題 大多數愛好者真的有可能破解人們的Wi-Fi網絡嗎?


大多數熱心用戶(即使他們不是專業人士)可以使用眾所周知的技術來突破普通家庭路由器的安全性嗎?

一些基本的安全選項是:

  • 強大的網絡密碼和各種加密方法
  • 自定義路由器訪問密碼
  • WPS
  • 沒有SSID廣播
  • MAC地址過濾

是否有一些受到損害,以及如何使家庭網絡更安全?


156
2018-03-24 22:56


起源


使用合適的工具和足夠的時間可以做任何事情。 - joeqwerty
MAC過濾絕對沒有意義 - Ramhound
@Mondrianaire對於互聯網訪問,我的大學網絡需要註冊,之後會通過MAC地址識別您。欺騙我的一個宿舍鄰居的地址是微不足道的。如果我使用該連接做了任何不好的事情,那麼它就會被識別為她這樣做。我會說MAC地址過濾是容易造成虛假安全感的事情之一。 - Izkata
我說MAC過濾不是安全功能 - Ramhound
@Mondrianaire - 它確實引入了一個洞。如果有人將他們的MAC地址掩蓋為屬於這裡的地址,那麼不應該知道那些不應該在那裡的人已經在你的網絡上。如果您沒有過濾MAC地址,他們可能不會那麼麻煩。 - Compro01


答案:


沒有爭論語義,是的,聲明是真的。

WIFI加密有多種標準,包括WEP,WPA和WPA2。 WEP受到了損害,因此如果您使用它,即使使用強密碼也可以輕鬆破解。我認為WPA更難破解(但是你可能有與WPS有關的安全問題繞過這個),截至2017年10月,WPA2也提供了可疑的安全性。此外,即使是相當硬的密碼也可能是暴力強迫的 - Moxie Marlinspike--一個眾所周知的黑客 提供服務 使用雲計算以17美元的價格實現這一目標 - 儘管不能保證。

強大的路由器密碼無法阻止WIFI端的某人通過路由器傳輸數據,因此無關緊要。

隱藏的網絡是一個神話 - 雖然有一些框可以使網絡不出現在網站列表中,但客戶端會在WIFI路由器上發出信號,因此可以輕鬆檢測到它的存在。

MAC過濾是一個笑話,因為許多(大多數/全部?)WIFI設備可以被編程/重新編程以克隆現有的MAC地址並繞過MAC過濾。

網絡安全是一個很大的主題,而不是超級用戶問題的一部分,但基本的是安全性是按層建立的,這樣即使有些被破壞也不是全部 - 而且,只要有足夠的時間,資源就可以滲透任何系統和知識,所以安全實際上不是一個“可以被黑客攻擊”的問題,而是“需要多長時間才能破解”。 WPA和安全密碼可以防止“Joe Average”。

如果您想增強對WIFI網絡的保護,您可以僅將其視為傳輸層,並加密和過濾該層中的所有內容。這對於絕大多數人來說都是過度的,但是你可以做到這一點的一種方法是將路由器設置為只允許訪問你控制下的給定VPN服務器,並要求每個客戶端通過VPN在WIFI連接上進行身份驗證 - 因此,即使WIFI受到損害,也有其他[更難]的層面可以打敗。在大型企業環境中,此行為的一個子集並不罕見。

更好地保護家庭網絡的一個更簡單的替代方案是完全拋棄WIFI並且僅需要有線解決方案。如果你有像手機或平板電腦這樣的東西,這可能不實用。在這種情況下,您可以通過降低路由器的信號強度來降低風險(當然不會消除風險)。你也可以屏蔽你的家庭,以便頻率洩漏更少 - 我沒有這樣做,但強烈的謠言(研究)有甚至鋁網(如飛屏)穿過你的房子外面,良好的接地可以使一個巨大的與逃逸的信號量的差異。 [但是,當然,再見手機報導]

