Ўсім прывітанне. Напярэдадні старту курса падрыхтавалі для вас перавод цікавага артыкула.
Сённяшняе кіраўніцтва пазнаёміць вас з асновамі для пачатку працы з пакетам самалёт-нг. Вядома, немагчыма падаць усю неабходную інфармацыю і ахапіць кожны сцэнар. Так што будзьце гатовыя рабіць дамашнія заданні і праводзіць даследаванні самастойна. На і ў ёсць мноства дадатковых тутарыялаў і іншай карыснай інфармацыі.
Нягледзячы на тое, што яно не пакрывае ўсе крокі ад пачатку да канца, кіраўніцтва падрабязней раскрывае працу з самалёт-нг.
Настройка абсталявання, устаноўка Aircrack-ng
Першым крокам у забеспячэнні правільнай працы самалёт-нг у вашай сістэме Linux з'яўляецца патчынг і ўстаноўка адпаведнага драйвера для вашай сеткавай карты. Многія карты працуюць з некалькімі драйверамі, некаторыя з іх даюць неабходны функцыянал для выкарыстання. самалёт-нг, іншыя няма.
Думаю, залішне казаць аб тым, што вам патрэбна сеткавая карта, сумяшчальная з пакетам самалёт-нг. Гэта значыць тое апаратнае забеспячэнне, якое цалкам сумяшчальнае і можа ўкараняць ін'екцыі пакетаў. З дапамогай сумяшчальнай сеткавай карты можна ўзламаць бесправадную кропку доступу менш, чым за гадзіну.
Каб вызначыць да якой катэгорыі адносіцца ваша карта, азнаёмцеся са старонкай . Прачытайце , калі не ведаеце, як звяртацца з табліцай. Тым не менш, гэта не перашкодзіць вам пры чытанні кіраўніцтва, якое дапаможа вам пазнаць нешта новае і пераканацца ў тых ці іншых уласцівасцях вашай карты.
Для пачатку, вам трэба ведаць, які чыпсэт выкарыстоўваецца ў вашай сеткавай карце і які драйвер вам для яго спатрэбіцца. Вам трэба вызначыць гэта з дапамогай інфармацыі з абзаца вышэй. У раздзеле вы даведаецеся, якія драйверы вам патрэбныя.
Устаноўка aircrack-ng
Апошнюю версію aircrack-ng можна атрымаць, , ці ж вы можаце скарыстацца дыстрыбутывам для правядзення тэсціравання на пранікненне, такім як Kali Linux або Pentoo, дзе стаіць апошняя версія самалёт-нг.
Каб усталяваць aircrack-ng звернецеся да .
Асновы IEEE 802.11
Добра, зараз, калі ўсё гатова, сітавіна зрабіць прыпынак перш, чым мы пачнем дзейнічаць, і пазнаць сёе-тое аб тым, як працуюць бесправадныя сеткі.
Наступную частку важна зразумець, каб здолець разабрацца ў выпадку, калі нешта будзе працаваць не так, як чакаецца. Разуменне таго, як усё гэта працуе, дапаможа вам знайсці праблему ці, прынамсі, правільна яе апісаць, каб хтосьці іншы змог вам дапамагчы. Тут усё крыху разумна, і, магчыма вам захочацца прапусціць гэтую частку. Аднак для ўзлому бесправадных сетак трэба крыху ведаў, і таму ўзлом - гэта крыху больш, чым проста набраць адну каманду і дазволіць aircrack зрабіць усё за вас.
Як знайсці бесправадную сетку
Гэтая частка - кароткае ўвядзенне ў кіраваныя сеткі, якія працуюць з кропкамі доступу (Access Point, AP). Кожны пункт доступу пасылае каля 10 так званых Бикон-фрэймаў (beacon frame) у секунду. Гэтыя пакеты змяшчаюць наступную інфармацыю:
- Імя сеткі (ESSID);
- Ці выкарыстоўваецца шыфраванне (і якое шыфраванне выкарыстоўваецца, але звернеце ўвагу на тое, што гэтая інфармацыя можа не з'яўляцца праўдзівай, толькі таму што кропка доступу паведамляе яе);
- Якія хуткасці перадачы даных падтрымліваюцца (у MBit);
- На якім канале знаходзіцца сетка.
