Olá a todos. Antecipando o início do curso Preparamos para você a tradução de um artigo interessante.
O tutorial de hoje irá orientá-lo nos princípios básicos para começar a usar o pacote aircrack-ng. É claro que é impossível fornecer todas as informações necessárias e cobrir todos os cenários. Portanto, esteja preparado para fazer sua lição de casa e pesquisar por conta própria. Sobre e Existem muitos tutoriais adicionais e outras informações úteis.
Embora não cubra todas as etapas do início ao fim, o guia revela com mais detalhes o trabalho com aircrack-ng.
Configurando equipamentos, instalando Aircrack-ng
O primeiro passo para garantir o funcionamento adequado aircrack-ng em seu sistema Linux é corrigir e instalar o driver apropriado para sua placa de rede. Muitas placas funcionam com vários drivers, alguns dos quais fornecem a funcionalidade necessária para uso aircrack-ng, outros não.
Acho que nem é preciso dizer que você precisa de uma placa de rede compatível com o pacote aircrack-ng. Ou seja, hardware totalmente compatível e capaz de implementar injeção de pacotes. Usando uma placa de rede compatível, você pode hackear um ponto de acesso sem fio em menos de uma hora.
Para determinar a qual categoria seu cartão pertence, confira a página . Ler , se você não sabe como lidar com a mesa. Porém, isso não o impedirá de ler o manual, que o ajudará a aprender algo novo e a certificar-se de certas propriedades do seu cartão.
Primeiro, você precisa saber qual chipset sua placa de rede usa e qual driver será necessário para ela. Você precisa determinar isso usando as informações do parágrafo acima. No capítulo você descobrirá quais drivers você precisa.
Instalando o Aircrack-ng
A versão mais recente do aircrack-ng pode ser obtida em , ou você pode usar uma distribuição de teste de penetração como Kali Linux ou Pentoo, que possui a versão mais recente aircrack-ng.
Para instalar o aircrack-ng consulte .
Noções básicas do IEEE 802.11
Ok, agora que estamos todos prontos, é hora de parar antes de começarmos e aprender algumas coisas sobre como funcionam as redes sem fio.
É importante entender a próxima parte para que você possa descobrir se algo não funciona conforme o esperado. Entender como tudo funciona ajudará você a encontrar o problema ou, pelo menos, descrevê-lo corretamente para que outra pessoa possa ajudá-lo. As coisas ficam um pouco misteriosas aqui e você pode querer pular esta parte. No entanto, hackear redes sem fio requer um pouco de conhecimento, então hackear é pouco mais do que apenas digitar um comando e deixar o aircrack fazer isso por você.
Como encontrar uma rede sem fio
Esta parte é uma breve introdução às redes gerenciadas que funcionam com pontos de acesso (AP). Cada ponto de acesso envia cerca de 10 quadros de beacon por segundo. Esses pacotes contêm as seguintes informações:
- Nome da rede (ESSID);
- Se a criptografia é usada (e qual criptografia é usada, mas observe que esta informação pode não ser verdadeira apenas porque o ponto de acesso a reporta);
- Quais taxas de transferência de dados são suportadas (em MBit);
- Em que canal está a rede?
São essas informações que são exibidas em uma ferramenta que se conecta especificamente a esta rede. Aparece quando você permite que o cartão verifique redes usando iwlist <interface> scan
Cada ponto de acesso possui um endereço MAC exclusivo (48 bits, 6 pares hexadecimais). É mais ou menos assim: 00:01:23:4A:BC:DE. Cada dispositivo de rede possui esse endereço e os dispositivos de rede se comunicam entre si por meio deles. Portanto, é um nome único. Os endereços MAC são únicos e não existem dois dispositivos com o mesmo endereço MAC.
Conectando-se à rede
Existem várias opções para conectar-se a uma rede sem fio. Na maioria dos casos, a autenticação de sistema aberto é usada. (Opcional: se quiser saber mais sobre autenticação, .)
