HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA: VIỄN THƠNG I

BÁO CÁO MÔN HỌC
AN NINH MẠNG VIỄN THÔNG

ĐỀ TÀI: GIAO THỨC BẢO MẬT WEP

GIÁO VIÊN HƯỚNG DẪN:
NHÓM:
THÀNH VIÊN:

TS. Nguyễn Tiến Ban
9
1. Nguyễn Thị Duyên

B13DCVT197

2. Nguyễn Thị Hồng Nhung

B13DCVT213

3. Trần Văn Nam

B13DCVT211

4. Hoàng Duy Hiếu

B13DCVT253

Hà Nội, 5/2017

Lời mở đầu
Ngày nay Wireless Lan ngày càng được sử dụng rộng rãi trong cả dân dụng và công
nghiệp. Việc truyền và nhận dữ liệu của các thiết bị Wireless Lan qua mơi trường khơng
dây sử dụng sóng điện từ cho phép người dùng có cùng kết nối và dễ dàng di chuyển.
Tuy nhiên, đây cũng là nguyên nhân của nhiều vấn đề bảo mật khi dữ liệu truyền trên mơi
trường khơng dây có thể bị bắt lấy một cách dễ dàng.
Giao thức WEP (Wired Equivalent Privacy) là giao thức bảo mật tương đương mạng
có dây định nghĩa bởi chuẩn IEEE 802.11. WEP được thiết kế để đảm bảo tính bảo mật
cho mạng không dây đạt mức độ như mạng nối cáp truyền thống. WEP bảo vệ sự toàn
vẹn, đảm bảo bảo mật và nhận thực trên đường không dây giữa các AP của WLAN và
các client (bộ thích ứng WLAN trong các máy đầu cuối).
Để hiểu rõ các tính năng, điểm yếu của WEP từ đó quyết định an ninh trong 802.11 là
đủ hay cần bổ sung thêm cơ chế an ninh khác khi triển khai một WLAN cụ thể, nhóm
tiểu luận đã lựa chọn đề tài “Giao thức bảo mật WEP”. Nội dung tiểu luận bao gồm:
 Mật mã, giải mật mã WEP
 Nhận thực WEP
 Điểm yếu của WEP, tối ưu WEP và tương lai của WEP
 Các cách tấn cơng WEP
Trong q trình làm tiểu luận, nhóm khơng tránh khỏi thiếu sót, mong thầy giáo và
các bạn góp ý để bài tiểu luận hồn thiện hơn.

Chúng em xin chân thành cảm ơn!


Danh mục hình vẽ

Hình 1.1 Sơ đồ thuật tốn RC4..........................................................................................5
Hình 1.2 Mật mã hóa WEP................................................................................................6

Hình 1.3 Giải mật mã WEP................................................................................................7
Y

Hình 2.1 Hoạt động của ICV..............................................................................................6
Hình 2.2 Nhận thực hệ thống mở với khóa WEP khác nhau..............................................7
Hình 2.3 Q trình nhận thực khóa chia sẻ........................................................................8
Hình 2.4 Cách trích chuỗi mật mã......................................................................................9
Hình 2.5 Điểm yếu bảo mật trong nhận thực khóa chia sẻ...............................................10
Hình 4.1 Tấn cơng bị động...............................................................................................14
Hình 4.2 Tấn cơng chủ động............................................................................................16
Hình 4.3 Tấn cơng theo kiểu kẻ đứng ở giữa...................................................................18
Hình 4.4 Tấn cơng gây tắc nghẽn.....................................................................................19
Hình 4.5 Tấn cơng plantext..............................................................................................20
Hình 4.6 Tấn cơng chèn bit vào khung.............................................................................21
Hình 4.7 Q trình thay đổi ICV......................................................................................22


Mục lụ

c
I. Mật mã và giải mật mã WEP..........................................................................................1
1.1 Thuật toán RC4.........................................................................................................1
1.2 Mật mã WEP.............................................................................................................2
1.3 Giải mật mã WEP.....................................................................................................3
II. Nhận thực WEP.............................................................................................................5
2.1 Nhận thực hệ thống mở (Open System Authentication)............................................6
2.2 Nhận thực khóa chia sẻ (Share Key Authentication).................................................7
III. Điểm yếu WEP, tối ưu WEP và tương lai của WEP..................................................10
3.1 Điểm yếu của WEP.................................................................................................10
3.2 Giải pháp tối ưu cho WEP......................................................................................11

3.3 Tương lai của WEP.................................................................................................12
IV. Các cách tấn công WEP.............................................................................................13
4.1 Tấn công bị động (Passive Attack).........................................................................13
4.2 Tấn công chủ động (Active Attack)........................................................................15
4.3 Tấn công theo kiểu kẻ đứng giữa (Man-in-the-middle)..........................................16
4.3 Tấn công gây tắc nghẽn (Jamming)........................................................................18
4.4 Kết hợp các phương pháp tấn công.........................................................................19
V. Kết luận....................................................................................................................... 23
VI. Tài liệu tham khảo.....................................................................................................23