Менавіта гэтая інфармацыя адлюстроўваецца ў інструменце, які падключаецца канкрэтна да гэтай сеткі. Яна адлюстроўваецца, калі вы дазваляеце карце сканаваць сеткі з дапамогай iwlist <interface> scan
Кожная кропка доступу валодае ўнікальным MAC-адрасам (48 біт, 6 пар шаснаццатковых лікаў). Выглядае ён прыкладна так: 00:01:23:4A:BC:DE. У кожнай сеткавай прылады ёсць такі адрас, і сеткавыя прылады ўзаемадзейнічаюць сябар з сябрам з іх дапамогай. Так што гэта нешта накшталт унікальнага імя. MAC-адрасы ўнікальныя і няма двух прылад з аднолькавымі MAC-адрасамі.
Падключэнне да сеткі
Ёсць некалькі варыянтаў падлучэння да бесправадной сеткі. У большасці выпадкаў выкарыстоўваецца Open System Authentication. (Па жаданні: калі вы хочаце даведацца больш аб аўтэнтыфікацыі, .)
Open System Authentication:
- Запытвае аўтэнтыфікацыю кропкі доступу;
- Кропка доступу адказвае: OK, вы аўтэнтыфікаваны.
- Запытвае асацыяцыю кропкі доступу;
- Кропка доступу адказвае: ОК, вы падключаны.
Гэта самы просты выпадак, але праблемы ўзнікаюць, калі вы не маеце правоў доступу, паколькі:
- Выкарыстоўваецца WPA/WPA2, і вам патрэбна аўтэнтыфікацыя APOL. Кропка доступу адкажа адмовай на другім кроку.
- У кропкі доступу ёсць спіс дазволеных кліентаў (MAC-адрасоў) і яна не дазволіць падлучыцца нікому іншаму. Гэта называецца фільтраванне па MAC.
- Кропка доступу выкарыстоўвае Shared Key Authentication, гэта значыць вам трэба даць правільны WEP-ключ, каб падключыцца. (Гл. раздзел каб даведацца больш пра гэта)
Просты сніфінг і ўзлом
Выяўленне сетак
Першае, што трэба зрабіць - гэта знайсці патэнцыйную мэту. У пакеце aircrack-ng для гэтага ёсць , але можна выкарыстоўваць і іншыя праграмы як, напрыклад, .
Перш чым шукаць сеткі, вы павінны перавесці сваю карту так званы "рэжым маніторынгу". Рэжым маніторынгу - гэта спецыяльны рэжым, які дазваляе вашаму кампутару праслухоўваць сеткавыя пакеты. Гэты рэжым таксама дае магчымасць укараняць ін'екцыі. Аб ін'екцыях мы пагаворым у наступны раз.
Каб перавесці сеткавую карту ў рэжым маніторынгу, выкарыстоўвайце :
airmon-ng start wlan0Дык вы створыце яшчэ адзін інтэрфейс і дадасце да яго «mon». Такім чынам, wlan0 стане wlan0mon. Каб праверыць, ці сапраўды сеткавая карта знаходзіцца ў рэжыме маніторынгу, выканайце iwconfig і пераканаецеся ў гэтым самі.
Затым, запусціце для пошуку сетак:
airodump-ng wlan0monКалі airodump-нг не зможа падлучыцца да WLAN-прылады, вы ўбачыце нешта падобнае:
пераскоквае з канала на канал і паказвае ўсе кропкі доступу, ад якіх ён атрымлівае біконы. Каналы з 1 па 14 выкарыстоўваюцца для стандартаў 802.11 b і g (у ЗША дазволена выкарыстоўваць толькі з 1 па 11; у Еўропе з 1 па 13 за некаторым выключэннем; у Японіі з 1 па 14). 802.11a працуе ў дыяпазоне 5 Ггц, і яго даступнасць вар'іруецца ў розных краінах больш, чым у дыяпазоне 2,4 Ггц. У цэлым, вядомыя каналы пачынаюцца з 36 (32 у некаторых краінах) па 64 (68 у некаторых краінах) і з 96 па 165. У Вікіпедыі вы можаце знайсці больш падрабязную інфармацыю аб даступнасці каналаў. У Linux аб дазволе/забароне перадачы па вызначаных каналах для вашай краіны клапоціцца ; аднак ён павінен быць наладжаны якая адпавядае выявай.