Autenticação de sistema aberto:
- Solicita autenticação de ponto de acesso;
- O ponto de acesso responde: OK, você está autenticado.
- Solicita uma associação de ponto de acesso;
- O ponto de acesso responde: OK, você está conectado.
Este é o caso mais simples, mas surgem problemas quando você não tem direitos de acesso porque:
- Usa WPA/WPA2 e você precisa de autenticação APOL. O ponto de acesso recusará na segunda etapa.
- O ponto de acesso possui uma lista de clientes permitidos (endereços MAC) e não permitirá a conexão de mais ninguém. Isso é chamado de filtragem MAC.
- O ponto de acesso usa autenticação de chave compartilhada, o que significa que você precisa fornecer a chave WEP correta para se conectar. (Ver seção para saber mais sobre isso)
Sniffing e hacking simples
Descoberta de rede
A primeira coisa a fazer é encontrar um alvo potencial. O pacote aircrack-ng tem isso para isso , mas você pode usar outros programas como, por exemplo, .
Antes de procurar redes, você deve colocar sua placa no chamado “modo de monitoramento”. O modo monitor é um modo especial que permite ao seu computador ouvir pacotes de rede. Este modo também permite injeções. Falaremos sobre injeções na próxima vez.
Para colocar a placa de rede no modo de monitoramento, use :
airmon-ng start wlan0Desta forma você criará outra interface e adicionará a ela "meu". Então wlan0 vontade wlan0mon. Para verificar se a placa de rede está realmente em modo de monitoramento, execute iwconfig e veja por si mesmo.
Então corra para procurar redes:
airodump-ng wlan0monSe airodump-ng não conseguirá se conectar ao dispositivo WLAN, você verá algo assim:
salta de canal em canal e mostra todos os pontos de acesso dos quais recebe beacons. Os canais 1 a 14 são usados para os padrões 802.11 b e g (nos EUA, apenas 1 a 11 são permitidos; na Europa, 1 a 13, com algumas exceções; no Japão, 1 a 14). O 802.11a opera na banda de 5 GHz e sua disponibilidade varia mais de país para país do que na banda de 2,4 GHz. Em geral, os canais bem conhecidos vão de 36 (32 em alguns países) a 64 (68 em alguns países) e de 96 a 165. Você pode encontrar informações mais detalhadas sobre a disponibilidade de canais na Wikipedia. No Linux, ele se encarrega de permitir/negar a transmissão em canais específicos do seu país ; no entanto, ele deve ser configurado adequadamente.
O canal atual é mostrado no canto superior esquerdo.
Depois de um tempo haverá pontos de acesso e (espero) alguns clientes associados a eles.
O bloco superior mostra os pontos de acesso detectados:
bssid
endereço mac do ponto de acesso
pwr
qualidade do sinal quando o canal é selecionado
pwr
sinal de força. alguns motoristas não relatam isso.
balizas
o número de beacons recebidos. se você não tiver um indicador de intensidade do sinal, poderá medi-lo em beacons: quanto mais beacons, melhor será o sinal.
dados,
número de quadros de dados recebidos
ch
canal no qual o ponto de acesso opera
mb
velocidade ou modo de ponto de acesso. 11 é 802.11b puro, 54 é 802.11g puro. os valores entre os dois são uma mistura.
enc
criptografia: opn: sem criptografia, wep: criptografia wep, wpa: wpa ou wpa2, wep?: wep ou wpa (ainda não claro)
esseid
nome da rede, às vezes oculto
O bloco inferior mostra os clientes detectados:
bssid
endereço mac com o qual o cliente está associado a este ponto de acesso
estação
endereço mac do próprio cliente
pwr
sinal de força. alguns motoristas não relatam isso.
pacotes
número de quadros de dados recebidos
sondas
nomes de rede (essids) que este cliente já testou
Agora você precisa monitorar a rede alvo. Pelo menos um cliente deve estar conectado a ele, já que hackear redes sem clientes é um tema mais complexo (ver seção ). Deve usar criptografia WEP e ter um bom sinal. Você pode alterar a posição da antena para melhorar a recepção do sinal. Às vezes, alguns centímetros podem ser decisivos para a intensidade do sinal.