在保護方面,另一種選擇可能是讓您的路由器(如果它能夠做到,大多數不是,但我想像路由器運行openwrt,可能還有tomato / dd-wrt)可以記錄遍歷網絡的所有數據包並註意它 - 地獄,即使只是監視異常,進出各種接口的總字節數可以給你很好的保護。

在一天結束時,可能要問的問題是“我需要做些什麼來讓不值得隨意的黑客有時間穿透我的網絡”或“讓我的網絡受到損害的實際成本是多少”,然後去從那裡。沒有快速簡單的答案。

更新 - 2017年10月

大多數使用WPA2的客戶端 - 除非打補丁 - 可以使用明文暴露其流量 “密鑰重新安裝攻擊 - KRACK”   - 這是WPA2標準的一個弱點。值得注意的是,這不允許僅針對目標設備的流量訪問網絡或PSK。


146
2018-03-24 23:23



是的,任何人都可以將他們的MAC地址更改為白名單,但不是a)導致MAC地址的原始所有者立即出現明顯的問題,並且b)是不是通過默默無聞的一些相當模糊的安全性?計算機何時通過家庭網絡以明文方式廣播其MAC? - bright-star
電腦最常見的時間 自曝 它的MAC地址是它使用網絡連接時 - 並不是很少見。至於模糊不清 - 相對於問題的背景而言,它並不模糊,這是一個發燒友可以做的事情,可能包括有效的網絡搜索。 - Ram
@landroni - 不,不容易,但是如果密碼由串起來的常用詞組成,那麼它仍然在破解的範圍內。嘗試連接的機器不需要進行破解 - 相反,它可以收集所需的信息並將其發送到雲中,以獲得更多的功能,資源甚至彩虹表。一個隨機的20個字符的密碼將是相當防彈的。看一下 cloudcracker.com - davidgo
@clabacchio,因為現在你給用戶帶來了很大的不便? - Cruncher
@clabacchio完全關閉網絡也會讓它更“安全”。用戶會對此感到滿意嗎? - o0'.


正如其他人所說,SSID隱藏是微不足道的。事實上,即使沒有廣播其SSID,您的網絡也會默認顯示在Windows 8網絡列表中。網絡仍以任何一種方式通過信標幀廣播其存在;如果選中該選項,它只是不包括信標幀中的SSID。從現有網絡流量中獲取SSID是微不足道的。

MAC過濾也不是非常有用。它可能會簡單地減慢下載WEP破解的腳本小子,但它肯定不會阻止任何知道他們正在做什麼的人,因為他們只能欺騙合法的MAC地址。

就WEP而言,它完全被打破了。密碼的強度在這裡並不重要。如果你正在使用WEP,任何人都可以下載很快就會進入網絡的軟件,即使你有一個強大的密鑰。

WPA比WEP安全得多,但仍然被認為是破碎的。如果您的硬件支持WPA而不支持WPA2,那麼它總比沒有好,但是一個堅定的用戶可能會使用正確的工具破解它。

WPS(無線保護設置)是網絡安全的禍根。無論您使用何種網絡加密技術,都要禁用它。

WPA2 - 特別是使用AES的版本 - 非常安全。如果你有一個不錯的密碼,你的朋友不會在沒有獲得密碼的情況下進入你的WPA2安全網絡。現在,如果NSA試圖進入你的網絡,這是另一回事。然後你應該完全關閉你的無線。可能還有你的互聯網連接和你所有的電腦。如果有足夠的時間和資源,WPA2(以及其他任何東西)都可以被黑客攻擊,但它可能需要更多的時間和更多的功能,而不是普通的業餘愛好者可以隨意使用。