I. Mật mã và giải mật mã WEP
1.1 Thuật toán RC4
WEP sử dụng kỹ thuật mật mã RC4 (Ron Code) để tạo ra một chuỗi giả ngẫu nhiên từ
khóa đã được chia sẻ và quy ước trước đó. Chuỗi giả ngẫu nhiên này sau đó được X-OR
với chuỗi dữ liệu để tạo thành gói mã hóa ở phía phát. Ở phía thu, máy thu sẽ thực hiện
tạo lại chuỗi giả ngẫu nhiên cũng từ khóa dùng chung và X-OR chuỗi này với gói mã hóa
để tái tạo lại dữ liệu. Bộ mật mã hóa luồng nhận một khóa có độ dài cố định và tạo ra một
chuỗi bit ngẫu nhiên sau đó cộng mod-2 văn bản thơ để tạo ra văn bản mật mã. RC4 cũng
được sử dụng rộng rãi cho giao thức Internet SSL (lớp ổ cắm an ninh) và nhiều sản phẩm
mật mã khác. Khi WEP mật mã số liệu, nó thực hiện hai xử lý đối với số liệu thô: một để
mật mã văn bản thô, và một để bảo vệ sự thay đổi số liệu trái phép.Thuật tốn RC4:
RC4 là giải thuật mật mã hóa đối xứng được thiết kế bởi Ron Rivest (một trong những
người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm 1987. RC4 là một thuật
tốn mã dịng (stream cipher), có cấu trúc đơn giản, được ứng dụng trong bảo mật WEP
(SSL/TSL) và trong mạng không dây (WEP).
Thuật tốn dựa vào hốn vị ngẫu nhiên. Key hồn tồn độc lập với plaintext. Chiều
dài key từ 1 đến 256 bytes được sử dụng để khởi tạo bảng trạng thái S. Bảng trạng thái
được sử dụng để sinh hoán vị ngẫu nhiên giả và dòng key ngẫu nhiên. Để mã hóa dữ liệu
ta lấy từng key sinh ra ngẫu nhiên XOR với từng bytes plaintext tạo ra bytes cirhertext.

Sau 256 bytes, key được lặp lại. Quá trình cứ tiếp tục, cứ 1 bytes plaintext được XOR
cùng 1 key sinh ra ngẫu nhiên tạo thành cirphertext, lần lượt cho đến hết plaintext, tạo
thành một dòng cirphertext truyền đi.
Giải mã là quá trình ngược lại của mã hóa, dịng ciphertext sẽ được XOR cùng key
sinh ra ngẫu nhiên, theo cách mã hóa sẽ tạo thành plaintext ban đầu.

Các bước của thuật toán:


Bước 1: Khởi tạo bảng vecto trạng thái S.
Bước 2: Tạo bảng vectơ key với key chọn.
Bước 3: Tạo hoán vị S.
Bước 4: Sinh key.
Bước 5: X-OR để giải mã hoặc giải mã hóa.

Hình 1.1 Sơ đồ thuật tốn RC4
1.2 Mật mã WEP
Thủ tục mật mã WEP như sau:
Khóa bí mật 40 bit được móc nối với một vectơ khởi đầu 24 bit (IV) để được một
khóa tổng 64 bit.
Khóa tổng được đưa vào một bộ tạo số giả ngẫu nhiên (PRNG: pseudo random
number generator) RC4 PRNG cho ra chuỗi khóa giả ngẫu nhiên dựa trên khóa đầu vào.
Chuỗi nhận được sẽ được sử dụng để mật mã hóa số liệu bằng cách cộng modul 2
theo từng bit.
Kết quả: các byte được mã hóa có độ dài bằng số byte số liệu sẽ truyền trên đường
không dây cộng với 4 byte để kiểm tra tính tồn vẹn (ICV: intergrity check value). ICV
được tạo ra bởi giải thuật toàn vẹn (CRC 32) với đầu vào là văn bản thô.


Vectơ khởi

đầu IV
Khóa bí mật

IV
Hạt
giống

WEP
PRNG

Chuỗi khóa

Văn bản
mật mã

Văn bản thơ
Giải thuật tồn vẹn
Giá trị kiểm tra
tồn vẹn (ICV)

Bản tin

Hình 1.2 Mật mã hóa WEP
Với phương thức mã hóa RC4, WEP cung cấp tính bảo mật và tồn vẹn thơng tin trên
mạng không dây, và cũng được xem như là một phương thưc kiểm sốt truy cập. Một
máy nối mạng khơng dây muốn truy cập đến Access Point (AP) hoặc muốn giải mãi hoặc
thay đổi dữ liệu trên đường truyền cần phải có khóa WEP chính xác. Tuy nhiên, những
phát hiện gần đây của giới phân tích an ninh cho thấy rằng nếu bắt được một số lượng lớn
dữ liệu đã mã hóa bằng giao thức WEP và sử dụng cơng thức thích hợp có thể dị tìm
được chính xác khóa WEP trong thời gian ngắn. Điểm yếu này là do cùng một chuỗi dữ

liệu đầu vào thì sẽ cho ra ở ngõ ra cùng một chuỗi mã hóa. Tính chất này tạo nên một lỗ
hổng bảo mật vì máy thứ ba khi nhận được chuỗi mã hóa có thể suy ngược lại thông tin
về dữ liệu ban đầu.
1.3 Giải mật mã WEP
Để giải mật mã luồng số liệu, WEP thực hiện quá trình sau:
Bước 1: IV của bản tin thu được sử dụng để tạo ra chuỗi khóa cần thiết cho việc giải
mật mã của chuỗi thu.


