Всім привіт. Напередодні старту курсу підготували вам переклад цікавої статті.
Сьогоднішнє керівництво познайомить вас із основами для початку роботи з пакетом повітряний удар-нг. Звичайно, неможливо надати всю необхідну інформацію та охопити кожен сценарій. Тож будьте готові робити домашні завдання та проводити дослідження самостійно. на і в є безліч додаткових туторіалів та іншої корисної інформації.
Незважаючи на те, що воно не покриває всіх кроків від початку до кінця, керівництво докладніше розкриває роботу з повітряний удар-нг.
Налаштування обладнання, встановлення Aircrack-ng
Першим кроком у забезпеченні правильної роботи повітряний удар-нг у вашій системі Linux є патчінг і встановлення відповідного драйвера для вашої мережевої карти. Багато карток працюють з кількома драйверами, деякі з них надають необхідний функціонал для використання. повітряний удар-нг, Інші немає.
Думаю, зайве говорити про те, що вам потрібна мережна картка, сумісна з пакетом повітряний удар-нг. Тобто апаратне забезпечення, яке повністю сумісне і може впроваджувати ін'єкції пакетів. За допомогою сумісної мережної карти можна зламати бездротову точку доступу менше, ніж за годину.
Щоб визначити, до якої категорії відноситься ваша карта, ознайомтесь зі сторінкою . Прочитайте якщо не знаєте, як поводитися з таблицею. Тим не менш, це не завадить вам при читанні посібника, яке допоможе вам дізнатися щось нове та переконатися в тих чи інших властивостях вашої карти.
Для початку вам потрібно знати, який чіпсет використовується у вашій мережній карті і який драйвер вам для нього знадобиться. Вам потрібно визначити це за допомогою інформації з абзацу вище. В розділі ви дізнаєтесь, які драйвери вам потрібні.
Установка aircrack-ng
Останню версію aircrack-ng можна отримати, , або ви можете скористатися дистрибутивом для проведення тестування на проникнення, таким як Kali Linux або Pentoo, де стоїть остання версія повітряний удар-нг.
Щоб встановити aircrack-ng зверніться до .
Основи IEEE 802.11
Добре, тепер, коли все готово, настав час зробити зупинку перш, ніж ми почнемо діяти, і дізнатися дещо про те, як працюють бездротові мережі.
Наступну частину важливо зрозуміти, щоби змогти розібратися у випадку, якщо щось працюватиме не так, як очікується. Розуміння того, як все це працює, допоможе вам знайти проблему або принаймні правильно її описати, щоб хтось інший зміг вам допомогти. Тут все трохи зарозуміло, і, можливо, вам захочеться пропустити цю частину. Однак для зламування бездротових мереж потрібно трохи знань, і тому зламування – це трохи більше, ніж просто набрати одну команду і дозволити aircrack зробити все за вас.
Як знайти бездротову мережу
Ця частина – короткий вступ у керовані мережі, які працюють з точками доступу (Access Point, AP). Кожна точка доступу посилає близько десяти так званих Бікон-фреймів (beacon frame) за секунду. Ці пакети містять таку інформацію:
- Ім'я мережі (ESSID);
- Чи використовується шифрування (і яке шифрування використовується, але зверніть увагу на те, що ця інформація може не бути правдивою тільки тому, що точка доступу повідомляє її);
- Які швидкості передачі даних підтримуються (MBit);
- На якому каналі є мережа.
Саме ця інформація відображається в інструменті, який безпосередньо підключається до цієї мережі. Вона відображається, коли ви дозволяєте карті сканувати мережі за допомогою iwlist <interface> scan
Кожна точка доступу має унікальну MAC-адресу (48 біт, 6 пар шістнадцяткових чисел). Виглядає він приблизно так: 00:01:23:4A:BC:DE. У кожного мережного пристрою є така адреса, і мережні пристрої взаємодіють один з одним за допомогою. Тож це щось на кшталт унікального імені. MAC-адреси є унікальними і немає двох пристроїв з однаковими MAC-адресами.
Підключення до мережі
Є кілька варіантів підключення до бездротової мережі. Найчастіше використовується Open System Authentication. (За бажанням: якщо ви хочете дізнатися більше про аутентифікацію, .)
Open System Authentication:
- Запитує автентифікацію точки доступу;
- Точка доступу відповідає: OK, ви автентифіковані.
- Запитує асоціацію точки доступу;
- Точка доступу відповідає: Добре, ви підключені.
Це найпростіший випадок, але проблеми виникають, коли ви не маєте прав доступу, оскільки:
- Використовується WPA/WPA2, і вам потрібна автентифікація APOL. Точка доступу відповість відмовою на другому кроці.
- У точці доступу є список дозволених клієнтів (MAC-адрес) і вона не дозволить підключитися нікому іншому. Це називається фільтрація MAC.
- Точка доступу використовує Shared Key Authentication, тобто потрібно надати правильний WEP-ключ, щоб підключитися. (Див. розділ щоб дізнатися більше про це)
Простий сніффінг та злом
Виявлення мереж
Перше, що потрібно зробити – це знайти потенційну мету. У пакеті aircrack-ng для цього є , але можна використовувати інші програми як, наприклад, .