正如大衛所說,真正的問題不是“這可以被黑客攻擊嗎?”但是,相反,“具有特定功能的人需要多長時間來破解它?”顯然,該問題的答案在特定功能集方面有很大差異。他也絕對正確,安全應該分層進行。你關心的東西不應該首先加密你的網絡。因此,如果有人闖入您的無線網絡,那麼除了可能使用您的互聯網連接之外,他們不應該能夠進入任何有意義的事情。任何需要安全的通信仍然應該使用可能通過TLS或某些此類PKI方案設置的強加密算法(如AES)。確保您的電子郵件和任何其他敏感Web流量都已加密,並且您沒有在適當的身份驗證系統上運行計算機上的任何服務(如文件或打印機共享)。


2017年10月17日更新 - 此答案反映了最近發現影響WPA和WPA2的主要新漏洞之前的情況。該 密鑰重新安裝AttaCK(KRACK) 利用Wi-Fi握手協議中的漏洞。在沒有進入凌亂的加密細節(您可以在鏈接的網站上閱讀)的情況下,所有Wi-Fi網絡在被修補之前都應被視為已損壞,無論他們使用哪種特定的加密算法。

相關InfoSec.SE關於KRACK的問題:
WPA2 KRACK攻擊的後果
當我買不起VPN時,如何保護自己免受KRACK傷害? 


52
2018-03-25 02:22



很好的答案,特別是關於WPA2-AES的一點。我想補充一點,SSID用於加密WPA密鑰,所以如果你不想讓你的WPA密鑰彩虹表,最好把它切換到“NETGEAR”以外的東西。 - zigg
欺騙MAC地址有多難,因為你必須得到一個在白名單上的地址。我知道任何傳播的東西 能夠 手動拿起,但不是很多工作? - Seth
不,這非常容易。它是在每個幀的字母開頭處以純文本形式發送的,因此您所要做的就是在網絡上捕獲一個合法的數據包,以便在白名單上找到MAC。正如我在回答中所說,對於那些知道自己在做什麼的人來說,這是微不足道的。 - reirab


由於這個帖子上的其他答案都很好,我認為,對於那些要求具體答案的人(好吧......這是SuperUser,它不是?),這個問題可以很容易地翻譯為: “我應該知道什麼才能使我的WiFi網絡安全?”
在不否定(或確認)任何其他答案的情況下,這是我的簡短回答:

密碼學家Bruce Schenier的話可能值得許多用戶記住:

唯一真正的解決方案是拔掉電源線。

這通常可以應用於 無線網絡:我們經常需要它嗎?
很多路由器都有 WiFi按鈕 啟用/禁用無線,如 D-Link DSL-2640B 。
如果沒有,你可以隨時 自動化Web啟用/禁用 通過使用像工具的無線 iMacros的  (可作為Firefox的擴展或作為獨立程序提供)在Windows上以及Linux上的許多其他程序。

這裡有兩個技巧 WPA (請, 忘了WEP)密碼(a 好的WPA密碼 將使攻擊非常困難)創作(不要保留默認密碼):

  1. 使用 不存在和/或外來詞:SilbeasterStallonarius,Armorgeddon,HomecitusSapiensante(因為沒有簡單的字典可以用來找到它們)。
  2. 創建您自己易於記憶(至少為您)的句子,並通過獲取每個單詞的第一個字符來定義您的密碼。結果將是一個 難以裂紋 (最少8個字符) 容易記住 密碼包括 大寫和小寫字母數字 和其他一些 非字母 特點:
    “你有兩個兒子和三隻貓,你愛他們。” - >“Yh2sa3c,aylt。”