Бягучы канал паказаны ў левым верхнім куце.
Праз некаторы час з'явяцца кропкі доступу і (спадзяюся) некаторыя злучаныя з імі кліенты.
Верхні блок паказвае выяўленыя кропкі доступу:
bssid
mac-адрас кропкі доступу
pwr
якасць сігналу, калі абраны канал
pwr
сіла сігналу. некаторыя драйверы яе не паведамляюць.
маякі
колькасць атрыманых біконаў. калі ў вас адсутнічае паказчык сілы сігналу, вы можаце вымераць яе ў біконах: чым больш біконаў, тым лепш сігнал.
gegevens
колькасць атрыманых фрэймаў дадзеных
ch
канал, на якім працуе кропка доступу
mb
хуткасць або рэжым кропкі доступу. 11 - гэта чысты 802.11b, 54 - гэта чысты 802.11g. значэння паміж гэтымі двума - гэта сумесь.
енк
шыфраванне: opn: не шыфравання, wep: wep шыфраванне, wpa: wpa ці wpa2, wep?: wep ці wpa (пакуль незразумела)
эсід
імя сеткі, часам утоена
Ніжні блок паказвае выяўленыя кліенты:
bssid
mac-адрас, з якім кліент асацыюецца ў дадзенай кропкі доступу
станцыя
mac-адрас самога кліента
pwr
сіла сігналу. некаторыя драйверы яе не паведамляюць.
пакеты
колькасць атрыманых фрэймаў дадзеных
зонды
імёны сеткі (essid), якія гэты кліент ужо апрабаваў
Цяпер вам трэба сачыць за мэтавай сеткай. Да яе павінен быць падлучаны хаця б адзін кліент, паколькі ўзлом сетак без кліентаў - гэта больш складаная тэма (гл. раздзел ). Яна павінна выкарыстоўваць WEP-шыфраванне і мець добры сігнал. Магчыма, вы можаце памяняць становішча антэны, каб палепшыць прыём сігналу. Часам для сілы сігналу некалькі сантыметраў могуць аказацца вырашальнымі.
У прыкладзе вышэй ёсць сетка 00:01:02:03:04:05. Яна аказалася адзінай магчымай мэтай, паколькі толькі да яе падключаны кліент. А яшчэ ў яе добры сігнал, таму яна з'яўляецца прыдатнай мэтай для практыкі.
Сніфінг Вектараў Ініцыялізацыі
З-за пераскокаў паміж каналамі вы не будзеце перахапляць усе пакеты з мэтавай сеткі. Таму мы жадаем слухаць толькі на адным канале і дадаткова запісваць усе дадзеныя на дыск, каб у далейшым мець магчымасць выкарыстоўваць іх для ўзлому:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon З дапамогай параметра -с вы выбіраеце канал, а параметр пасля -w з'яўляецца прэфіксам сеткавых дампаў, запісаных на дыск. Сцяг –bssid разам з MAC-адрасам кропкі доступу абмяжоўвае атрыманне пакетаў да адной кропкі доступу. Сцяг –bssid даступны толькі ў новых версіях airodump-нг.
Перад узломам WEP, вам спатрэбіцца ад 40 000 да 85 000 розных вектараў ініцыялізацыі (Initialization Vector, IV). Кожны пакет даных змяшчае вектар ініцыялізацыі. Іх можна перавыкарыстоўваць, таму колькасць вектараў звычайна крыху менш, чым колькасць перахопленых пакетаў.