Bước 2: Văn bản mật mã cùng với chuỗi khóa đúng sẽ cho ta văn bản thô ban đầu và
ICV.
Bước 3: Giải mật mã được kiểm chứng bằng cách thực hiện giải thuật tồn vẹn cho
văn bản thơ đã phục hồi và so sánh ICV1 với ICV được phát kèm với bản tin.
Bước 4: Nếu ICV1 không trùng với ICV, thì bản tin thu đã bị mắc lỗi và một chỉ thị
lỗi được gửi trở lại trạm phát. Đầu di động có các bản tin bị lỗi sẽ khơng được phép truy
nhập.
Khóa bí mật
IV

Hạt
WEP
giống PRNG

Văn bản thơ

Chuỗi
khóa

Giải thuật tồn vẹn


ICV1
ICV-ICV1

Văn bản
mật mã

Bản tin

Hình 1.3 Giải mật mã WEP
Trong giải mật mã WEP, RC4 PRNG là phần tử quan trọng của quá trình mở rộng
WEP. IV mở rộng thời gian hiệu lực của khóa bí mật và đảm bảo sự tự đồng bộ cảu giải
thuật. Khóa bí mật giữ ngun khơng đổi cịn IV thay đổi định kỳ.
Vì tồn tại tương quan một một giữa IV và đầu ra, nên số liệu trong các giao thức bậc
cao như IP thường có thể đốn được. Một kẻ nghe trộm có thể xác định một số phần của
chuỗi khóa được tạo ra bởi một cặp IV và việc sử dụng một cặp giống nhau của hai bản
tin liền kề làm cho mức độ bảo mật bị giảm. Như vậy việc thay đổi IV sau mỗi bản tin là
phương pháp đơn giản nhất để đảm bảo hiệu quả WEP. Nhưng hiện nay đã có một số kỹ
thuật mới sử dụng các giải thuật khác nhau như 3DES và ECC cho phép đảm bảo thông


tin tốt hơn. Trong tương lai nhiều khả năng WEP sẽ được thay thế bởi AES (Advanced
Encryption Standard).
Như đã xét ở trên, giao thức WEP đảm bảo cả các dịch vụ bảo mật và nhận thực. Nó
bao gồm giải thuật mật mã, khóa bí mật chia sẻ và vecto khởi đầu.
IEEE 802.11 cung cấp hai sơ đồ định nghĩa các khóa. Sơ đồ thứ nhất bao gồm một tập
bốn khóa mặc định dùng chung giữa các bộ thích ứng WLAN và AP trong một hệ thống
con vô tuyến. Khi một client nhận được các khóa mặc định, client này có thể thông tin an
ninh với tất cả các trạm khác trong hệ thống con này. Xảy ra vấn đề với các khóa này là
khi phân bố chúng rộng rãi, chúng rất dễ bị xâm phạm. Trong sơ đồ thứ hai, mỗi client
thiết lập một quan hệ “chuyển đổi khóa” với một trạm khác. Sơ đồ này an ninh hơn vì ít

trạm có khóa này, nhưng việc phân phối các khóa kiểu một một này (các khóa chỉ được
sử dụng bởi hai hệ thống) có thể gặp trở ngại khi số trạm tăng.
Vecto khởi đầu (IV) là một tập các ký hiệu được tạo ra một cách ngẫu nhiên và được
sử dụng cùng với các khóa bí mật chia sẻ để tạo ra các khóa mật mã thực sự. Các khóa bí
mật khơng đổi trong khi IV thay đổi định kỳ. IV cho phép tăng thời hạn cảu khóa bí mật
và đảm bảo tự đồng bộ cho giải thuật. Mỗi IV dẫn đến một chuỗi khóa mới, vì thế tồn tại
quan hệ một một giữa IV và đầu ra. Có thể thay đổi IV thường xuyên theo từng bản tin.

II. Nhận thực WEP
Ngồi việc mã hóa, chuẩn 802.11 cịn định nghĩa 32 bit đảm bảo tính nguyên vẹn của
khung. 32 bit này cho phép phía nhận biết khung nhận được là nguyên vẹn, không bị thay
đổi. 32 bit này gọi là giá trị kiểm tra (ICV: Intergrity Check Value).
ICV được tính trên tất cả các trường của khung sử dụng CRC-32. Phía phát tính giá trị
này và đưa kết quả vào trường ICV, để tránh máy thứ 3 có thể thấy ICV, ICV cũng được
mã hóa bằng WEP. Ở phía thu, khung được giải mã, tính ICV và so sánh với giá trị ICV
trong khung nhận được, nếu hai giá trị này giống nhau thì khung được coi như tồn vẹn,
ngược lại, hai giá trị này khơng giống nhau thì khung sẽ bị hủy.


