802.11i标准使用什么加密算法进行数据加密

一种数据加密算法，用于提供等同于有线局域网的保护能力。它的安全技术源自于名为RC4的rsa数据加密技术，是无线局域网WLAN的必要的安全防护层。目前常见的是64位wep加密和128位wep加密。　　wpa(WiFiProtectedAccess

，WiFi网络安全存取)。wpa协议是一种保护无线网络(WiFi)安全的系统，它是在前一代有线等效加密(wep)的基础上产生的，解决了前任wep的缺陷问题，它使用tkip(临时密钥完整性)协议，是ieee

80211i标准中的过渡方案

。其中wpa-PSK主要面向个人用户。

　　wpa2，即wpa加密的升级版。它是WiFi联盟验证过的ieee 80211i标准的认证形式，wpa2实现了80211i的强制性元素，特别是Michael算法被公认彻底安全的ccmp(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被aes(高级加密)所取代。

　　wpa-PSK+wpa2-PSK。从字面便可以看出，很明显，最后一种是两种加密算法的组合，可以说是强强联手。wpa-PSK 也叫做 wpa-Personal(wpa个人)。wpa-PSK使用tkip加密方法把无线设备和接入点联系起来wpa2-PSK使用aes加密方法把无线设备和接入点联系起来。

　　1、聊胜于无的wep

　　wep作为一种老式的加密手段，它的特点是使用一个静态的密钥来加密所有的通信

，这就意味着，网管人员如果想更新密钥，必须亲自访问每台主机，并且其所采用的RC4的rsa数据加密技术具有可预测性，对于入侵者来说很容易截取和破解加密密钥，使用户的安全防护形同虚设，因此如非迫不得已，不建议选择此种安全模式。

　　2、升级后的WPA

　　继WEP之后，人们将期望转向了其升级后的WPA，与之前WEP的静态密钥不同，WPA需要不断的转换密钥。WPA采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。它作为WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。

　　3、追求，永无止境：WPA2

　　WPA2是WiFi联盟验证过的ieee 80211i标准的认证形式，WPA2实现了80211i的强制性元素，特别是Michael算法被公认彻底安全的ccmp(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。

　　目前WPA2加密方式的安全防护能力非常出色，只要用户的无线网络设备均能够支持WPA2加密，那么恭喜你，你的无线网络处于一个非常安全的境地。

在公共网络设施上使用 Tunneling、加密、解密等技术实现私有网络的连接，各个私有连接在公共网络上与其它的私有网络之间相互不可见，这就是 ***。

也就是说只要满足这样条件的网络我们都将其称之为 *** 虚拟私有网络：

使用共享的公共环境，也就通过公网服务实现各个私有网络的连接；

不同的私有网络间相互不可见的。

***（Virtual Private Network），虚拟的私有网络，所谓的虚拟表示的这是一个逻辑上的专用线路来连接远在各个不同地方的私有网络，这里的私有网络便是对外所不公开的、自己使用的局域网。

使用 *** 是因为随着公司业务的扩展在距离很远的地方有不同的分布，但是又需要使他们能够访问私有的数据、资源等等，通过公网访问太不安全，通过专线访问成本太高，所以有了 ***。可以使用低廉的公网价格享受类似于专线的服务，并且数据经过加密非常的安全。

像我们上节实验所提到的 Frame Relay 帧中继技术所提供的 PVC 永久的虚拟电路与 *** 是有差异的，同时 *** 与 Frame Relay 的性能上还是有很大的差距，我们可以通过 这样一篇文章 来看看他们之间的对比。

相对于帧中继来说 *** 更加的安全、灵活。

在接触到一个新的事物时我们首先会关心：

这个东西是什么？

这个东西用于何处？

这个东西怎么用？

上文我们便了解到 *** 是虚拟专用网络，表示一套逻辑上建立在公网上的私有网络。而在 *** 的发展中属　IPSec ***（IP Security） 使用的最为广泛，主要在于其有这样的一些特点：

私有性：IPSec 在传输数据包之前，将数据包加密，这样保证了三层及以上层次的数据得到了保护，不易被人窃取私密信息；

完整性：IPSec 在目的地要验证数据包，以此来保证数据包在传输过程中没有被修改。例如提供了 Hash 算法（单向散列算法）中 MD5、SHA1 等等，通过该算法加工后的数据会生成世界上唯一的字符串，即使内容做了一点点的修改，修改一个字节，一个字符，一个比特位重新加工出来的字符串都会与之前的不同；