Такім чынам, вам давядзецца пачакаць, каб перахапіць ад 40к да 85к пакетаў дадзеных (з IV). Калі сетка не занята, гэта зойме вельмі шмат часу. Вы можаце паскорыць гэты працэс выкарыстоўваючы актыўную атаку (або атаку паўторнага прайгравання). Пра іх мы пагаворым у наступнай частцы.
ўзлом
Ёсць у вас ужо ёсць дастаткова перахопленых вектараў ініцыялізацыі, якія захоўваюцца ў адным або некалькіх файлах, вы можаце паспрабаваць узламаць WEP-ключ:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap MAC-адрас пасля сцяга -b - гэта BSSID мэты, а dump-01.cap - Гэта файл, які змяшчае перахопленыя пакеты. Вы можаце выкарыстоўваць некалькі файлаў, для гэтага проста дадайце ў каманду ўсе імёны або скарыстайцеся сімвалам падстаноўкі, напрыклад dump*.cap.
Больш інфармацыі аб параметрах , выснове і выкарыстанні вы можаце атрымаць з .
Колькасць вектараў ініцыялізацыі, неабходных для ўзлому ключа, не абмежавана. Так адбываецца таму, што некаторыя вектары слабейшыя і губляюць больш інфармацыі пра ключ, чым іншыя. Звычайна гэтыя вектары ініцыялізацыі змешваюцца з мацнейшымі. Так што, калі вам павязе, вы зможаце ўзламаць ключ усяго з 20 000 вектарамі ініцыялізацыі. Аднак часта і гэтага бывае недастаткова, самалёт-нг можа працаваць доўга (тыдзень ці больш у выпадку высокай хібнасці), а затым сказаць вам, што ключ не можа быць узламаны. Чым больш у вас вектараў ініцыялізацыі, тым хутчэй можа адбыцца ўзлом і звычайна гэта робіць за некалькі хвілін ці нават секунд. Досвед паказвае, што для ўзлому досыць 40 000 - 85 000 вектараў.
Існуюць больш прасунутыя кропкі доступу, якія выкарыстоўваюць спецыяльныя алгарытмы, каб адфільтроўваць слабыя вектара ініцыялізацыі. У выніку вы не зможаце атрымаць больш, чым N вектараў ад кропкі доступу, альбо вам спатрэбяцца мільёны вектараў (напрыклад, 5-7 мільёнаў), каб узламаць ключ. Вы можаце , што рабіць у такіх выпадках.
Актыўныя атакі
Большасць прылад не падтрымліваюць ін'екцыі, прынамсі без пропатченных драйвераў. Некаторыя падтрымліваюць толькі пэўныя атакі. Звернецеся да і паглядзіце ў слупок aireplay. Часам гэтая табліца не дае актуальнай інфармацыі, таму калі вы ўбачыце слова "НЕ" насупраць вашага драйвера, не хвалюйцеся, а лепш паглядзіце на хатнюю старонку драйвера, у спіс рассылак драйвераў на . Калі вам удалося паспяхова правесці паўторнае прайграванне з дапамогай драйвера, які не быў уключаны ў спіс падтрымліваемых, не саромейцеся прапаноўваць змены на старонцы табліцы сумяшчальнасці і дадаваць спасылку на кароткае кіраўніцтва. (Для гэтага трэба запытаць уліковы запіс wiki на IRC.)
Для пачатку трэба пераканацца, што ін'екцыя пакетаў сапраўды працуе з вашай сеткавай картай і драйверам. Самы просты спосаб праверыць - гэта правесці тэставую ін'екцыйную атаку. Перад тым, як працягваць працу, пераканайцеся, што вы прайшлі гэты тэст. Ваша карта павінна мець магчымасць укараняць ін'екцыі, каб вы маглі выканаць наступныя крокі.
Вам спатрэбіцца BSSID (MAC-адрас кропкі доступу) і ESSID (сеткавае імя) кропкі доступу, якая не выконвае фільтраванне па MAC-адрасах (напрыклад, ваша ўласная), і знаходзіцца ў даступным дыяпазоне.
Паспрабуйце падключыцца да кропкі доступу з дапамогай :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon Значэннем пасля -а будзе BSSID вашай кропкі доступу.