Mơ tả hoạt động của ICV:

Hình 2.1 Hoạt động của ICV
WEP cung cấp hai chế độ nhận thực: nhận thực hệ thống mở và nhận thực bằng khóa chia
sẻ.
2.1 Nhận thực hệ thống mở (Open System Authentication)
a. Nguyên tắc thực hiện
Nhận thực hệ thống mở là giao thức nhận thực mặc định của 802.11. Trong mơ hình
hệ thống mở, việc nhận thực không được thực hiện, AP (Access Point) cho phép tất cả
các yêu cầu kết nối.
Kiểm soát truy cập dựa vào khóa WEP được cấu hình sẵn trên các máy đầu cuối và

AP. Máy đầu cuối và AP phải có cùng khóa WEP để có thể trao đổi thơng tin cho nhau.
Nếu như cả máy đầu cuối và AP đều khơng dùng WEP thì mạng WLAN khơng được bảo
mật hay bất cứ thiết bị nào cũng có thể tham gia vào mạng và dữ liệu được truyền trong
các frame khơng được mã hóa.


Sau quá trình nhận thực hệ thống mở, máy đầu cuối có thể bắt đầu truyền và nhận dữ
liệu. Nếu máy đầu cuối và AP được cấu hình khác khóa WEP thì máy đầu cuối khơng thể
mã hóa hay giải mã frame một cách chính xác và frame sẽ bị loại bỏ cả ở AP và máy đầu
cuối, việc làm này cơ bản cung cấp phương pháp điều khiển truy nhập.

Hình 2.2 Nhận thực hệ thống mở với khóa WEP khác nhau
Chế độ này thường được sử dụng để đơn giản khai thác và khi nhà quản trị mạng
không quan tâm đến vấn đề an ninh.
b. Điểm yếu của nhận thực hệ thống mở
Nhận thực hệ thống mở không cung cấp cách thức giúp AP xác định xem client có
hợp lệ hay khơng. Thiếu sót này là điểm yếu bảo mật khi mã hóa WEP khơng được sử
dụng. Ngay cả khi có sử dụng WEP, nhận thực hệ thống mở không giúp xác định ai đang
sử dụng mạng. Thiết bị hợp lệ trong tay người sử dụng không hợp lệ cũng nguy hiểm
giống như khơng có bảo mật.
2.2 Nhận thực khóa chia sẻ (Share Key Authentication)
a. Nguyên tắc thực hiện


Khác với quá trình nhận thực hệ thống mở, quá trình nhận thực khóa chia sẻ u cầu
máy đầu cuối và AP được cấu hình khóa WEP giống nhau. Q trình nhận thực khóa chia
sẻ được mơ tả như sau:
1. Client gửi khung chứa yêu cầu nhận thực khóa chia sẻ tới AP.
2. Khi nhận được khung chứa yêu cầu nhận thực, AP trả lời bằng một khung thử
thách dưới dạng khơng mã hóa.

3. Client nhận khung thử thách sẽ thực hiện mã hóa nó bằng khóa chia sẻ và vectơ
khởi đầu sau đó gửi trả lời cho AP.
4. AP nhận được khung thử thách đã mã hóa bởi client sẽ thực hiện giải mã bằng
cách sử dụng cùng khóa chia sẻ và so sánh nó với khung thách thức được gửi đi trước
đó. Nếu chúng giống nhau thì AP sẽ gửi thông điệp cho client thông báo nhận thực
thành công, ngược lại, AP sẽ gửi khung chứa lý do thất bại truy nhập.

Hình 2.3 Q trình nhận thực khóa chia sẻ
b. Điểm yếu trong nhận thực khóa chia sẻ
Quá trình nhận thực khóa chia sẻ u cầu client sử dụng khóa WEP để mã hóa khung
thử thách từ AP. AP nhận thực client bằng cách giải mã khung mã hóa của client xem
khung đã giải mã có giống khung thử thách khơng. Q trình trao đổi khung thử thách
được thực hiện qua kênh truyền không dây và tạo lỗ hổng cho các kiểu tấn công plaintext
(văn bản thô) dựa trên tính tốn khi mã hóa. Chuỗi mã hóa được bằng cách X-OR chuỗi


dữ liệu với chuỗi mật mã. Nếu chuỗi dữ liệu được X-OR với chuỗi dữ liệu, ta sẽ được
chuỗi mật mã từ khóa được tạo bởi khóa WEP và IV.

Hình 2.4 Cách trích chuỗi mật mã
Máy tấn cơng lắng nghe các khung trên mạng sẽ bắt được khung thử thách chưa mã
hóa và khung mã hóa hồi đáp. Bằng cách X-OR hai thơng tin này, máy tấn cơng có được
chuỗi mật mã. Từ đó, chuỗi mật mã này có thể dùng để giải mã các khung có cùng IV
cũng như gửi các khung mã hóa hợp lệ sử dụng chuỗi mật mã có được để tấn cơng các
máy khác trong mạng.


