如果受害者使用 WPA-TKIP 或 GCMP 加密协议而不是 AES-CCMP,则影响尤其是灾难性的。针对这些加密协议,随机数重用使攻击者不仅能够解密,还能够伪造和注入数据包。
仅仅从看wpa_supplicant手册页,我想我可以通过将其添加到以下内容来强制仅使用 CCMP wpa_supplicant.conf:
network = {
ssid="[REDACTED]"
pairwise=CCMP
group=CCMP
}
但是,当我重新启动网络时,此日志消息/var/log/messages似乎表明 TKIP 仍在使用中:
Oct 20 17:27:51 localhost wpa_supplicant[1055]: wlp0s18f2u3: WPA: Key negotiation completed with fc:51:a4:4a:43:d3 [PTK=CCMP GTK=TKIP]
快速ps -eaf | grep wpa显示wpa_supplicant正在使用我编辑的conf文件,wpa_supplicant日志消息显示它连接到与conf文件中相同的SSID。
那么,我是否做错了什么,或者我想要的东西是不可能的?
编辑:我正在使用带有 NetworkManager 的 Fedora 26。
答案1
CCMP 是 WPA2(基于强加密算法 AES 的加密机制)中的强制数据完整性协议,您的接入点应采用 WPA2(AES)-PSK 模式进行保护。要验证它运行:
wpa_cli
scan
scan_result
[WPA2-PSK-CCMP]您应该会在接入点下方看到。
安全搜索者发布了一个脚本来测试您的接入点是否存在密钥重新安装攻击(又称 krack 攻击)krackattacks-测试-ap-ft。
该补丁用于wpa_supplicant 和 hostapd通过定期更新可用并应用。
更新到 hostapd/wpa_supplicant v2.7 或更高版本(一旦可用)。