防重发：通过序列号实现放置数据包被捕捉与重复数据包；

身份验证：用于判断数据是否源于正确的创建者。

这个被广泛使用、不断发展的协议适合应用于这样的一些场景：

Site-to-Site：顾名思义站点到站点间做的配置，例如成都总公司与广州子公司之间的出口路由上配置，这两个出口都是固定长期不会变化的。

End-to-End：顾名思义便是端到端之间的应用，例如我家中的 PC 上有一些私密的数据，此时我出差在外需要访问这些私密的数据，这样 PC 与 PC 之间的连接便是端到端之间的连接。

End-to-Site：顾名思义便是端到站点之间连接的应用，例如我出差在广州，此时我需要访问成都总公司服务器中的数据，该服务器放置在公司的局域网内部，此时我需要访问内网中的数据便将我的终端 PC 与内网的出口路由做链接，这样我便能访问内网中的所有资源了。

IPSec 的使用只需要在两端出口的路由上做简单的配置即可使用。并且配置好后不会有太繁重的维护任务，长期使用。

IPSec 的功能如此的强大能够为我们提供加密、认证等等的一些列功能，这显然不是一个协议所能办到的事情，所以 IPSec（Internet Protocol Security）是一个协议组或者说是协议簇，IPSec 就是这一套协议组合的名字。这个组合专门用于 IP 数据通信的安全方面，其中大致包含这样一些主要的协议：

AH（Authentication Header）：网络认证头部协议，主要用于数据源验证、数据完整性校验和防报文重放功能。

ESP（Encapsulating Security Payload）：封装安全有效负荷，同样是一个安全协议，与 AH 类似，但是除了 AH 拥有的功能之外还有数据包的加密功能，在 IPSec 中可以使用 AH 或者 ESP 或者两者一起使用。

IKE（Internet Key Exchange）：密钥管理协议，在加密过程会涉及的共享密钥，公钥，私钥等等，所以需要一个专门管理的协议。

ISAKMP(Internet Security Association and Key Management Protocol)：网络安全联盟的密钥管理协议，这是 IKE 协议中的一部分，AH 与 ESP 的使用时都需要该协议的支持

这就是 IPSec，虽然还是模模糊糊，但是至少知道我们知道了它是什么，用于哪里的。

IPSec 的整个使用过程从原始数据到加密到路由之间的发送筛选等等一系列的过程十分的复杂，此处只是简单的说明一下其运行中的过程：

IP 数据包到达了安全路由器上，路由去会根据此数据包的源 IP 地址、端口号等等的信息与设置好的 ACL 对比（ACL，Access Control List，称之为访问控制列表，就像一个安全名单一样，这样信息与该名单上的信息匹配就会做一些特殊的处理）；

若是在 ACL 中安全通过了，便查看路由器中的路由表，有没有相关的目的 IP 地址信息，若是有便根据路由表的指示将其发送至本机的目的端口中去；

在端口上再次匹配 ACL，若是符合条件没有问题，便交给 IPSec 来处理；

IPSec 处理的第一步便是检查 SA 的模式

检查是 Tunel 模式

检查是 Transport 模式（因为两种模式的　IP　数据包头处理方式不同）

IPSec 处理数据，使用 AH 或者 ESP 的方式，亦或者两者同时使用，各种封装的方式。

若是使用 ESP 的方式将加上新的 IP Header，若是使用的 AH 则加上的数据包头与原理的相同。

这边是整个发送数据包的大致过程，两种封装模式的不同导致添加的数据包头就不同，我们可以看 这样一篇文章 来了解之间具体有什么不同。

再多的理论只是也不是太明白，直接 *** 作一番便知道 IPSec 是如何实现安全通信，已经远程两个局域网络的连接。

实验目的：配置实现 IPSec ***

实验材料：四台路由器

实验方法：

拖动四台路由器（两台用作 PC 的充当，两台用作出口路由的充当）

配置路由器名字与连接线路

配置路由器的端口地址

配置 IPSec

验证 IPSec

1按照惯例，利用我们的终端打开 GNS3，然后拖出四台路由器，做出这样的拓扑:

2按照拓扑图上的要求配置各个端口的 IP 地址。（每个连接线上的是该连接的网段，端口旁的 1 是主机号）

由此我们便配置好了各个端口的 IP 地址，我们可以用两台 PC 去 ping 各自的网关以及直连路由上端口的 IP 地址，例如 PC1：

同时可以使用 PC2、Router1、Router2 测试。

如此我们便完成了第二个步骤。

3配置 RIP 动态路由

在配置 *** 之前我们首先得保证整个网络都是通的，也就是说若是我本地的机器都不能上网这还说个啥的 ***，数据加密呀。

配置好动态路由之后我们发现此时的网络环境已经是全网通的状态了。例如 PC1：

4此时的网络处于全网通的状态，我们便可以开始配置 IPSec *** 了。

上文我们提到过 IPSec 是一个协议组合，里面有很多的协议组成的，有 IKE 的密钥管理，封装方式等等，其中在两个站点建立连接的时候最重要的是两个协商

一个协商是 IKE 安全通道的建立协商

一个协商是 IPSec 安全参数的协商

在 IKE 协商协商的时候比对这样一些参数双方是否一致：

使用的加密算法

Hash 算法（单向散列算法）

DH 算法（Diffie-Hellman key exchange算法）用于密钥交换

身份认证

IKE 协商的生存时间：两个端点协商认可对方之后并不会永久生效，会有个生存时间。超时之后会再次协商''

所谓的协商就是比对双发使用的参数是否一致，而这个参数的集合叫做 IKE policy，也就是 IKE 的策略集。

在 IPSec 协商的时候也会有一些参数：

使用的加密算法

Hash 算法（单向散列算法）

使用的封装模式（AH、ESP）

使用的安全协议

IPsec 协商的生存时间：两个端点协商认可对方之后并不会永久生效，会有个生存时间。超时之后会再次协商

而 IPSec 的协商参数集合也有一个名字叫做 transfer set转换集。

了解整个建立过程之后我们便开始配置 *** 了，通过上述讲的过程我们首先配置会配置 IKE policy 然后配置 IPSec 转换集：

如此我们便配置好了 Router1 的所有协商内容了。你可能会觉得很麻烦要配置这么多集合，为什么不配置在一次，一个 policy，一个 transfer-set，一个 crpyto map。

这也是我们之前所提到过的模块化思想，一个 policy 可用优先级来区分，这样可以设置多个 policy。这是密钥交换、设备之间的认证一部分的功能不应该与 transfer set 糅杂在一起，应为 policy 是设备间的认证，transfer 是应用于端口上，端口之间的协商。

而 crypto map 的独立是因为若是有其他的端口需要使用相同的策略可以直接重用，而不用重新在协议套，不直接使用 transfer set 是因为可能我们使用的转换集是一样的但是我们的 ACL 策略不同，我在使用的使用可以在创建一个 crypto map 使用同样的转换集，只是新建一个 ACL 来应用而已，但是没有 crypto map 我们就必须转换集与 ACL 都重新协议套了。

所以说了这么多，这些的独立就是为了重用，在修改的时候也相互独立，管理方便。

配置好了 Router1，我们便来配置其对端的 Router2，配置上基本一模一样，因为所有的参数在协商的时候都会对比，只有相同的时候才会成功，所以几乎一模一样，但是注意在配置 peer，authentication 的密钥分享地址上要写成 Router1 的 IP 地址哦，因为那才是 Router2 的对端 IP 地址嘛。

由此我们便配置好了 Router2 上的相关参数了

5将相关的 crypto map 应用在相应的端口上

6由此我们便完成了所有关于协商相关的配置，我们便来验证我们的配置是否成功。

此时我们再次使用 PC1 去 ping PC2。再次之前我们先打开 Router1 与 Router2 之间链路上 wireshark 的监听，我们可以看到有这样的数据包出现：

我们捕获到了 isakmp 相关的数据包，说明 Router 之间使用该协议相互通信，当然这并不能说明什么，我们只用这样的命令来查看 session，只要发起过回话就会有 session 的记录：

同时我们还可以使用这个命令查看 sa 的状态：

这些都足以证明我们此时使用的 Tunnel 的加密隧道在通信中。

相关的调试命令有这样一些，在这里就不逐一的为大家展示了，大家可以仔细观察相关的信息：

debug 的使用开启之后不会立即有信息出来，只有在相互通信时才有相关的信息蹦出来。

无线网络密码破解2008-08-15 16:53需要WinAircrackPack

该工具包是一个无线工具的组合包，包括WinAircrackexe，wzcookexe，airdecapexe以及airodumpexe四个程序，这些程序各有各的用。