Hình 2.5 Điểm yếu bảo mật trong nhận thực khóa chia sẻ

III. Điểm yếu WEP, tối ưu WEP và tương lai của WEP

3.1 Điểm yếu của WEP
Do WEP sử dụng RC4, một thuật tốn sử dụng phương thức mã hóa theo mã hóa
dịng, điều này địi hỏi một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả
giống nhau sau hai lần mã hóa khác nhau. Giá trị IV được sử dụng để cộng thêm vào
khóa nhằm tạo ra khó khác nhau sau mỗi lần mã hóa. Cách sử dụng IV là nguồn gốc của
đa số các vấn đề trong WEP vì giá trị IV được truyền đi ở dạng khơng mã hóa và đặt
trong header của gói dữ liệu. Ai bắt được gói dữ liệu trên mạng cungax có thể thấy được.
Với độ dài 24 bit, giá trị câu IV dao động trong khoảng 16 777 216 trường hợp. Khi có
collision Hacker có thể bắt gói dữ liệu và tìm ra được khóa WEP.
Lỗ hổng thuyết phục và nguy hiểm nhất là có thể tạo được khóa WEP bằng cách thu
thập một số lượng các Frame nhất định trong mạng. Lỗ hổng này do cách mà WEP tạo ra
chuỗi mật mã. Chương trình AirSnort khai thác lỗ hổng này và chứng minh khóa WEP 40
hay 104 bit có thể tìm được khi phân tích 4 triệu frame. Trong các mạng Wireless LAN


có mật độ cao, khóa WEP có thể tìm được sau khoảng 1 giờ. Tuy nhiên hiện nay khả
năng phá hoại mạng dùng WEP rất nhanh. Sau khi mất chưa đến một phút để chặn dữ
liệu (gần 100 000 gói tin), có thể phá WEP chỉ trong 3 giây.
Thêm vào đó những cách tấn cơng này mang tính chất thụ động: những kẻ tấn cơng
chỉ cần thu thập các gói dữ liệu trên đường truyền mà không cần liên lạc với Access
Point. Điều này gây khó khăn cho việc phát hiện các tấn cơng tìm khóa WEP.
Một điểm yếu nữa của WEP là trong quá trình xác thực: một chuỗi dữ liệu và chuỗi mã
hóa biết trước có thể được dùng để tách chuỗi mật mã. Như đã đề cập ở phần mã hóa biết
trước có thể được dùng để tách chuỗi mật mã. Như đã đề cập ở phần trước, chuỗi mã hóa
này chỉ có tác dụng để giải mã các frame được mã hóa mã hóa với cùng một IV.Một cách
lí tưởng, hacker có thể thu thập tất cả chuỗi mật mã để tạo thành cơ sở dữ liệu chuỗi mật
mã để giải mã các frame được mã hóa với cùng IV. Một cách lý tưởng, hacker có thể thu
thập tất cả chuỗi mật mã để tạo thành cơ sowe dữ liệu chuỗi mật mã để có thể giải mã tất
cả chuỗi mật mã để tạo thành cơ sở dữ liệu chuỗi mật mã để có thể giải mã tất cả chuỗi
thực hiện cho thấy cần khoảng 21 GB dung lượng để tạo ra cơ sở dữ liệu như vậy .Trong

mạng WLAN nếu không sử dụng nhận thực Shared Key thì hacker có thể thu thập được
một số lượng lớn chuỗi mật mã trong thời gian ngắn bằng cách tấn công đảo bit.
3.2 Giải pháp tối ưu cho WEP
Mặc dù không hẳn là một điểm yếu nhưng WEP chỉ hỗ trợ khóa tĩnh được chia sẻ
trước. Q trình xác thực trong 802.11 là xác thực thiệt bị chứ không xác thực người sử
dụng thiết bị, khi card wireless bị mất thì nó trở thành vấn đề gán khóa WEP lại cho tất cả
thiết bị wireless trong mạng.
Vấn đề gán khóa có thể chấp nhận được nếu như mạng nhỏ nhưng trong mạng trung
bình và mạng lớn có số thiết bị wireless có thể lên đến hàng nghìn, cần phải có phương
pháp phân phối khóa hoặc người quản trị mạng phải quản lý chặt tất cả các thiết bị
wireless trong mạng.


Để nâng cao mức độ bảo mật cho WEP đồng thời gây khó khăn cho hacker khi dùng
cơng cụ dị tìm khóa WEP, các biện pháp sau được đề nghị:
Sử dụng khóa WEP có độ dài 128 bit để gia tăng số lượng gói dữ liệu hacker cần có
để sử dụng phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.Đối với
các thiết bị khơng dây cũ chỉ hỗ trợ WEP ở mức 40 bit thì người dùng cần liên lạc với
nhà sản xuất để được cập nhật phiên bản mới nhất của firmwares update.
Tiến hành phương pháp thay đổi khóa WEP định kì. Do WEP khơng thể thay đổi
khóa tự động nên việc thay đổi khóa định kì sẽ gây khó khăn cho người sử dụng. Mặc dù
vậy,nếu khơng thể thây đổi khóa WEP được thường xun thì vấn nên thay đổi khóa ít
nhất một lần trong tháng hoặc khi thấy nghi ngờ về khả năng bị lộ khóa.
Theo dõi dữ liệu thống kê trên đường truyền khơng dây.Vì các cơng cụ dị khóa cần
bắt được số lượng lớn gói dữ liệu và hacker có thể phải sử dụng các cơng cụ dấu hiệu của
một cuộc tấn công WEP, cho phép người quản trị mạng phát hiện và áp dụng các biện
pháp phòng chống kịp thời.
3.3 Tương lai của WEP
Như chúng ta đã biết, WEP có thể được coi như một cơ chế bảo mật ở mức độ thấp
nhất. Vì vậy WEP khơng cung cấp độ bảo mật cần thiết cho đa số các ứng dụng khơng