而且,為了上帝的緣故: 禁用WPS 馬上!完全是 有缺陷


14
2018-03-25 02:51



請, 忘了WPA和WPA2-TKIP。使用你的技巧 WPA2-AES。 - Darth Android
一個容易記住的wifi密碼有什麼意義?畢竟你很少連接設備。只需使用一個很長的隨機密碼 - 比如Lm,-TMzQ7cf \ 6.“owhAnpqC *。 - Hans-Peter Störr
如果您有一組很少更改的靜態設備,請單擊確定。一個人有朋友需要啟用的小工具,隨機密碼在這裡有問題。 (可能有其他解決方案,如訪客網絡,但仍然允許訪問想要使用您的資源的非訪客客人) - davidgo
@hstoerr,根據我作為最終用戶和企業顧問的經驗,我(幾乎)總是發現複雜的密碼令人煩惱並最終丟棄。您需要妥協的解決方案。 - Sopalajo de Arrierez
你是對的,@ IQAndreas:它更難忘,更難破解。但不容易打字。而且,在我使用HashCat的測試中,只是為了最短的模式 Yh2sa3c,aylt.,它將持續超過10年的暴力破壞時間(即使使用你今天能買得起的最快的個人電腦之一)。 - Sopalajo de Arrierez


您提及的所有內容(除了網絡密碼)都不會影響Wi-Fi網絡的黑客攻擊。因為MAC地址過濾器和隱藏的SSID在安全性方面沒有任何幫助。

真正重要的是網絡上使用的加密類型。像WEP這樣的舊網絡加密很容易破解,因為有足夠的流量可以解碼它們,你可以強迫它們生成你需要的流量。

然而,像WPA2這樣的新產品更加安全。現在,沒有任何東西對所有對手都是“安全的”,但這通常足以用於家庭Wi-Fi。

這是一個很大的話題,這只涉及冰山一角,但希望它有所幫助。


7
2018-03-24 23:05





WEP和WPA1 / 2(啟用WPS)可以被輕易攻擊;前者使用捕獲的IV和後者使用WPS PIN暴力(僅3,000個可能的組合,來自3個部分的引腳; 4個數字[10,000個可能] + 3個數字[1,000個可能] + 1個數字校驗和[從其餘部分計算]) 。

WPA1 / 2使用強密碼更難,但使用GPU破解和暴力技術可以破壞一些較弱的密碼。

我個人在我的工作網絡上破解了WEP和WPS(經過許可,我向我的雇主展示了漏洞),但我還沒有成功破解WPA。


6
2018-03-26 01:03





這是一個很好的問題,也是非常安全的無線指南 應該 眾所周知。配置您的路由器/網關/ AP,以便:

  • 無線安全性僅限WPA2
  • 加密僅限AES
  • 使用包含多個單詞的預共享密鑰(例如IloveSuperUser)
  • 禁用WPS
  • 禁用遠程管理

而已!出於所有實際目的,您現在可以完全安全無線。


5
2018-03-26 21:26



@Jason立刻提出一個問題;你對空間有什麼看法? - deworde
@ryyker我是出於實際目的而說的。 - Jason
@deworde我沒有,但一些便宜的路由器和連接管理器。 - Jason


結束了 思科學習網絡 論壇上,一個線程啟動者問道:

WPA / TKIP可以被破解嗎? 我賓館的某個人用盡了80個數據,或者有人通過破解密碼並使用它。我懷疑有人在賓館,因為我發現很難相信WPA / TKIP可以被破解,即使它可以破解也不容易。如果破解WPA / TKIP有多難?無論如何我想更改密碼,我可以使用 - 和_和?字符?

一個名叫“扎克”的明顯非常聰明的傢伙 這個帖子 哪個線程啟動器,這裡(以及其他人,這裡,如果他們感興趣),應該閱讀。

特別是,閱讀他發布的大約三分之二的文章,在那裡他以“解決方案:”開頭。

我正在使用我的網關“WPA-PSK(TKIP)/ WPA2-PSK(AES)“設置。與扎克的帖子一致......

將路由器的名稱更改為唯一的名稱。您的ESSID被您的wlan請求者用作PMK上的加密鹽。改變這種情況將消除預計算攻擊。

......我早就使用了自己獨特的ESSID。另外,與他的...保持一致

創建一個唯一的密碼,包含唯一的字符,數字,大寫字母。多個單詞和小寫字母。這比長度更重要。 增加密碼長度只會增加密碼強度,但不一定要猥褻   長。力量在於 潛力的變化 如果沒有超級計算機,這將消除字典攻擊並使暴力無法實現。

...我的是25個字符,由字母,數字,大小寫和特殊字符組成。它的任何部分都沒有任何意義。

我做了其他幾件事,扎克做了,也沒有在那裡列舉;但除了以上,還說了其他的事情,至少他在這裡所寫的精神......

