标签 dd wrt wifidog教程下的文章

wifidog 用户第一次访问网络流程图-wifidog原理

作者: 佐须之男
时间: March 19, 2015
分类: 默认分类,wifidog认证,wifidog安装,wifidog原理,wifidog分析,wifidog配置

通过wifidog实现用户上网强制认证后，用户第一次访问网络的流程大致如下：

1.用户通过浏览器访问某一网页。
2.wifidog重定向用户请求到认证服务器。
3.认证服务器返回登录认证页面给用户。
4.用户输入认证信息并提交。
5.认证通过后，服务器告知路由器放行。
6.用正常上网。

对应流程图如下：
QQ截图20150319091336.png

本文章由 http://www.wifidog.pro/2015/03/19/wifidog%E5%8E%9F%E7%90%86-1.html整理编辑，转载请注明出处

wifidog安装指南HotSpot Builder Utility安装指南用于安装到Linux系统的计算机

作者: 佐须之男
时间: March 18, 2015
分类: 默认分类,wifidog认证,wifidog安装,wifidog分析,wifidog配置

1. 系统需求
硬件

一台带有2个网络接口的计算机
一个无线AP设备（如，无线路由器）

软件

Linux操作系统 (推荐ubuntu 8.04或更高)
dhcp3-server

如果dhcp3-server还没有安装，你可以手动安装，例如，
在Debian中执行：

sudo apt-get install dhcp3-server

在Redhat/CentOS中执行：

yum install dhcp

将计算机的一个网络接口连接到Internet。
设置并启用无线网络，即用无线路由器创建一个可用Access Point。
将另一个网络接口(有线的或无线的)连接到(或桥接到)你的无线AP设备以接入无线局域网(WLAN)，并且手动设置一个IP。

建议清空iptables/防火墙设置。例如：

/etc/init.d/iptables stop

或

iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F

注：
当所有的安装设置完成后，你的计算机（而不是无线AP）将充当无线网络的网关的角色。所以，如果你的无线AP设备是一个无线路由器，那么请禁用它的DHCP与UPNP服务。

2. 在Web控制面板中创建热点
登录到Web控制面板，访问http://cp.wiwiz.com/as/ 。
点击“我的热点”，在接下来的页面中点击“创建热点”。根据页面的提示完成各项设置，点击保存。
你将会看到你刚创建热点的Hotspot ID。记下它，接下来的步骤将会用到它。

3. 安装与设置Wiwiz HotSpot Builder Utility组件
从http://www.wiwiz.com/download/下载最新版的Wiwiz HotSpot Builder Utility。

执行以下命令进行安装：

cd / ; tar -zxf hsbuilder-util-latest.tar.gz

执行以下命令以开始设置：

/usr/local/hsbuilder/hsbuilder_setup.sh setup

然后根据提示完成设置。
然后根据各步提示完成设置。以下是各步提示的说明：

“please select External NIC (typically the one going out to the Inernet):”– 此步请选择接入到Internet的网络接口。

“please select Internal NIC (typically your wifi interface):”– 此步请选择接入到局域网/无线局域网的网络接口。

“please input Hotspot ID:” — 此步请输入你在Wiwiz Web面板中创建的热点的Hotspot ID（不是热点的名称，也不是你的无线网络的SSID）。

“please input User Name:” — 此步请输入你的Wiwiz注册用户名。

“please input Server Address and Port:” — 此步请保持默认值。

“Do you want DHCP service to be configured? If you select No to skip it, you need to configure DHCP service manually later.” — 此步请选择是否让Wiwiz HotSpot Builder Utility自动配置DHCP服务。如果选择是，请继续以下的步骤。

“DHCP Setting: please input Network IP:” — 此步请输入你的局域网/无线局域网的网络IP。例如：192.168.1.0代表的是192.168.1.xxx网段。

“DHCP Setting: please input NET MASK:” — 此步请输入你的局域网/无线局域网的掩码。

“DHCP Setting: please input IP of Gateway (it should be the IP of this machine):” — 此步请输入今后的局域网/无线局域网的网关地址，即这台计算机的Internal NIC的IP地址（一般保留默认值即可）。

“DHCP Setting: please input DNS:” — 此步请输入DNS地址。默认值为程序自动检测到的DNS地址。也可以指定其他可用的DNS地址，推荐指定ISP提供的DNS地址。

“DHCP Setting: please input IP Range of this Network:” — 此步请输入DHCP地址分配范围。一般保留默认值即可。

最后，如果没有报错信息并看到“HSBuilder Setup Completed!”的提示文字，那么安装已经完成了。

注：
当上述过程完成后，如果程序提示警告信息“Warning: DHCP Service starting failed. You need to start it up manually.”，那么说明自动配置和启动DHCP服务失败，请自行手动配置并启动它。