dây cần độ an tồn cao. WEP có thể bị bẻ khóa dễ dàng bằng các cơng cụ sẵn có. Điều
này thúc đẩy các nhà quản trị mạng tìm các giải pháp WEP khơng chuẩn từ các nhà sản
xuất. Tuy nhiên, vì những giải pháp này khơng được chuẩn hóa nên lại gây khó khăn cho
việc tích hợp các thiết bị giữa các hãng sản xuất khác nhau.
Hiện nay chuẩn 802.11i đang được phát triển bởi IEEE với mục đích khắc phục các
yếu điểm của WEP và trở thành chuẩn thay thế hoàn toàn cho WEP khi được chấp thuận
và triển khai rộng rãi. Nhưng hiện nay chuẩn 802.11i vẫn chưa chính thức được thơng
qua. Do đó, hiệp hội WIFI của các nhà sản xuất không dây đã đề xuất và phổ biến rộng
rãi chuẩn WPA (wifi protected access) như một bước đệm trước khi chính thức triển khai
802.11i. Về phương diện kỹ thuật, chuẩn WPA là bản sao mới nhất của 802.11i và đảm


bảo tính tương thích giữa các thiết bị của các nhà sản xuất khác nhau.Cho đến thời điểm
hiện nay ,một số các thiết bị wifi mới đã hỗ trợ WPA,WPA2, giải quyết được vấn đề bảo
mật của WEP.

IV. Các cách tấn cơng WEP
Tấn cơng và phịng chống trong mạng WLan là vấn đề được quan tâm rất nhiều hiện
nay không chỉ là các chuyên gia trong lĩnh cực bảo mật mà còn là quan tâm của rất nhiều
người đang dùng mạng WLAN. Nhiều giải pháp tấn cơng và phịng chống đã được đưa ra
nhưng cho đến bây giờ chưa giải pháp nào thật sự được gọi là bảo mật hoàn tồn, cho đến
hiện nay mọi giải pháp phịng chống được đưa ra đều là tương đối (nghĩa là tính bảo mật
trong mạng WLAN vẫn có thể bị phá vỡ bằng nhiều các khác nhau). Ở phần này những
phương pháp tấn sẽ được tìm hiểu:


Tấn cơng bị động (nghe lén)




Tấn cơng chủ động (kết nối, thăm dị và cấu hình mạng)



Tấn công theo kiểu kẻ đứng giữa



Tấn công theo kiểu gây tắc nghẽn

4.1 Tấn công bị động (Passive Attack)
Tấn công bị động (passive) hay nghe lén (sniffing) có lẽ là một phương pháp tấn công
WLAN đơn giản nhất nhưng vẫn rất hiệu quả. Passive attack không để lại một dấu vết
nào chứng tỏ đã có sự hiện diện cảu attacker trong mạng vì khi tấn cơng attacker khơng
gửi bất kì gói tin nào mà chỉ lắng nghe mọi dữ liệu lưu thơng trên mạng. WLAN sniffer
hay các ứng dụng miễn phí có thể được sử dụng để thu nhập thơng tin về mạng không
dây ở khoản các xa bằng các sử dụng anten định hướng. Phương pháp này cho phép
attack giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu
nhập được những thông tin quý giá.
Sniffer thường là một phần mềm có thể lắng nghe và giải mã các gói dữ liệu lưu thơng
trên mạng, sniffer đóng vai trị một hệ thống trung gian và sẽ copy tất cả các gói dữ liệu


mà được gửi từ máy A sang máy B, chụp lấy password trong những phiên kết nối của các
Client. Vì vậy mạng Wireless rất dễ bị nghe lén so với mạng có dấu thơng thường.
Có nhiều ứng dụng có khả năng thu thập được password từ những địa chỉ HTTP,
email, instant message, FTP session, telnet. Những kiểu kết nối trên đều truyền password
theo dạng clear text (khơng mã hóa). Nhiều ứng dụng có thể bắt được cả password hash
(mật mã đã được mã hóa bằng nhiều thuật tốn như MD4, MD5, SHA,…) truyền trên
đoạn mạng không dây giữa client và server lúc client đăng nhập vào. Bất kỳ thông tin nào

truyền trên đoạn mạng không dây theo kiểu này đều rất sễ bị tấn công bởi attacker. Tác
hại là không thể lường trước được nếu như attacker có thể đăng nhập vào mạng bằng
thông tin của một người dùng nào đó và cố tình gây ra những thiệt hại cho mạng.