No exemplo acima existe uma rede 00:01:02:03:04:05. Acabou sendo o único alvo possível, pois é o único conectado ao cliente. Também possui um bom sinal, o que o torna um alvo adequado para a prática.
Farejando vetores de inicialização
Devido ao salto de link, você não capturará todos os pacotes da rede de destino. Portanto, queremos ouvir apenas um canal e, adicionalmente, gravar todos os dados no disco, para que possamos usá-los posteriormente para hackear:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon Usando o parâmetro -с você seleciona o canal e o parâmetro depois -w é um prefixo para dumps de rede gravados em disco. Bandeira –bssid junto com o endereço MAC do ponto de acesso, limita os pacotes recebidos a um único ponto de acesso. Bandeira –bssid disponível apenas em novas versões airodump-ng.
Antes de quebrar o WEP, você precisará de 40 a 000 vetores de inicialização (IV) diferentes. Cada pacote de dados contém um vetor de inicialização. Eles podem ser reutilizados, portanto o número de vetores geralmente é um pouco menor que o número de pacotes capturados.
Portanto, você terá que esperar para capturar pacotes de dados de 40k a 85k (com IV). Se a rede não estiver ocupada, isso demorará muito. Você pode acelerar esse processo usando um ataque ativo (ou um ataque de repetição). Falaremos sobre eles na próxima parte.
Quebrar
Se você já possui IVs interceptados suficientes armazenados em um ou mais arquivos, você pode tentar quebrar a chave WEP:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap Endereço MAC após a bandeira -b é o BSSID do alvo, e dump-01.cap é um arquivo contendo pacotes interceptados. Você pode usar vários arquivos, basta adicionar todos os nomes ao comando ou usar um curinga, por exemplo dump*.cap.
Mais informações sobre parâmetros , saída e uso que você pode obter em .
O número de vetores de inicialização necessários para quebrar uma chave é ilimitado. Isso acontece porque alguns vetores são mais fracos e perdem mais informações importantes do que outros. Normalmente esses vetores de inicialização são misturados com outros mais fortes. Então, se você tiver sorte, poderá quebrar uma chave com apenas 20 IVs. Contudo, muitas vezes isso não é suficiente, aircrack-ng pode ser executado por um longo período (uma semana ou mais se o erro for alto) e então informar que a chave não pode ser quebrada. Quanto mais vetores de inicialização você tiver, mais rápido o hack poderá acontecer e geralmente acontece em alguns minutos ou até segundos. A experiência mostra que 40 a 000 vetores são suficientes para hackear.
Existem pontos de acesso mais avançados que usam algoritmos especiais para filtrar IVs fracos. Como resultado, você não conseguirá obter mais do que N vetores do ponto de acesso ou precisará de milhões de vetores (por exemplo, 5 a 7 milhões) para quebrar a chave. Você pode o que fazer nesses casos.
Ataques ativos
A maioria dos dispositivos não suporta injeção, pelo menos sem drivers corrigidos. Alguns suportam apenas determinados ataques. Falar com e olhe para a coluna airplay. Às vezes, esta tabela não fornece informações atualizadas; portanto, se você vir a palavra "NÃO" em frente ao seu motorista, não fique chateado, mas dê uma olhada na página inicial do motorista, a lista de discussão do motorista em . Se você conseguiu reproduzir com êxito um driver que não estava incluído na lista de suporte, sinta-se à vontade para sugerir alterações na página da tabela de compatibilidade e adicionar um link para o guia de início rápido. (Para fazer isso, você precisa solicitar uma conta wiki no IRC.)
