各位在快捷宾馆住宿时有没有遇到或者担心遇到什么糟心事?被针孔摄像头偷拍算不算一件很糟心的事?本文提出一种方法来应对这种情况。
针孔摄像头拍摄后势必会通过网络将视屏传送给安装者。由于针孔摄像头的隐蔽性,摄像头不会使用有线网络,剩下的选项就是无线网络了。无线网络有2种选项:a.插入SIM卡,通过4G网络传输;b.使用快捷酒店会提供的WIFI。选项b的投入比选项a小,而且便于集成,另外SIM卡可能是实名制的会被追查,所以针孔摄像头多使用选项b。所以这次将讨论在2.4G WIFI环境中查找摄像头的方法,以及相应的处理方法。为了实现上述目的,需要用到Kali Linux的Aircrack-NG套件,另外还需要可以切换到Monitor模式的无线网卡。在开始之前,先说明几个会用到的术语:AP—指提供热点的设备,通常是无线路由器;Station—指连接到AP的设备,如笔电,手机等,essid—指AP提供的接入点名字,点击windows网络连接时,列表中的接入点名字就是essid。
Topic 1: 查找房间里摄像头
Introduction 1:
Windows网络连接列表里这么多essid是从哪来的?
AP会周期性发送Beacon包,包中带有essid以及通信信道,告诉周围Station在它可探测范围内存在的AP,可以来蹭网。可以在网络连接列表中选择一个essid,点击属性,里面列出了每个essid的属性:如bssid,信道等。另外介绍2个搜索AP的工具1).Windows 下InSsider----Mega Geeker的产品;2).Linux下 LinSsider,开源项目,它们都提供了更友好的图形界面。用这些工具收集附近的AP的信息,重点记录下自己正连接的bssid和essid。
Text1:
查找房间里摄像头,其实是评估房间里无线设备的数量。Aircrack-ng套件中的airodump-ng工具可以扫描并列出特定essid下连接着的Station,同时给出这些Station到你手上的无线网卡的信号衰减程度,一般而言距离越远,衰减越多。根据802.11给出的参考值以及我自己的测试发现:两个设备挨在一起时信号衰减是-10mdb,普通室内信号的衰减在-30mdb—60mdb之间,设备之间隔一堵墙衰减达到-70—80mdb。而这些信号衰减程度有助于我们查找室内无线设备的数量。设想,当走进陌生的房间,可见的无线设备无非是房间网络电视机1台,如果列表中给出的Station数量多的有点惊人,而且这些Station的信号衰减程度在-70mdb以内可以断定房间里杀气腾腾。通过在房间里走动,观察信号衰减程度的变化,可以接近和定位其中一个针孔摄像头。
>airodump-ng --bssid 50:fa:84:16:46:ea --essid WirelessLab –c 1 –a
#-c是指AP使用的信道从前面LinSsid获得
#--bssid,--essid的参数 50:fa:84:16:46:ea和WirelessLab从前面LinSsid获得
图中airodump-ng的输出中 PWR那一列是运行airodump-ng的机器到房间内其他Station的信号衰减程度
Topic 2: 断开摄像头的链接
Introduction 2:
TCP(是怎样建立连接的?)通过3次握手建立连接。Station与AP建立WIFI连接有类似的过程:扫描-认证-关联-连接4个阶段。Station和AP建立连接后,可以发送Deauthentication包让Station解除认证。Deauthentication是IEEE 802.11 协议所规定的,用来解除认证的帧。具有如下特点:1).没有加密 任何人都可以发送;2).容易伪造来源MAC地址3).强制客户端掉线
Tex2:
前面的步骤即使我们找到了所有的摄像头,也不代表我们可以把这些摄像头全部取下来并关闭。比如,有些摄像头藏在墙上插座后面,我总不至于出差在外还带着螺丝刀把面板卸下来。万一触电怎么办?就算没触电,破坏酒店设置又怎么办?面对这些摄像头,我们就真的无计可施了?倒也不是,可以让摄像头断网,那视频就无法上传了。这就用到aircrack-ng套件中的另一个工具aireply-ng,它可以向AP/Station发送包含特定数据的包,比如Deauthentication包,让特定的station下线.
实施前首先要测试AP是否可以注入
root@kali:~# airmon-ng start wlan1 #将网卡切换到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使网卡监听Ch 1信道root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea wlan1mon
02:30:50 Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50 Trying broadcast probe requests...
02:30:50 Injection is working! #有这段话,可以认为可以实施注入
02:30:52 Found 1 AP
02:30:52 Trying directed probe requests...
02:30:52 50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52 Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52 30/30: 100% #
确定AP可以注入后,即可实施断网
root@kali:~# aireplay-ng --deauth=5000 -a 50:fa:84:16:46:ea wlan1mon -c 2C:61:F6:99:AA:22
-c指定一个Station,不加 -c选项则将AP下所有的Station全踢下线Summary:
我们的网卡一般工作在Managed模式下,只能接受发送AP发送给它的帧。Station收到这些帧后,会把802.11头部剥去,替换为Ethnet头部然后发送给网络协议栈。这样做的好处是对上层应用屏蔽其底层传输介质,坏处就是无法分析802.11协议头部。如果想接受到周围的所有数据帧,以及完成上述实验,需要将网卡切换到Monitor模式。当然不是所有的网卡支持Monitor模式。Windows下只能选Mega Geek的Airpcap网卡,就是贵了点:支持802.11 b/g/n协议的大概要2K左右;支持a/b/g/n协议的在5K左右。所以一般会在Linux下完成上述任务。另外,如果网卡只支持802.11 b/g/n协议,那么它将接受不到5GHz的AP信号。当然了现在很多无线设备和无线路由只支持b/g/n协议。
查看网卡支持的工作模式以及支持的802.11协议:
# iw list
Supported interface modes:
#支持的工作模式
* IBSS
* managed
* AP
* AP/VLAN
* monitor
…
Frequencies:
#支持的频段
* 2412 MHz [1] (20.0 dBm)
* 2417 MHz [2] (20.0 dBm)