Hình 4.1 Tấn cơng bị động
Một attacker có thể ở đâu đó trong bãi đậu xe, dùng những cơng cụ để đột nhập mạng
WLAN của bạn. Các cơng cụ có thể là một packet sniffer, hay một số phần mềm miễn
phí đẻ có thể crack được WEP key và đăng nhập vào mạng.


4.2 Tấn cơng chủ động (Active Attack)
Hacker có thể tấn công chủ động (active) để thực hiện một số tác vụ trên mạng. Một
cuộc tấn cơng chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ
liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những
mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối
với mạng khơng dây thơng qua AP, hacker có thể xâm nhập su hơn vào mạng hoặc có
thể thay đổi cấu hình của mạng. Ví dụ, một xâm nhập sâu hơn và mạng hoặc có thể thay
đổi cấu hình của mạng. Ví dụ, một hacker có thể có thể sửa đổi để thêm MAC address
của hacker vào danh sách cho pháp của các MAC filter (danh sách lock địa chỉ MAC)
trên AP hay vơ hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng
hơn. Admin thập chí không biết được thay đổi nay trong một thời gian dài nếu như khơng
kiểm tra thường xun.

Hình 4.2 Tấn cơng chủ động
Một số ví dụ điển hình của active attack có thể bao gồm các Spammer (kẻ phát tán thư
rác) hay các đối thử cạnh tranh muốn đột nhập vào cơ sở dư liệu của công ty bạn. Một


spammer có thể gởi một lúc nhiều mail đến mạng của gia đình hay từ doanh nghiệm
thơng qua kết nối khơng dây WLAN. Sau khi có được địa chỉ IP từ DHCP server,

attacker có thể gởi cả ngàn bức thư sử dụng kết nối internet của bạn mà không hề biết.
Kiểu tấn cơng này có thể làm ISP (Internet Service Provider) của bạn ngắt kết nối email
của bạn vì đã lạm dụng gởi nhiều mail măc dù không phải lỗi của bạn.Đối thủ cạnh tranh
có thể muốn lấy danh sách khách hàng của bạn cùng với những thông tin liên hệ hay
thậm chỉ cả bảng lương để có thể có mức cạnh tranh tốt hơn hay giành lấy khách hàng.
Những tấn cơng kiểu này có thể xảy ra thường xun mà admin khơng hề biết.
Một khi hacker đã có được kết nối khơng dây vào mạng của bạn, hắn có thể truy cập
vào server, sử dung kết nối WAN, Internet hay truy cập đến laptop, desktop người dùng.
Cùng với một số cơng cụ đơn giản, hacker có thể dễ dàng thu thập được những thông tin
quan trọng, giả mạo người dùng hay thậm chí gây thiệt hại cho mạng bằng cách cấu hình
sai. Dị tìm server bằng cách qt cổng, tạc ra phiên làm việc NULL để chia sẻ hay crack
password, sau đó đăng nhập vào server bằng account đã crack được là những điều mà
attacker có thể làm đối với mạng của bạn.
4.3 Tấn công theo kiểu kẻ đứng giữa
Tấn cơng theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP
để đánh cắp các node di động bằng cách gởi tín hiệu RF mạnh hơn AP hợp pháp đến các
node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến
AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và
hacker có tồn quyền xử lý.
Để làm cho client kết nối lại đến AP giả mạo thì cơng suất pháp của AP giả mạo phải
cao hơn nhiều so với AP hợp pháp trong vùng phủ sóng của nó. Việc kết nối lại với AP
giả mạo được xem như là một phần của roaming nên người dùng sẽ không hề biết được.
Việc đưa nguồn nhiều toàn kênh (all-band interference – chẳng hạn như Bluetooth) vào
vùng phủ sóng của AP hợp pháp sẽ buộc client phải roaming.


Hacker muốn tân công theo kiểu Man-in-the-middle trước tiên phải biết được giá trị
SSID mà các client sử dụng (giá trị này rất dễ dàng có được). Sau đó, hacker phải biết
được giá trị WEP key nếu mạng có sử dụng WEP. Kết nối upstream (với mạng trục có
dây) từ AP giả mạo được điều khiển thông qua một thiết bị client như PC card hay

Workshop Bridge. Nhiều khi, tấn công Man-in-the-midle được thực hiện chỉ với một
laptop và 2PCMCIA card. Phần mềm Ap chạy trên máy laptop nơi PC card được sử dụng
như là một AP và một PC card thứ 2 được sử dụng để kết nối laptop đến AP hợp pháp
gần đó, Trong cấu hình này, laptop chính alf man-in-the-midle, hoạt động giữa client và
AP hợp pháp. Từ đó hacker có thể lấy được những thơng tin giá trị bằng cách sử dụng các
sniffer trên máy laptop.

Hình 4.3 Tấn công theo kiểu kẻ đứng ở giữa
Điểm cốt yếu trong kiểu tấn công này là người dùng không thể nhận biết được. Vì thế,
số lượng thơng tin mà hacker có thể thu được chỉ phụ thuộc và thời gian mà hacker có thể
duy trì trạng thái này trước khi bị phát hiện. Bảo mật vật lý (Physical security) là phương
pháp tốt nhất để chống lại kiểu tấn công này.