你可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下你的热点：

搜索可用Wi-Fi热点，并连接到你的热点。
打开Web浏览器，输入任何一个HTTP开头的网址。如果你的热点的认证页面能够显示出来，就说明你的热点已经正常运转了。

本文章由 http://www.wifidog.pro/2015/03/18/wifidog%E5%AE%89%E8%A3%85%E5%88%B0linux%E8%AE%A1%E7%AE%97%E6%9C%BA.html整理编辑，转载请注明出处

wifidog标准流程描述-wifidog原理

作者: 佐须之男
时间: March 18, 2015
分类: 源码分析,wifidog认证,wifidog安装,wifidog原理,wifidog分析,wifidog配置,wifidog流程

一认证流程描述
　　i. Wifidog 运行之后建立一系列的防火墙规则，主要规则起到如下作用：

　　　　1.阻断所有内网到外网的访问。

　　　　2.开通内网到外网的 dns 访问。

　　　　3.开通内网到认证服务器以及域名白名单的访问。

　　　　4.对内网到外网 80 端口的访问转向到 wifidog 自己的 http 服务（2060 端口）。

　　ii. 手机、pc 连接上来后，app 或者系统（安卓、ios 会自己连接到各自的服务器上来验证网络的连通性）会发起对外网的访问请求，dns 请求会被放过，然后对应的 80 端口的访问会被指向 2060 的 http 服务，其他的请求都会被拦截。
　　iii. Wifidog 的 http 接到 web 请求后，基本上都会被指向 404 页面，404 页面会给客户端一个重定向返回（302），要求客户端重定向访问认证服务器的 login 页面，附加参数 gw_id、gw_address、gw_port、url。
　　iv. 手机、pc 客户端加载、显示认证服务器的 login 页面，用户根据页面内容做相关的认证操作（qq 登录、微博登录、用户名密码登录、手机短信登录等多种登录方式），原则只有一个认证不成功就仍然让用户停留在认证服务器继续认证操作，认证成功给客户端一个 302 重定向返回，根据 login 接口提交上来的参数 gw_address、gw_port 跳转套 wifidog web 服务的/wifidog/auth 页面上，附带 token 和 url 参数。
　　v. Wifidog 的 web 服务收到手机、pc 客户端的/wifidog/auth 请求后，会主动对认证服务器的 auth 接口发起一个验证请求，附带参数 ip、 mac、 token、 stage=loginvi. 认证服务器的 auth 接口收到 wifidog 的请求，要根据内部逻辑返回是否允许通过的应答：

　　　　Auth: 0 拒绝

　　　　Auth: 1 允许

　　vii. Wifidog 接收到验证结果后，如果拒绝访问，就会返回 302 给客户端，重定向到认证服务器的 gw_message 接口，附带 message=denied 参数，客户端的上网访问仍然会回到第二步骤；如果允许访问，则改动防火墙规则，开通改客户端的上网（至此客户端已经能够正常上网），然后返回 302 重点向给客户端，重定向到认证服务器的 portal 接口，附带参数 gw_id。

　　viii. 认证服务器的的 portal 接口根据业务流成显示广告业或者做其他的跳转ix. 整个认证流程完成。

二 ping 心跳流程描述
　　i. ping 接口 wifidog 检测认证服务器访问是否正常、并向认证服务器提交 wifidog的运行状态。
　　ii. 定时 ping 认证服务器。
　　iii. 提交的参数 gw_id、sys_uptime、sys_memfree、wifidog_uptime。

三 auth 心跳流程描述
　　i. 和 ping 一样的频率定期请求认证服务器，并且有多少已认证客户端就发多少请求。
　　ii. 用来向认证服务器提交客户端的状态以及执行认证服务的验证结果。
　　iii. 提交的参数有：ip、mac、token、incoming、outgoing 、stage=counters。
　　iv. 如果服务器返回拒绝，则 wifidog 改动防火墙规则，关闭该客户端的上网。

本文章由 http://www.wifidog.pro/2015/03/18/wifidog%E6%A0%87%E5%87%86%E6%B5%81%E7%A8%8B%E6%8F%8F%E8%BF%B0.html 整理编辑，转载请注明出处

wifidog 实现无线热点认证

作者: 佐须之男
时间: March 12, 2015
分类: 默认分类,wifidog认证,wifidog安装,wifidog源码,wifidog配置,wifidog流程

<Wifi有一种web方式认证方案，当连接到某些不加密的热点之后，会跳转到一个网页来认证登陆，大家熟悉的CMCC就采用了这种web的验证方式。>
它的原理是在得到正确的认证之前，会把所有的流量重定向到认证服务器上，通过认证后，便可以正常使用。
如果说仅仅想获取web验证时其他用户的用户名和密码，arp欺骗然后嗅探足够了。因为此时攻击者已经分配到了ip，且同一网关下产生的流量是不会重定向的。
但是目前的情况是，认证服务器用的https加密传输，无法嗅探到明文密码。
于是萌生了伪造热点及web认证服务器，然后记录密码的想法。

客户端在接受WiFi信号的时候有一个特点，在ssid相同的时候，会只保留信号强的那一个无线路由的ssid。
这样，只要伪造热点的ssid与原热点的相同，会有部分人搜到伪造的热点，从而登陆，记录密码。

