🥇初心者のための Linux 上の Aircrack-ng ガイド

こんにちは、みんな。コース開始に向けて「Kali Linuxワークショップ」興味深い記事の翻訳を用意しました。

今日のチュートリアルでは、パッケージの使用を開始するための基本を説明します。 航空機のng。もちろん、必要な情報をすべて提供し、あらゆるシナリオをカバーすることは不可能です。したがって、自分で宿題や研究を行う準備をしてください。の上フォーラムとウィキ追加のチュートリアルやその他の役立つ情報が多数あります。

最初から最後まですべての手順を網羅しているわけではありませんが、単純なWEPクラックとの取り組みをより詳細に明らかにします 航空機のng.

機器のセットアップ、Aircrack-ngの設置

適切な動作を保証するための最初のステップ 航空機のng Linux システムにパッチを適用し、ネットワークカードに適切なドライバをインストールする必要があります。多くのカードは複数のドライバーで動作し、その一部は使用に必要な機能を提供します。 航空機のng、他の人はそうではありません。

パッケージに対応したネットワークカードが必要なのは言うまでもないと思います 航空機のng。つまり、完全な互換性があり、パケットインジェクションを実装できるハードウェアです。互換性のあるネットワークカードを使用すると、XNUMX 時間以内にワイヤレスアクセスポイントをハッキングできます。

カードがどのカテゴリに属しているかを確認するには、次のページを確認してください。機器の互換性。読むチュートリアル: 私のワイヤレスカードは互換性がありますか?, テーブルの扱い方がわからない場合。ただし、これによってマニュアルを読むことが妨げられるわけではなく、新しいことを学び、カードの特定の特性を確認するのに役立ちます。

まず、ネットワークカードが使用するチップセットとそれに必要なドライバーを知る必要があります。上の段落の情報を使用してこれを判断する必要があります。章内ドライバー必要なドライバーがわかります。

aircrack-ng の取り付け

aircrack-ng の最新バージョンは、次の場所から入手できます。メインページからダウンロードまたは、Kali Linux や Pentoo などの最新バージョンの侵入テストディストリビューションを使用することもできます。 航空機のng.

aircrack-ng をインストールするには、以下を参照してください。インストールページのドキュメント.

IEEE 802.11の基本

さて、すべての準備が整ったので、始める前に立ち止まって、ワイヤレスネットワークがどのように機能するかについていくつか学びましょう。

次の部分は、何かが期待どおりに機能しない場合にそれを理解できるように理解することが重要です。すべてがどのように機能するかを理解することは、問題を見つけるのに役立ちます。あるいは、少なくともそれを正しく説明して他の人が助けられるようにするのに役立ちます。ここでは話が少し難解になるため、この部分は飛ばした方がよいかもしれません。ただし、ワイヤレスネットワークをハッキングするには少しの知識が必要なので、ハッキングはコマンドを XNUMX つ入力してエアクラックに実行させるだけです。

ワイヤレスネットワークを見つける方法

このパートでは、アクセスポイント (AP) と連携する管理されたネットワークについて簡単に説明します。各アクセスポイントは、10 秒あたり約 XNUMX 個のいわゆるビーコンフレームを送信します。これらのパッケージには次の情報が含まれています。

ネットワーク名 (ESSID);
暗号化が使用されているかどうか (およびどのような暗号化が使用されているか。ただし、この情報は、アクセスポイントが報告するという理由だけで真実ではない可能性があることに注意してください)。
サポートされているデータ転送速度 (MBit 単位)。
ネットワークはどのチャンネルにありますか?

この情報は、特にこのネットワークに接続するツールに表示されます。これは、カードが以下を使用してネットワークをスキャンすることを許可すると表示されます。 iwlist <interface> scan そしてそれをするときアイロダンプNG.

各アクセスポイントには一意の MAC アドレス (48 ビット、6 つの 00 進ペア) があります。これは、01:23:4:XNUMXA:BC:DE のようになります。各ネットワーク機器はこのようなアドレスを持ち、ネットワーク機器同士はそれを使って通信を行います。なので、なんだかユニークな名前ですね。 MAC アドレスは一意であり、同じ MAC アドレスを持つデバイスは XNUMX つありません。

ネットワークに接続する

ワイヤレスネットワークに接続するには、いくつかのオプションがあります。ほとんどの場合、オープンシステム認証が使用されます。 (オプション: 認証について詳しく知りたい場合は、これを読む.)