4.3 Tấn công gây tắc nghẽn (Jamming)
Jamming là một kỹ thuật được sử dụng chỉ đơn giản để làm hỏng (shut down) mạng
không dây của bạn. Tương tự như những kẻ phá hoại sử dụng tấn công DoS và một web
server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây
nghẽn tín hiệu RF. Những tín hiệu gây nghẽn này có thể là cố ý hay vơ ý và có thể loại bỏ
được hay không loại bỏ được. Khi một hacker chủ độngt ấn cơng jamming, hacker có thể
sử dụng một thiết bị WLAN đặc biêtj, thiết bị này là bộ phát tín hiệu RF công suất cao
hay sweep generator.
Để loại bỏ kiểu tấn cơng này thì u cầu đầu tiên là phải xác định được nguồn tín hiệu
RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ)
hoặc các ứng dụng Spectrum Analyzer kèm theo các sản phẩm WLAN cho client.

Hình 4.4 Tấn cơng gây tắc nghẽn
Khi nguồn gây ra jamming không thể di chuyển được hoặc khó loại bỏ như tháp
truyền thơng hay các hệ thống hợp pháp khác thì admin nên xem xét sử dụng dây tần số
khác cho mạng WLAN. Ví ụ, nếu như admin chịu trách nhiệm thiết kế và cài đặt mạng



WLAN cho mơi trường rộng lớn, phức tạp thì cần phải xem xét kỹ càng. Nếu như nguồn
nhiễu RF trải rộng hơn 2.4 GHz như bộ đàm, lị vi sóng… thì admin nên sử dụng những
thiết bị theo chuẩn 802.11a hoạt dộng trong băng tần 5GHz UNII thay vì sử dụng những
thiết bị 802.11b/g hoặt động trong băng tần 2.4 GHz dễ bị nhiễu.
Jamming do vô ý xuất hiện thường xuyên do nhiều thiết bị khác nhau chia sẻ chung
băng tần 2.4 ISM với mạng WLAN. Jamming một cách chủ động thường không phổ biến
lắm do tốn kém và chỉ cho kết quả là shutdown mạng trong một thời gian ngắn.
4.4 Kết hợp các phương pháp tấn công
Dựa vào những lỗ hổng trong mã hóa WEP và chuẩn 802.11 mà các hacker có thể tấn
cơng lấy khóa WEP và dữ liệu dễ dàng. Đi sâu vào xem các quá trình từ nghe lén, gây rối
đến tấn công sâu vào mạng của hacker.
a. Tấn cơng plantext
Kẻ nghe lén có thể bắt được cả chuổi challenge chưa mã hóa từ AP và chuỗi kí tự mã
hóa tương ứng từ client. Có được 2 giá trị này sau đó kẻ nghe lén có thể thực hiến phép
XOR để có được chuổi khóa hợp lệ. Tiếp theo, chúng có thể xây dựng chuỗi khóa này để
giải mã các khing có kích thướng trùng với chuổi khóa với điều kiến là IV đã sử dụng để
sinh ra chuổi khóa.


Hình 4.5 Tấn cơng plantext
b. Tấn cơng chèn bit vào khung
Dựa vào yếu điểm của giá trị kiểm tra tính toàn vẹn ICV. ICV dựa trên hàm đa thức
CRC-32. CRC-32 không phải là một phương tiện hiệu quả để kiểm tra tính tồn vẹn của
dữa liệu. Những đặc điểm về tốn học của CRC-32 cho phép một khung có thể bị giả
mạo và giá trị ICV bị sửa đổi mà không cần biết nội dung ban đầu của khung.
Mặc dù kích thước phần dữ liệu có thể thay đổi tùy khung những thành pphần khác
của khung vẫn không thay đổi và vị trí bit vẫn như cũ. Hacker có thể tận dụng điều này
và giả mạo phần dữ liệu để sửa đổi gói tin ở lớp cao hơn.

Tiến trình tấn công chèn bit và khung diễn ra như sau:


Hình 4.6 Tấn cơng chèn bit vào khung
 Hacker bắt một khung từ WLAN
 Hacker thay đổi các bit ngẫu nhiên trong phần sưa liệu cảu khung.
 Hacker thay đổi ICV.
 Hacker truyền khung đã bị sửa đổi.
 Trạm thu (client hay AP) nhận khung và tính tốn ICV dựa trên nội dung của khung.
 Trạm thu so sánh ICV tính được với ICV của khung.
 Trạm thu chấp nhận khung đã bị sửa đổi (so sánh thành công).
 Trạm thu chuyển khung lên thiết bị lớp trên (Router hay PC).
 Bởi bì bit đã bị thay đỏi ở gói tin lớp 3 nên việc kiểm tra của lớp 3 không thành công.
 Chồng giao thức IP của trạm thu sẽ phát sinh lỗi có thể đốn trước được.
 Hacker lắng nghe WLAN thu thập thông tin lỗi đã được mã hóa.
 Từ đó Hacker có thể suy ra được chuổi khóa.