坏。

有关KRACK的相关InfoSec.SE问题:
WPA2 KRACK攻击的
后果当我买不起VPN时,如何保护自己免受KRACK的侵害?


11
好的答案,尤其是有关WPA2-AES的知识。我要补充一点,SSID用于给WPA密钥加盐,因此,如果您不希望WPA密钥呈彩虹状,最好将其切换为“ NETGEAR”以外的其他名称。
Zigg 2014年

欺骗MAC地址有多难,因为您必须获得一个列入白名单的地址。我知道所传输的任何内容可以手动提取,但这不是很多工作吗?
赛斯2014年

不,这非常容易。它实际上是在每个帧的开头以纯文本形式发送的,因此您要做的就是捕获网络上的一个合法数据包,以便在白名单上找到MAC。正如我在回答中所说的那样,对于任何知道自己在做什么的人来说,这都是微不足道的。
reirab 2014年

14

由于此线程上的其他答案都不错,我认为,对于那些要求具体答案的人(嗯……这是SuperUser,不是吗?),问题可以轻松地翻译为:“我应该知道些什么才能使我的WiFi网络安全吗?”
在不排除(也不确认)任何其他答案的情况下,这是我的简短答案:

密码学家Bruce Schenier的话对于许多用户来说可能是值得记住的建议:

唯一真正的解决方案是拔下电源线。

这通常可以应用于无线网络:我们是否一直需要它工作?
许多路由器都有一个WiFi按钮来启用/禁用无线功能,例如D-Link DSL-2640B
如果不是这样,您始终可以使用 Windows上的iMacros(可作为Firefox的扩展或独立程序)和Windows上的许多其他工具,自动执行Web启用/禁用无线的功能。

这是创建WPA(请忘记WEP)密码(创建一个不错的WPA密码会使攻击非常困难)的两个技巧(不要保留默认密码):

  1. 使用不存在和/或外来的单词:SilbeasterStallonarius,Armorgeddon,HomecitusSapiensante(因为无法使用简单的词典来找到它们)。
  2. 创建您自己的易于记忆(至少对您而言)的句子,并通过采用每个单词的第一个字符来定义密码。结果将是一个难以破解的密码(最少8个字符),但易于记住的密码,包括大写和小写字母数字和其他一些非字母的字符:
    “您有两个儿子和三只猫,并且喜欢它们。 ” ->“ Yh2sa3c,aylt。”

而且,为了上帝的缘故:立即停用WPS!这是完全有缺陷的


12
忘记WPA和WPA2-TKIP。在WPA2-AES上使用技巧。
Darth Android

2
容易记住的wifi密码有什么意义?毕竟,您很少连接设备。只要使用了好长的随机密码-像LM,-TMzQ7cf \ 6“owhAnpqC *。
汉斯-彼得·斯托

2
如果您拥有很少更改的静态设备集,请确定。某人中有需要启用的小工具的朋友,这里随机密码是有问题的。(可能有其他解决方案,例如访客网络,但仍将允许想要使用您资源的非访客访客访问)
davidgo 2014年

3
@hstoerr,以我作为最终用户和企业顾问的经验,我(几乎)总是发现复杂的密码很烦人,最终被丢弃了。您需要一个折衷的解决方案。
Sopalajo de Arrierez 2014年

2
您说得对,@ IQAndreas:它更令人难忘,更难破解。但是键入起来并不容易。而且,在我使用HashCat进行的测试中,仅在最短的模式下Yh2sa3c,aylt.,暴力破解的估计时间将超过10年(即使使用您今天买得起的最快的个人计算机之一)。
Sopalajo de Arrierez,2014年

7

您提到的所有内容(除了网络密码外)都不会真正影响Wi-Fi网络的入侵。由于存在MAC地址过滤器和隐藏的SSID,因此在安全性方面并没有真正帮助。

真正重要的是网络上使用的加密类型。像WEP这样的较早的网络加密很容易被破解,因为有了足够的流量,您就可以解码它们,并且可以强制它们生成所需的流量。

但是,像WPA2这样的较新的安全性更高。现在,没有什么可以对所有对手“安全”,但这对于家庭Wi-Fi通常就足够了。

这是一个很大的话题,仅涉及冰山一角,但希望能有所帮助。


6

WEP和WPA1 / 2(启用WPS)可以被微不足道地入侵;前者使用捕获的IV,后者使用WPS PIN暴力破解(仅3个部分使用11,000种可能的组合; 4位数字[10,000种可能] + 3位数字[1,000种可能] + 1位校验和[由其余部分计算]) 。

WPA1 / 2具有强密码,因此更坚强,但是使用GPU破解和蛮力技术可以破坏一些较弱的应用。

我已经在我的工作网络上亲自破解了WEP和WPS(经允许,我正在向雇主演示这些漏洞),但是我尚未成功破解WPA。


5

这是一个很大的问题,拥有非常安全的无线网络的准则应该是众所周知的。配置路由器/网关/ AP,以便:

  • 无线安全性仅适用于WPA2
  • 加密仅限AES
  • 使用包含多个单词的预共享密钥(例如IloveSuperUser)
  • 禁用WPS
  • 禁用远程管理

而已!出于所有实际目的,您现在拥有了完全安全的无线网络。


1
@Jason立即有一个问题;你对空间有什么?
deworde 2014年

1
我说的@ryyker是出于实际目的。
杰森

1
@deworde我没有,但是一些便宜的路由器和连接管理器可以。
杰森

3

思科学习网络论坛上,一个线程启动器询问:

WPA / TKIP可以破解吗?我旅馆的某个人用完了80份数据,或者附近有人破解了密码并使用了它。我怀疑旅馆里有人,因为我很难相信WPA / TKIP会被破解,即使可以破解也很难。破解WPA / TKIP到底有多困难?我仍然想为他们更改密码,我可以使用-和_和吗?角色?