SSID号发现工具就是airodumpexe。对付 SSID影藏

第一步：解压缩下载的工具包，运行里头的airodumpexe

第二步：选择相应的网卡，输入对应无线网卡前的序号

第三步：输入o或者a选择网卡模式，

第四步：选择搜索频段，输入0是代表所有频段都检测的意思。

第五步：接下来会提示你输入一个保存文件，这样该工具会把所有sniffer下来的数据包放到这个文件中

第六步：only write wep ivs是否只检测WEP加密数据包，我们选择“Y”即可。

第七步：这时会出现一个提示，大概意思就是说目前驱动还不支持，无法进行sniffer的 *** 作。同时浏览器会自动转到一个页面，我们可以通过这个页面下载兼容驱动程序，升级我们的无线网卡让sniffer工具——airodumpexe可以顺利运行

（2）下载无线网卡新驱动：

要想下载合适的无线网卡新驱动就需要到前面提到的那个跳转页面了。

第一步：打开的页面地址为http://wwwwildpacketscom/support/product_support/airopeek/hardware，我们通过这个地址下载适合自己网卡的可以使用airodump的驱动。

第二步：在搜索设备页面中选择自己无线网卡的品牌和型号。笔者选择tp-link的所有无线产品进行查询，看看应该下载哪个驱动

第三步：在查询结果页面中我们可以看到自己的网卡应该使用该站点提供的AR5005G驱动来使用airodump

四步：再次返回http://wwwwildpacketscom/support/product_support/airopeek/hardware页面，你会在该页内容上看到关于该驱动所兼容的atheros卡型号，里面会提到ar5005，虽然我们的是ar5005g但是可以使用。点该页面下方的the wildpackets atheros wireless driver v42链接进行下载即可

第五步：下载wildpackets atheros wireless driver v42驱动到本地硬盘。

第六步：打开后里面有三个文件，我们的无线网卡升级工作就要靠这三个文件。

（3）安装无线网卡新驱动：

之前下载的wildpackets atheros wireless driver v42压缩包里的三个文件就是我们安装驱动的主角。

第一步：在桌面网上邻居图标上点鼠标右键，并选择属性。

第二步：在自己的无线网卡对应的本地连接上点鼠标右键，并选择属性。

第三步：在无线网络连接属性窗口中的“常规”标签下点网卡信息旁边的“配置”按钮。

第四步：在“驱动程序”标签中点“更新驱动程序”按钮。

第五步：系统将出现硬件安装向导，我们选择“从列表或指定位置安装（高级），然后点“下一步”按钮

第六步：然后选择“不要搜索，我要自己选择要安装的驱动程序”，点“下一步”按钮继续。

七步：由于之前我们安装的驱动是无线网卡的官方驱动，所以系统默认会找到相应的驱动，我们不选择他们，点“从磁盘安装”。

第八步：通过“浏览”按钮找到我们下载并解压缩的wildpackets atheros wireless driver v42文件保存目录。

第九步：选择atheros ar5005g cardbus wireless network adapter，点“下一步”继续

第十步：在安装驱动过程中会出现兼容性提示，我们点“仍然继续”即可。

第十一步：系统复制必须文件到本地磁盘

第十二步：完成硬件更新向导，我们的TP-LINK无线网卡现在已经变成了atheros ar5005g无线网卡了，这样才能够使用airodump这个无线网络sniffer工具。

四、总 结：

由于WEP破解的准备工作比较多，已经成功的将自己的网卡进行了更新驱动工作，这也是WEP加密破解的关键，

开始 轻松破解无线网络WEP

一、使用airodump抓取无线网络数据包并破解SSID名称：

不管是找出已经禁用了SSID号广播的无线网络还是进行WEP解密工作，我们首先要做的就是通过无线网络sniffer工具——airodump来监视无线网络中的数据包。

第一步：打开文章中下载的winaircrackpack压缩包解压缩的目录。

第二步：运行airodumpexe程序，这个就是我们的sniffer小工具，他的正常运行是建立在我们无线网卡已经更新驱动的基础上。

第三步：这时你会发现显示的信息和安装驱动前已经不同了，我们的网卡名称已经变为13 atheros ar5005g cardbus wireless network adapter，也就是说他成功更新为与atheros兼容的硬件了。我们输入其前面的数字13即可。

第四步：接下来是选择无线网卡的类型，既然说了是与atheros相兼容的，所以直接输入“a”进行选择即可。

第五步：上面文章中提到了已经把无线网络的SSID广播功能取消了，这样我们假设还不知道该无线设备使用的哪个频段和SSID号。在这里输入0，这样将检测所有频段的无线数据包。