オープンシステム認証:

アクセスポイント認証を要求します。
アクセスポイントは「OK、認証されました」と応答します。
アクセスポイントの関連付けを要求します。
アクセスポイントは「OK、接続されました」と応答します。

これは最も単純なケースですが、次の理由でアクセス権がない場合に問題が発生します。

WPA/WPA2を使用し、APOL認証が必要です。アクセスポイントは XNUMX 番目のステップで拒否します。
アクセスポイントには許可されたクライアント (MAC アドレス) のリストがあり、他のユーザーの接続は許可されません。これをMACフィルタリングと呼びます。
アクセスポイントは共有キー認証を使用します。つまり、接続するには正しい WEP キーを提供する必要があります。 (セクションを参照「偽の共有鍵認証をするにはどうすればいいですか？」詳細についてはこちらをご覧ください)

単純なスニッフィングとハッキング

ネットワークディスカバリ

まず最初にやるべきことは、潜在的なターゲットを見つけることです。 aircrack-ng パッケージにはこれが含まれていますアイロダンプNG、ただし、たとえば次のような他のプログラムを使用することもできます。宿命.

ネットワークを検索する前に、カードをいわゆる「監視モード」に切り替える必要があります。モニターモードは、コンピュータがネットワークパケットをリッスンできるようにする特別なモードです。このモードでは注入も可能です。次回は注射についてお話します。

ネットワークカードを監視モードにするには、次を使用します。 airmon-ngの:

airmon-ng start wlan0

このようにして、別のインターフェイスを作成し、それに追加します 「モン」。だから wlan0 意志 wlan0mon。ネットワークカードが実際に監視モードになっているかどうかを確認するには、次のコマンドを実行します。 iwconfig そして自分の目で見てください。

それから、走ってくださいアイロダンプNG ネットワークを検索するには:

airodump-ng wlan0mon

もし アイロダンプNG WLAN デバイスに接続できない場合は、次のようなメッセージが表示されます。

アイロダンプNG チャネルからチャネルにジャンプし、ビーコンを受信するすべてのアクセスポイントを表示します。チャネル 1 ～ 14 は 802.11 b および g 規格に使用されます（米国では 1 ～ 11 のみが許可されます。ヨーロッパでは一部の例外を除き 1 ～ 13 が許可されます。日本では 1 ～ 14 が使用されます）。 802.11a は 5 GHz 帯域で動作し、その可用性は 2,4 GHz 帯域よりも国によって異なります。一般に、既知のチャンネルは 36 (一部の国では 32) から 64 (一部の国では 68) および 96 ～ 165 で始まります。チャンネルの利用可能性に関する詳細情報は、Wikipedia で見つけることができます。 Linux では、あなたの国の特定のチャネルでの送信の許可/拒否を処理します。中央規制ドメインエージェント; ただし、それに応じて構成する必要があります。

現在のチャンネルは左上隅に表示されます。
しばらくすると、アクセスポイントと (おそらく) いくつかのクライアントが関連付けられるようになります。
上部のブロックには、検出されたアクセスポイントが表示されます。

bssid
アクセスポイントのMACアドレス

pwr
チャンネル選択時の信号品質

pwr
シグナル強度。一部のドライバーはそれを報告しません。

ビーコン
受信したビーコンの数。信号強度インジケーターがない場合は、ビーコンで測定できます。ビーコンの数が多いほど、信号は良好になります。

データ
受信したデータフレームの数

ch
アクセスポイントが動作するチャネル

mb
速度またはアクセスポイントモード。 11 は純粋な 802.11b、54 は純粋な 802.11g です。 XNUMX つの値は混合されます。

ENC
暗号化: opn: 暗号化なし、wep: wep 暗号化、wpa: wpa または wpa2、wep?: wep または wpa (まだ明確ではありません)

エシド
ネットワーク名、場合によっては隠される

下部のブロックには、検出されたクライアントが表示されます。

bssid
クライアントがこのアクセスポイントに関連付けられている MAC アドレス

駅
クライアント自体のMACアドレス

pwr
シグナル強度。一部のドライバーはそれを報告しません。

パケット
受信したデータフレームの数

プローブ
このクライアントがすでにテストしたネットワーク名 (essid)