啟用詳細日誌記錄,如果可能,請將其轉發到您的電

...我很久以前編寫了一些腳本代碼,可以在Windows啟動時自動啟動,只需在系統托盤中運行;哪些代碼會在一天中定期進行硬刷新,然後解析我網關中列出所有連接設備的網頁;然後它告訴我在我的台式機替換筆記本電腦上的兩個彈出式三聲嗶聲 - 通過主板揚聲器(不是常規音頻揚聲器,以防它們是靜音或其他東西)屏幕,也可以通過文字到我的手機上(如果有任何新的東西出現,可能是我腰帶上的一個小袋,或者至少距我不超過5英尺,24/7/365)。

對於那些沒有這種技能的人來說,有幾個“誰在我的WI-FI”類型的應用程序,其中一些是免費的。一個好的和簡單的是[這個badboy] [3]。只需使用Windows自動啟動它,讓它坐在系統托盤中,並告訴它“在新設備上發出嗶嗶聲”,你會得到類似於我的腳本的內容(除了它不會發短信給你)。但是,使用[簡單的腳本工具] [5],當LAN上的新設備使應用程序發出蜂鳴聲時,您可以將短信或電子郵件發送到手機。

希望有所幫助。


3
2018-03-29 20:53



你的答案的最後一段似乎缺少兩個鏈接。 - Twisty Impersonator


任何安全性分析的另一個考慮因素是需要保護的資產,以及這些資產對所有者和潛在攻擊者的價值。我猜你的銀行登錄,信用卡號和其他登錄憑證可能是通過家庭網絡傳遞的最有價值的信息,其中大部分信息應該通過https連接進行TLS / SSL加密。所以看起來如果你在wifi路由器上使用WPA2密鑰,並確保你的瀏覽器盡可能使用https(使用像eff的https這樣的工具),你就相當安全了。 (潛在的攻擊者必須解決破解你的WPA2密鑰的問題 也許 獲取一個不會超過https的密碼或您正在瀏覽的http頁面。)


2
2018-03-28 17:22





我不同意davidgo的回答。雖然它經過深入研究並且我同意他的大部分信息,但我認為這有點悲觀。

其他答案中已經涵蓋了WPA2中的漏洞。然而,這些都不可避免。

特別值得注意的是,davidgo提到的暴力攻擊是對MS-CHAPv2弱點的攻擊。參見引用作者的參考文獻[ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v​​2/ ]。如果未使用Ms-CHAP,則無法利用此弱點。 (根據作者的評論刪除 - 錯誤的參考)

使用正確的密碼短語,SSID並避免技術受損,我認為沒有理由認為使用AES256的WPA2安全網絡目前不安全。對這種網絡的暴力攻擊是不可行的,甚至Moxy Marlinspike也暗示了這一點。

但是,我同意davidgo的回應是大多數用戶沒有做出這些努力。我知道我自己的家庭網絡可以被利用,即使我知道如何解決它,也不值得我花時間和精力。


2
2018-03-29 21:54



MS-CHAP是不同的(它在PPTP上使用,即VPN連接而不是無線連接,除非您通過Wifi運行PPTP,這在很大程度上是毫無意義的。已知MS-CHAP完全被破壞)。我用Cloudcracker所指的是其他東西。您準備並發送網絡流量樣本,該服務試圖強制它。除此之外,它試圖破解WPA和WPA2密碼。鏈接是 cloudcracker.com (之後沒有)。我同意,憑藉強大的密碼,WPA2可能對暴力行為不切實際。 - davidgo