Перш ніж шукати мережі, ви повинні перекласти свою карту так званий режим моніторингу. Режим моніторингу – це спеціальний режим, який дозволяє комп'ютеру прослуховувати мережні пакети. Цей режим дозволяє впроваджувати ін'єкції. Про ін'єкції ми поговоримо наступного разу.
Щоб перевести мережну картку в режим моніторингу, використовуйте :
airmon-ng start wlan0Так ви створите ще один інтерфейс і додайте до нього «mon». Отже, wlan0 стане wlan0mon. Щоб перевірити, чи мережна карта дійсно перебуває в режимі моніторингу, виконайте iwconfig і переконайтесь у цьому самі.
Потім, запустіть для пошуку мереж:
airodump-ng wlan0monЯкщо airodump-нг не зможе підключитися до WLAN-пристрою, ви побачите щось подібне:
перескакує з каналу на канал і показує всі точки доступу, від яких отримує бікони. Канали з 1 по 14 використовуються для стандартів 802.11 b та g (у США дозволено використовувати тільки з 1 по 11; у Європі з 1 по 13 за деяким винятком; у Японії з 1 по 14). 802.11a працює в діапазоні 5 ГГц і його доступність варіюється в різних країнах більше, ніж у діапазоні 2,4 ГГц. Загалом, відомі канали починаються з 36 (32 у деяких країнах) по 64 (68 у деяких країнах) та з 96 по 165. У Вікіпедії ви можете знайти більш детальну інформацію про доступність каналів. У Linux про дозвіл/заборону передачі по певних каналах для вашої країни піклується ; однак він має бути налаштований відповідним чином.
Поточний канал показаний у верхньому лівому кутку.
Через деякий час з'являться точки доступу та (сподіваюся) деякі пов'язані з ними клієнти.
Верхній блок показує виявлені точки доступу:
bssid
mac-адреса точки доступу
pwr
якість сигналу, коли вибрано канал
pwr
сила сигналу. деякі драйвери її не повідомляють.
маяки
кількість одержаних біконів. якщо у вас немає показника сили сигналу, ви можете виміряти її в біконах: чим більше біконів, тим краще сигнал.
дані
кількість отриманих кадрів даних
ch
канал, на якому працює точка доступу
mb
швидкість або режим точки доступу. 11 – це чистий 802.11b, 54 – це чистий 802.11g. значення між цими двома – це суміш.
на
шифрування: opn: немає шифрування, wep: wep шифрування, wpa: wpa або wpa2, wep?: wep або wpa (поки неясно)
essid
ім'я мережі, часом приховано
Нижній блок показує виявлені клієнти:
bssid
mac-адреса, з якою клієнт асоціюється у цієї точки доступу
станція
mac-адреса самого клієнта
pwr
сила сигналу. деякі драйвери її не повідомляють.
пакети
кількість отриманих кадрів даних
зонди
імена мережі (essid), які цей клієнт уже апробував
Тепер потрібно стежити за цільовою мережею. До неї має бути підключений хоча б один клієнт, оскільки зламування мереж без клієнтів – це більш складна тема (див. розділ ). Вона повинна використовувати WEP-шифрування та мати хороший сигнал. Можливо, можна змінити положення антени, щоб покращити прийом сигналу. Іноді для сили сигналу кілька сантиметрів можуть бути вирішальними.
У прикладі вище є мережа 00:01:02:03:04:05. Вона виявилася єдиною можливою метою, оскільки тільки до неї підключено клієнта. А ще має хороший сигнал, тому вона є підходящою метою для практики.
Сніффінг векторів Ініціалізації
Через перескоки між каналами ви не перехоплюватимете всі пакети з цільової мережі. Тому ми хочемо слухати тільки на одному каналі та додатково записувати всі дані на диск, щоб згодом мати можливість використовувати їх для злому:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon За допомогою параметра -с ви вибираєте канал, а параметр після -w є префіксом мережевих дампів, записаних на диск. Прапор –bssid разом з MAC-адресою точки доступу обмежує отримання пакетів до однієї точки доступу. Прапор –bssid доступний лише у нових версіях airodump-нг.
Перед зломом WEP вам знадобиться від 40 000 до 85 000 різних векторів ініціалізації (Initialization Vector, IV). Кожен пакет даних містить вектор ініціалізації. Їх можна перевикористовувати, тому кількість векторів зазвичай трохи менша, ніж кількість перехоплених пакетів.
Таким чином, вам доведеться почекати, щоб перехопити від 40к до 85к пакетів даних (з IV). Якщо мережа не зайнята, це займе багато часу. Ви можете прискорити цей процес, використовуючи активну атаку (або атаку повторного відтворення). Про них ми поговоримо у наступній частині.