Primeiro você precisa ter certeza de que a injeção de pacotes realmente funciona com sua placa de rede e driver. A maneira mais fácil de verificar é realizar um ataque de injeção de teste. Certifique-se de passar neste teste antes de continuar. Seu cartão deve ser capaz de injetar para que você possa concluir as etapas a seguir.
Você precisará do BSSID (endereço MAC do ponto de acesso) e do ESSID (nome da rede) de um ponto de acesso que não filtre por endereços MAC (como o seu) e esteja na faixa disponível.
Tente conectar-se ao ponto de acesso usando :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon Significado depois -а será o BSSID do seu ponto de acesso.
A injeção funcionou se você vir algo assim:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)Se não:
- Verifique novamente a exatidão do ESSID e BSSID;
- Certifique-se de que a filtragem de endereços MAC esteja desabilitada em seu ponto de acesso;
- Tente o mesmo em outro ponto de acesso;
- Certifique-se de que seu driver esteja configurado e suportado corretamente;
- Em vez de "0", tente "6000 -o 1 -q 10".
Repetição ARP
Agora que sabemos que a injeção de pacotes funciona, podemos fazer algo que irá acelerar bastante a interceptação de IVs: um ataque de injeção .
idéia central
Em termos simples, o ARP funciona transmitindo uma solicitação para um endereço IP e o dispositivo com esse endereço IP enviando de volta uma resposta. Como o WEP não protege contra repetição, você pode detectar um pacote e enviá-lo repetidamente, desde que seja válido. Então, você só precisa interceptar e reproduzir a solicitação ARP enviada ao ponto de acesso para gerar tráfego (e obter IVs).
Maneira preguiçosa
Primeiro abra uma janela com airodump-ng, que detectará o tráfego (veja acima). Airplay-ng и airodump-ng pode trabalhar simultaneamente. Espere o cliente aparecer na rede alvo e comece o ataque:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b aponta para o BSSID alvo, -h para o endereço MAC do cliente conectado.
Agora você precisa esperar a chegada do pacote ARP. Normalmente você precisa esperar alguns minutos (ou ler mais o artigo).
Se você tiver sorte, verá algo assim:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...Se precisar parar de jogar, você não precisa esperar a chegada do próximo pacote ARP, você pode simplesmente usar os pacotes capturados anteriormente usando o parâmetro -r <filename>
Ao usar a injeção ARP, você pode usar o método PTW para quebrar a chave WEP. Reduz significativamente o número de pacotes necessários e, com eles, o tempo de cracking. Você precisa capturar o pacote completo com airodump-ng, ou seja, não use a opção “--ivs” ao executar o comando. Para aircrack-ng use “aircrack -z <file name>”
Se o número de pacotes de dados recebidos airodump-ng parar de aumentar, talvez seja necessário reduzir a velocidade de reprodução. Faça isso com o parâmetro -x <packets per second>
Maneira agressiva
A maioria dos sistemas operacionais limpa o cache ARP ao desligar. Se precisarem enviar o próximo pacote após a reconexão (ou apenas usar DHCP), eles enviarão uma solicitação ARP. Como efeito colateral, você pode detectar o ESSID e possivelmente o fluxo de chaves durante a reconexão. Isto é conveniente se o ESSID do seu destino estiver oculto ou se usar autenticação de chave compartilhada.
Deixa ele airodump-ng и airplay-ng estão funcionando. Abra outra janela e execute :
é -a – este é o BSSID do ponto de acesso, -с Endereço MAC do cliente selecionado.
Aguarde alguns segundos e a reprodução ARP funcionará.
A maioria dos clientes tenta se reconectar automaticamente. Mas o risco de alguém reconhecer este ataque, ou pelo menos prestar atenção ao que está acontecendo na WLAN, é maior do que com outros ataques.
Mais ferramentas e informações sobre eles, você .
Fonte: habr.com