PMKID 攻击
PMKID 攻击 是什么?
PMKID 攻击一种针对 WPA/WPA2-PSK 的离线破解方法,仅凭从 AP 捕获的单个 PMKID 字段即可推导出口令,无需客户端。
PMKID 攻击由 hashcat 主开发者 Jens Steube 于 2018 年 8 月公开。它针对支持漫游的 802.11i AP 在第一条 EAPOL 消息中可选发送的 RSN PMKID 元素。PMKID 计算为 HMAC-SHA1(PMK, 'PMK Name' | BSSID | 客户端 MAC),因此只要捕获一次由信标驱动的关联尝试中的 PMKID,即可用 hashcat -m 22000 进行离线字典或掩码爆破。与传统的四次握手抓包不同,无需任何合法客户端在场。缓解方法:在不使用 PMKID 时将其关闭、部署 WPA3-SAE、使用足够长的随机口令或 802.1X 企业认证。
● 示例
- 01
使用 hcxdumptool 从路由器抓取 PMKID,再用 hashcat -m 22000 离线破解。
- 02
从一帧 PMKID 中恢复弱口令 '12345678'。
● 常见问题
PMKID 攻击 是什么?
一种针对 WPA/WPA2-PSK 的离线破解方法,仅凭从 AP 捕获的单个 PMKID 字段即可推导出口令,无需客户端。 它属于网络安全的 攻击与威胁 分类。
PMKID 攻击 是什么意思?
一种针对 WPA/WPA2-PSK 的离线破解方法,仅凭从 AP 捕获的单个 PMKID 字段即可推导出口令,无需客户端。
PMKID 攻击 是如何工作的?
PMKID 攻击由 hashcat 主开发者 Jens Steube 于 2018 年 8 月公开。它针对支持漫游的 802.11i AP 在第一条 EAPOL 消息中可选发送的 RSN PMKID 元素。PMKID 计算为 HMAC-SHA1(PMK, 'PMK Name' | BSSID | 客户端 MAC),因此只要捕获一次由信标驱动的关联尝试中的 PMKID,即可用 hashcat -m 22000 进行离线字典或掩码爆破。与传统的四次握手抓包不同,无需任何合法客户端在场。缓解方法:在不使用 PMKID 时将其关闭、部署 WPA3-SAE、使用足够长的随机口令或 802.1X 企业认证。
如何防御 PMKID 攻击?
针对 PMKID 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
PMKID 攻击 还有哪些其他名称?
常见的别称包括: RSN PMKID 攻击, Hashcat WPA 攻击。
● 相关术语
- network-security№ 1249
WPA2
Wi-Fi Protected Access 的第二代,基于 AES-CCMP 与 IEEE 802.11i,自 2004 年起一直是 Wi-Fi 安全的事实标准。
- network-security№ 1250
WPA3
Wi-Fi Protected Access 的第三代,引入基于 SAE 的身份认证、前向保密以及更强的个人与企业 Wi-Fi 防护。
- attacks№ 595
KRACK 攻击
针对 WPA2 的密钥重装攻击,通过迫使四次握手中的随机数复用,使攻击者能够解密或重放 Wi-Fi 流量。
- attacks№ 358
Dragonblood 漏洞
针对 WPA3 SAE(Dragonfly)的一组侧信道与降级攻击,可使附近的攻击者获取 Wi-Fi 密码。
- attacks№ 1251
WPS 攻击
对 Wi-Fi Protected Setup 八位 PIN 的在线暴力破解,可在数小时内还原 WPA/WPA2 口令。
● 参见
- № 828Pixie Dust 攻击
- № 579KARMA 攻击
- № 1223战争驾驶 (Wardriving)