Ін'екцыя спрацавала, калі вы ўбачыце нешта накшталт гэтага:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)Калі не:
- Пераправерце карэктнасць ESSID і BSSID;
- Пераканайцеся, што на вашай кропцы доступу адключаная фільтраванне па MAC-адрасам;
- Паспрабуйце гэта ж на іншай кропцы доступу;
- Пераканайцеся, што ваш драйвер правільна наладжаны і падтрымліваецца;
- Замест "0" паспрабуйце "6000 -o 1 -q 10".
ARP replay
Цяпер, калі мы ведаем, што ін'екцыя пакетаў працуе, мы можам зрабіць што-небудзь, што моцна паскорыць перахоп вектараў ініцыялізацыі: атака ін'екцый .
Асноўная ідэя
Калі казаць простай мовай, то ARP працуе, перадаючы шырокавяшчальны запыт на IP-адрас, а прылада з гэтым IP-адрасам адпраўляе зваротна адказ. Паколькі WEP не абараняе ад паўторнага прайгравання, вы можаце зняць пакет і адпраўляць яго зноў і зноў, пакуль ён валідны. Такім чынам, вам трэба проста перахапіць і прайграць ARP-запыт, адпраўлены кропцы доступу, каб стварыць трафік (і атрымаць вектара ініцыялізацыі).
Гультай спосаб
Спачатку адкрыйце акно з airodump-нг, які зніфіт трафік (гл. вышэй). Aireplay-нг и airodump-нг могуць працаваць адначасова. Дачакайцеся з'яўлення кліента ў мэтавай сетцы і пачынайце атаку:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b паказвае на мэтавай BSSID, -h на MAC-адрас падключанага кліента.
Цяпер вам трэба дачакацца атрымання ARP-пакета. Звычайна трэба чакаць некалькі хвілін (ці прачытаць артыкул далей).
Калі вам пашанцавала, вы ўбачыце нешта падобнае:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...Калі вам трэба спыніць прайграванне, то не трэба чакаць з'яўленні наступнага ARP-пакета, вы можаце проста выкарыстоўваць раней перахопленыя пакеты з дапамогай параметру -r <filename>
Пры выкарыстанні ARP-ін'екцый, вы можаце выкарыстоўваць метад PTW для ўзлому WEP-ключа. Ён значна скарачае колькасць неабходных пакетаў, а з імі і час на ўзлом. Вам трэба перахапіць поўны пакет з дапамогай airodump-нг, гэта значыць не выкарыстоўваць опцыю “--ivs” пры выкананні каманды. Для самалёт-нг выкарыстоўвайце “aircrack -z <file name>”
Калі колькасць пакетаў дадзеных атрымоўваных airodump-нг перастае павялічвацца, вам, магчыма, давядзецца паменшыць хуткасць прайгравання. Зрабіце гэта з дапамогай параметру -x <packets per second>
Агрэсіўны спосаб
Большасць аперацыйных сістэм чысцяць кэш ARP пры адключэнні. Калі трэба адправіць наступны пакет пасля паўторнага падлучэння (ці проста выкарыстоўваць DHCP), яны адпраўляюць ARP-запыт. У якасці пабочнага эфекту вы можаце зняць ESSID і, магчыма, keystream падчас перападлучэння. Гэта зручна, калі ESSID вашай мэты скрыты ці яна выкарыстоўвае shared-key authentication.
Няхай airodump-нг и aireplay-нг працуюць. Адкрыйце яшчэ адно акно і запусціце :
Тут -a – гэта BSSID кропкі доступу, -с МАС-адрас абранага кліента.
Пачакайце некалькі секунд і ARP replay запрацуе.
Большасць кліентаў спрабуюць аднавіць злучэнне аўтаматычна. Але рызыка таго, што хтосьці распазнае гэты напад, ці, прынамсі, выявіць увагу да таго, што адбываецца на WLAN, вышэй, чым пры іншых нападах.
Больш інструментаў і інфармацыі аб іх, вы .
Крыніца: habr.com