实际上要想知道一个无线网络使用的频段是非常简单的，可以使用无线网卡管理配置工具，就像上文提到的那样，可以知道该无线网络使用的速度和频段，但是无法检测出SSID号。

第六步：同样输入一个保存数据包信息的文件，例如输入softer。这样可以把检测到的数据包以及统计信息一起写到这个文件中，并为使用其他工具提供基础保证。

第七步：是否只收集wep数据信息，我们点N”。这样将检测网络中的所有数据包不只WEP加密数据。

第八步：最后airodump会自动检测网络中的所有频段，对无线网络中的无线数据包进行统计和分析。

第九步：当统计的数据包比较多的时候，就可以自动分析出无线网络对应的SSID号和无线设备的MAC地址以及无线速度，发射频段和是否加密，采用何种方式加密了，是不是非常神气？例如设置的无线网络SSID号为softer，刚开始图7中统计时还没有检测出来，当数据达到一定数量后例如DATA处为15651时就可以看到ESSID号即SSID号为softer了。

至此我们成功的实现了通过airodump找到没有开启SSID广播功能的无线网络对应的SSID号，所以说仅仅报着将SSID号隐藏并修改默认名字是不能阻止非法入侵者连接无线网络的。不管你是否开启SSID广播，我们都可以通过无线网络的sniffer工具来找出你的真实SSID名称。

不过有一点要特别注意，那就是是否能够破解SSID名称是建立在airodump搜集到足够的数据包基础上的，也就是说也可能你的无线路由器开着，但是没有任何无线网卡和他通讯，这样airodump是无法检测到任何无线数据包并进行分析破解的。笔者在写本文进行的实验环境也是如此，那另外一块TP-LINK无线网卡510G安装在一台联想笔记本上并不停的通过无线路由器进行BT下载来保持总是不断有无线数据传输，这样才可以加快破解进程。

另外当数据包没有收集足够多的情况下，airodump会出现错误信息，例如本来是WEP加密方式的无线网络，可能会检测为WPA。用户只需要多等些时间让airodump收集足够多的数据就可以保证显示结果的真实性了。

二、使用WinAircrack破解WEP密文：

虽然我们可以通过airodump来检测无线网络的基本信息，包括发射频段，无线网络的SSID名称，无线速度等。但是对于那些使用WEP加密了的无线网络就无能为力了，即使我们知道了无线网络的SSID号如果没有WEP加密密文的话，依然无法连接到该网络。

不过airodump收集到的信息也是非常宝贵的，我们可以通过另外一个工具来分析出WEP密文。该工具的名称是WinAircrack，当然在用WinAircrack破解airodump收集到的信息前一定保证airodump收集的信息量要大，信息越多破解越不容易出问题，而且破解成功所需时间越短。

第一步：打开下载的压缩包，运行里面的winaircrackexe程序。

第二步：在左边找到general，接下来点GENERAL界面中下方的click here to locate capture file，让我们选择一个捕获文件。

第三步：这个文件就是上面所提到的airodump保存下来的数据统计文件，第九步中已经为其起了一个名字叫softer了，那么我们到airodumpexe所在文件夹中找到softercap文件，这个文件就是捕获文件。

第四步：回到general界面，在encryption type处选择WEP。

第五步：在左边点WEP，在WEP设置标签中先检测64位密文，key index保持自动AUTO。因为大部分用户在设置无线路由器WEP加密时都选择了最简单的64位密文，他也是破解所需时间最短的。

第六步：设置完毕点右下角的“aircrack the key”按钮，winaircrack会自动根据softercap中保存的统计信息进行分析，暴力破解WEP密文。

第七步：由于采取的是暴力破解方法，所以花费的时间会比较多，大概需要几个小时甚至更多的时间来破解一个64位的WEP密文。当发现WEP密文后会显示出内容

不过在实际 *** 作过程中需要的时间会比较长，特别是当WEP密文设置的比较复杂时，例如使用多个数字或者增加加密位数达到128位等。

另外通过airodump来收集无线数据传输包也是关键，也许对方开着路由器但并没有和网卡进行大流量数据传输，这样即使你开启airodump收集了几个小时，都可能出现无法获得足够数据包问题。

仅仅是为了和大家交流，希望大家不要使用本文介绍的方法去入侵别人的无线网，

大家能够明白WEP加密也不是百分之百安全,所以应该尽量使用WPA安全加密方式。