一个显然很聪明的人,名为“ Zach”,发表了这篇帖子,线程启动器在这里(以及其他人,如果他们有兴趣的话)也应该阅读。

特别要注意的是,从他发表的文章的大约三分之二的内容开始,以“解决方案:”开头。

我正在使用网关的“ WPA-PSK(TKIP)/ WPA2-PSK(AES) ”设置。为了配合Zach的发布...

将路由器的名称更改为唯一的名称。您的WLAN请求方会将您的ESSID用作PMK上的加密盐。更改此设置将消除预计算攻击。

...我长期以来一直使用自己的唯一ESSID。此外,为了配合他的...

制作一个包含唯一字符,数字和大写字母的唯一密码。多个单词和小写字母。这比长度更重要。增加密码的长度只会增加密码的强度,而不必太长。力量在于潜力的变化这将消除字典攻击,并在没有超级计算机的情况下使暴力破解成为不可能。

... mine是25个字符,由字母,数字,大小写和特殊字符组成。它的任何部分都不会拼写任何东西。

我还要做Zach所做的和未列举的其他几件事;但是除了以上所说的,还有其他的话,至少本着他在这里写的精神...

启用详细日志记录,并在可能的情况下将其转发到您的电子邮件。

...我很早以前写了一些脚本代码,这些代码可以在Windows启动时自动启动,并且仅在系统托盘中运行;全天定期刷新哪些代码,然后解析我的网关中的网页,其中列出了所有已连接的设备;然后它告诉我,这两个声音是在台式机和笔记本电脑上弹出的,通过主板扬声器发出三声哔哔声(不是普通的音频扬声器,以防万一它们被静音或其他)。屏幕,以及通过短信发送到我的手机(位于我皮带上的一个小袋中,或者离我至少不超过5英尺,24/7/365),如果有任何新的情况出现。

对于那些没有这种技能的人,那里有几个“谁在我的WI-FI上”类型的应用程序,其中一些是免费的。一个好简单的人是[这个坏男孩] [3]。只需使用Windows自动启动它,将其放在系统托盘中,并告诉它“在新设备上蜂拥而至”,您将获得与我的脚本相似的内容(除了它将不会向您发送短信)。但是,使用[简单的脚本工具] [5],当LAN上的新设备使应用程序发出哔哔声时,您可以使SMS或电子邮件发送到您的手机。

希望能有所帮助。


您的答案的最后一段似乎缺少两个链接。
Twisty模仿者,

2

任何安全分析的另一个考虑因素是需要保护的资产,以及这些资产对所有者和潜在攻击者的价值。我猜想您的银行登录信息,信用卡号和其他登录凭据可能是通过家庭网络传输的最有价值的信息,并且大多数信息应通过https连接进行TLS / SSL加密处理。因此,如果您在wifi路由器上使用WPA2密钥,并确保您的浏览器尽可能使用https(在各处都使用eff's https等工具),那似乎很安全。(潜在的攻击者将不得不破解WPA2密钥,以获取可能无法通过https或浏览的http页面访问的密码。)


2

令人怀疑

我不同意大卫的回答。尽管对此进行了充分的研究,并且我同意他的大部分信息,但我认为这有些悲观。

其他答案已经涵盖了WPA2中的漏洞。但是,这些都不是不可避免的。

特别要注意的是,davidgo提到的蛮力攻击是对MS-CHAPv2弱点的攻击。请参阅引用的作者参考[ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v​​2/ ]。如果不使用Ms-CHAP,则无法利用此弱点。 (根据作者的评论删除-错误的参考)

使用正确的密码,SSID并避免技术受到损害,我认为目前没有理由无法证明使用AES256的WPA2安全网络不安全。对这样的网络进行暴力攻击是不可行的,甚至Moxy Marlinspike也提出了这一建议。

但是,我同意davidgo的回答的是,大多数用户没有做出这些努力。我知道可以利用我自己的家庭网络,即使我知道如何修复它,但这也不值得我花费时间和精力。


MS-CHAP有所不同(它在PPTP上使用,即VPN连接而不是无线连接,除非您在Wifi上运行PPTP,这毫无意义。众所周知,MS-CHAP已完全损坏)。我用Cloudcracker指的是另外一回事。您准备并发送了一个网络流量示例,该服务尝试对其进行暴力破解。除其他外,它尝试破解WPA和WPA2密码。链接是cloudcracker.com(之后没有其他内容)。我同意使用强密码,WPA2对于暴力破解可能不切实际。
davidgo,2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.