本无线路由用的ddwrt的系统，装了wifidog来进行辅助web认证。

至于如何搭建web认证系统，百度一大把，但主要是用了wiwiz和wifiap这两个成熟的网站提供的方案。
但是，利用第三方的网站无法拦截到用户名和密码，而且无法控制认证的过程。
最好的解决方法是自己搭建一个简单的系统。

Wifidog的认证流程如下：
1、客户端发出一个http请求(http://www.xxx.com)
2、网关将该请求信息以及网关本身的一些信息作为参数，将原始的请求重定向到web认证服务器(http://auth_server/login/)
3、Web认证服务器通过客户端的认证之后，返回一个一次性的token，客户端带着这个token去网关上的wifidog开放的端口去做验证(http://GatewayIP:GatewayPort/wifidog/auth?token=[auth token])
4、Wifidog拿到token后，到web认证服务器检测token是否有效，如果有效则通过客户端的验证，开放访问权限，并将客户端重定向到web认证服务器的欢迎界面(http://auth_server/portal/)；如果token无效，则需要继续验证

Wifidog官方推荐的web认证服务软件为authpuppy (http://www.authpuppy.org)，不过其代码比较复杂，可以参考wifidog之前的web认证服务软件。获取方式为：

svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth

web认证服务软件用php写成，重点文件为wifidog-auth\wifidog\login\index.php(客户端web认证、产生token以及重定向到wifidog的开放端口)、wifidog-auth\wifidog\auth\index.php(wifidog验证token)、wifidog-auth\wifidog\portal\index.php(认证成功后页面重定向)。宏定义在wifidog-auth\wifidog\include\common.php文件中。

了解了基本流程就可以DIY出一个简单的web认证服务器了。在认证的过程中可以顺便记录下客户端的密码。
路由器上Wifidog配置如下图。重点配置的地方为端口号(port)，认证服务器(AuthServer Hostname)，认证服务器web端口(AuthServer HTTP Port)，路径(AuthServer Path)。

web认证服务器端代码大家自己发挥吧。我个人只是实现了记录用户名密码这样一个简单的功能，如果要做的好的话可以用用户提交的密码到真正的认证服务器做一次认证来返回合适的结果，以及自己搭建dns服务器伪装的更加逼真，但是对于那些比较敏感的用户，还是不容易进行欺骗的，比如用回会发现ssl加密不见了。

考虑到功耗和实用问题，我的web认证服务器是搭建在树莓派上的。配置好无线路由的WLAN确保能联网之后，设置路由器的ip为10.1.1.1，手工配置树莓派静态ip为10.1.1.2。树莓派上安装nginx和php，配置好webserver的环境，上传自己的代码。开启无线路由的wifidog就可以守株待兔了。

当用户连接到自己搭建的无线路由器之后，可以说所有的网络流量都在控制之中了。不过怎么拿到这些流量成了一个问题。在此有三种拿到流量的方法。

1、ARP欺骗
这个不多说，大家都懂。不过有种偏离正题的感觉。
2、网线嗅探
当所处的环境通过网线来连到互联网时可用这个方法。将网线接入自制的硬件并将另一端插到无线路由的WLAN口，做好相应的配置。所需硬件参见我之前的一个帖子。原理类似于Throwing star lan tap，直接监听网线上的数据（无线路由的WLAN口）。
3、通过笔记本做中介
当所处的环境只有无线网连到Internet时，可用笔记本来搭建一个中介。
其连接关系为：
AP—无线网卡—有线网卡—自己的无线路由—受害者
这时用笔记本就可以直接嗅探到所有的数据。

这里以windows环境为例，演示如何搭建这个数据流链条。
在无线网卡连接到无线网之后，在属性中选择Internet连接共享，共享给以太网卡（有线网卡）。

此时有线网卡的ip会被设置为192.168.137.1

用网线连接有线网卡的网口和无线路由的WLAN。在无线路由的配置页面，将WLAN口配置静态ip为192.168.137.2，子网掩码255.255.255.0，网关为192.168.137.1。
这时整个数据流链条便搭建成功。

至于在linux下的搭建，注意打开ip_forward功能，并配置好iptables。因为没有linux环境，不在此详细演示。

对于流经网卡的数据包，可以收集的信息主要有两种：密码和session。
windows下的cain用来嗅探并提取得到的用户名密码，改下规则也能得到特定的cookie。
linux下的ettercap设置好规则能获取到几乎所有想要的信息，还能用来更改返回的web页面、挂马、添加cookie等等，可谓神器。

至于开启了ssl加密的服务器，可以用ssltrip来得到明文传送的数据。
如果不怕麻烦的话，还可以自己搭设dns服务器来钓鱼，不过这样就有些杀鸡用牛刀了。

PS：最近出了个叫极路由的东西，号称自动翻墙。目测是内置了一个vpn。大家有兴趣可以去了解下~
PPS：利用web认证方式的热点是挂马利器哦

本文章由 http://www.wifidog.pro/2015/03/12/wifidog-%E8%AE%A4%E8%AF%81-2.html 整理编辑，转载请注明出处