次に、ターゲットネットワークを監視する必要があります。クライアントなしでネットワークをハッキングすることはより複雑なトピックであるため、少なくとも XNUMX つのクライアントがそれに接続されている必要があります (セクションを参照) クライアントなしでWEPをクラックする方法）。 WEP 暗号化を使用し、良好な信号を受信する必要があります。アンテナの位置を変更して信号受信を改善できる場合があります。信号強度は数センチメートルが決定的な場合があります。

上の例では、ネットワーク 00:01:02:03:04:05 があります。クライアントに接続されているのはこれだけであるため、これが唯一のターゲットであることが判明しました。電波も良好なので練習のターゲットとしても最適です。

初期化ベクトルのスニッフィング

リンクホッピングにより、ターゲットネットワークからすべてのパケットをキャプチャできるわけではありません。したがって、XNUMX つのチャネルでのみリッスンし、後でハッキングに使用できるように、すべてのデータをディスクに書き込みます。

airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon

パラメータの使用 -с チャンネルとパラメータを選択した後、 -w は、ディスクに書き込まれるネットワークダンプのプレフィックスです。フラグ –bssid アクセスポイントの MAC アドレスとともに、受信するパケットを XNUMX つのアクセスポイントに制限します。フラグ –bssid 新しいバージョンでのみ利用可能 アイロダンプNG.

WEP をクラックする前に、40 ～ 000 の異なる初期化ベクトル (IV) が必要になります。各データパケットには初期化ベクトルが含まれています。これらは再利用できるため、通常、ベクトルの数はキャプチャされたパケットの数よりわずかに少なくなります。
したがって、40k ～ 85k のデータパケット (IV を使用) をキャプチャするまで待つ必要があります。ネットワークが混雑していない場合、これには非常に長い時間がかかります。アクティブな攻撃 (またはリプレイ攻撃) を使用すると、このプロセスを高速化できます。それらについては次のパートで説明します。

ハッキング

すでに十分な量の傍受された IV が XNUMX つ以上のファイルに保存されている場合は、WEP キーの解読を試みることができます。

aircrack-ng -b 00:01:02:03:04:05 dump-01.cap

フラグの後のMACアドレス -b はターゲットの BSSID であり、 dump-01.cap 傍受されたパケットを含むファイルです。複数のファイルを使用できます。コマンドにすべての名前を追加するか、ワイルドカードを使用します。たとえば、 dump*.cap.

パラメータに関する詳細情報航空機のng、から取得できる出力と使用ガイド.

キーを解読するために必要な初期化ベクトルの数は無制限です。これは、一部のベクトルが他のベクトルよりも弱く、より多くの重要な情報を失うために発生します。通常、これらの初期化ベクトルはより強力なベクトルと混合されます。したがって、運が良ければ、わずか 20 個の IV でキーを解読できます。ただし、これだけでは不十分な場合も多く、 航空機のng 長時間 (エラーが大きい場合は 40 週間以上) 実行され、キーをクラックできないことが通知されることがあります。初期化ベクトルが多いほど、ハッキングはより速く行われ、通常は数分、場合によっては数秒で行われます。経験上、ハッキングには 000 ～ 85 個のベクターで十分であることがわかっています。

特別なアルゴリズムを使用して弱い IV を除外する、より高度なアクセスポイントがあります。その結果、アクセスポイントから N 個を超えるベクターを取得できなくなるか、キーを解読するには数百万のベクター (たとえば、5 ～ 7 万) が必要になります。あなたはできるフォーラムで読むこのような場合にどうすればよいか。

積極的な攻撃
ほとんどのデバイスは、少なくともドライバーにパッチが当てられていない限り、インジェクションをサポートしていません。特定の攻撃のみをサポートするものもあります。に話す互換性ページそしてコラムを見てみると エアプレイ。この表には最新の情報が含まれていない場合があります。そのため、「 "番号" ドライバーの向かい側にいるので、動揺しないで、ドライバーのホームページや、ドライバーのメーリングリストを見てください。私たちのフォーラム。サポートされているリストに含まれていないドライバーで正常に再生できた場合は、お気軽に互換性表ページで変更を提案し、クイックスタートガイドへのリンクを追加してください。 (これを行うには、IRC で wiki アカウントをリクエストする必要があります。)

まず、ネットワークカードとドライバーでパケットインジェクションが実際に機能することを確認する必要があります。チェックする最も簡単な方法は、テストインジェクション攻撃を実行することです。続行する前に、このテストに合格していることを確認してください。次の手順を完了するには、カードが挿入できる必要があります。

MAC アドレス (自分のアドレスなど) でフィルタリングされず、使用可能な範囲内にあるアクセスポイントの BSSID (アクセスポイントの MAC アドレス) と ESSID (ネットワーク名) が必要です。

を使用してアクセスポイントに接続してみてください airplay-ng:

aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon

後の意味 -а はアクセスポイントのBSSIDになります。
次のような表示があれば、インジェクションは成功しました。

12:14:06  Sending Authentication Request
12:14:06  Authentication successful
12:14:06  Sending Association Request
12:14:07  Association successful :-)

そうでない場合：

ESSID と BSSID が正しいことを再確認してください。
アクセスポイントで MAC アドレスフィルタリングが無効になっていることを確認してください。
別のアクセスポイントでも同じことを試してください。
ドライバーが適切に構成され、サポートされていることを確認してください。
「0」の代わりに「6000 -o 1 -q 10」を試してください。

ARPリプレイ

パケットインジェクションが機能することがわかったので、IV の傍受を大幅に高速化する手段、つまりインジェクション攻撃を行うことができます。 ARPリクエスト.

中心思想

簡単に言えば、ARP は IP アドレスにリクエストをブロードキャストし、その IP アドレスを持つデバイスが応答を送り返すことによって機能します。 WEP にはリプレイに対する保護がないため、パケットを盗聴して、有効である限り何度でも送信できます。したがって、トラフィックを生成する (および IV を取得する) ために必要なのは、アクセスポイントに送信された ARP リクエストをインターセプトして再実行することだけです。

怠惰なやり方

まずウィンドウを開きます アイロダンプNG、トラフィックを盗聴します (上記を参照)。 airplay-ng и アイロダンプNG 同時に作業することができます。クライアントがターゲットネットワークに表示されるのを待って、攻撃を開始します。

aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon

-b ターゲット BSSID を指します。 -h 接続されているクライアントの MAC アドレスに送信されます。

次に、ARP パケットが到着するのを待つ必要があります。通常、数分待つ必要があります (または記事をさらに読んでください)。
運が良ければ、次のようなものが表示されます。

Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...

再生を停止する必要がある場合は、次の ARP パケットが到着するまで待つ必要はなく、パラメータを使用して以前にキャプチャしたパケットを使用するだけです。 -r <filename>.
ARP インジェクションを使用する場合、PTW メソッドを使用して WEP キーをクラックできます。これにより、必要なパッケージの数が大幅に削減され、それに伴ってクラックにかかる時間も短縮されます。次のようにして完全なパケットをキャプチャする必要があります アイロダンプNGつまり、オプションを使用しません。 “--ivs” コマンドを実行するとき。のために 航空機のng 使用する “aircrack -z <file name>”。 (PTW はデフォルトの攻撃タイプです)

受信したデータパケットの数が アイロダンプNG 増加が止まった場合は、再生速度を下げる必要がある場合があります。これをパラメータで実行します -x <packets per second>。私は通常、50 から始めて、再び継続的にパケットを受信し始めるまで徐々に下げていきます。アンテナの位置を変えることも効果的です。

積極的なやり方

ほとんどのオペレーティングシステムは、シャットダウン時に ARP キャッシュをクリアします。再接続後に次のパケットを送信する必要がある場合 (または単に DHCP を使用する場合)、ARP 要求を送信します。副作用として、再接続中に ESSID と場合によってはキーストリームを盗聴することができます。これは、ターゲットの ESSID が非表示になっている場合、または共有キー認証を使用している場合に便利です。
聞かせて アイロダンプNG и airplay-ng 作業しています。別のウィンドウを開いて実行します認証解除攻撃:

それは -a – これはアクセスポイントの BSSID です。 -с 選択したクライアントの MAC アドレス。
数秒待つと、ARP リプレイが機能します。
ほとんどのクライアントは自動的に再接続を試みます。しかし、誰かがこの攻撃を認識するリスク、または少なくとも WLAN で何が起こっているかに注意を払うリスクは、他の攻撃よりも高くなります。

さらに詳しいツールとその情報については、ここを見つける.

コースについて詳しく見る

出所： habr.com

初心者のための Linux 上の Aircrack-ng ガイド