Злом
Є у вас вже є достатньо перехоплених векторів ініціалізації, які зберігаються в одному або кількох файлах, ви можете спробувати зламати WEP-ключ:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap MAC-адреса після прапора -b – це BSSID цілі, а dump-01.cap - Це файл, що містить пакети, що перехоплені. Ви можете використовувати кілька файлів, для цього просто додайте до команди всі імена або скористайтеся символом підстановки, наприклад dump*.cap.
Більше інформації про параметри , виведення та використання ви можете отримати з .
Кількість векторів ініціалізації, необхідних злому ключа, не обмежена. Так відбувається тому, що деякі вектори слабші і втрачають більше інформації про ключ, ніж інші. Зазвичай ці вектори ініціалізації поєднуються з сильнішими. Отже, якщо вам пощастить, ви зможете зламати ключ лише з 20 000 векторами ініціалізації. Однак часто й цього буває недостатньо, повітряний удар-нг може працювати довго (тиждень або більше у разі високої похибки), а потім сказати вам, що ключ не може бути зламаний. Чим більше у вас векторів ініціалізації, тим швидше може статися злом і зазвичай це робить за кілька хвилин або секунд. Досвід свідчить, що зламу достатньо 40 000 – 85 000 векторів.
Існують більш просунуті точки доступу, які використовують спеціальні алгоритми для фільтрування слабких векторів ініціалізації. В результаті ви не зможете отримати більше, ніж N векторів від точки доступу або вам знадобляться мільйони векторів (наприклад, 5-7 мільйонів), щоб зламати ключ. Ви можете що робити в таких випадках.
Активні атаки
Більшість пристроїв не підтримують ін'єкції принаймні без пропатчених драйверів. Деякі підтримують лише певні атаки. Зверніться до і подивіться в стовпець aireplay. Іноді ця таблиця не дає актуальної інформації, тому, якщо ви побачите слово "НЕМАЄ" навпроти вашого драйвера, не засмучуйтесь, а краще подивіться на домашню сторінку драйвера, в список розсилок драйверів на . Якщо вам вдалося успішно провести повторне відтворення за допомогою драйвера, який не був включений до списку підтримуваних, не соромтеся пропонувати зміни на сторінці таблиці сумісності та додавати посилання на короткий посібник. (Для цього потрібно запросити обліковий запис wiki на IRC.)
Для початку потрібно переконатися, що ін'єкція пакетів дійсно працює з вашою карткою і драйвером. Найпростіший спосіб перевірити це провести тестову ін'єкційну атаку. Перед тим, як продовжувати роботу, переконайтеся, що ви пройшли цей тест. Ваша карта повинна мати можливість впроваджувати ін'єкції, щоб ви могли зробити наступні кроки.
Вам знадобиться BSSID (MAC-адреса точки доступу) та ESSID (мережеве ім'я) точки доступу, яка не виконує фільтрацію за MAC-адресами (наприклад, ваша власна), і знаходиться в доступному діапазоні.
Спробуйте підключитися до точки доступу за допомогою :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon Значенням після -а буде BSSID вашої точки доступу.
Ін'єкція спрацювала, якщо ви побачите щось на зразок цього:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)Якщо ні:
- Перевірте правильність ESSID і BSSID;
- Переконайтеся, що на вашій точці доступу відключено фільтрацію за MAC-адресами;
- Спробуйте це на іншій точці доступу;
- Переконайтеся, що ваш драйвер правильно налаштований та підтримується;
- Замість "0" спробуйте "6000 -o 1 -q 10".
ARP replay
Тепер, коли ми знаємо, що ін'єкція пакетів працює, ми можемо зробити щось, що прискорить перехоплення векторів ініціалізації: атака ін'єкцій .
Основна ідея
Якщо говорити простою мовою, то ARP працює, передаючи широкомовний запит на IP-адресу, а пристрій з цією IP-адресою відправляє назад відповідь. Оскільки WEP не захищає від повторного відтворення, ви можете зняти пакет і відправляти його знову і знову, поки він валідний. Таким чином, вам потрібно просто перехопити і відтворити ARP-запит, надісланий точці доступу, щоб створити трафік (і отримати вектор ініціалізації).
Лінивий спосіб
Спочатку відкрийте вікно з airodump-нг, який зніффить трафік (див. вище). Ефірна гра и airodump-нг можуть працювати одночасно. Дочекайтеся появи клієнта в цільовій мережі та починайте атаку:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b вказує на цільовий BSSID, -h на MAC-адресу підключеного клієнта.
Тепер вам потрібно дочекатися отримання пакета ARP. Зазвичай слід чекати кілька хвилин (або прочитати статтю далі).
Якщо вам пощастило, ви побачите щось подібне:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...Якщо вам потрібно припинити відтворення, то не потрібно чекати на появу наступного ARP-пакету, ви можете просто використовувати раніше перехоплені пакети за допомогою параметра -r <filename>
При використанні ARP-ін'єкцій, можна використовувати метод PTW для злому WEP-ключа. Він значно скорочує кількість необхідних пакетів, а з ними час на злом. Вам потрібно перехопити повний пакет за допомогою airodump-нг, тобто не використовувати опцію “--ivs” під час виконання команди. Для повітряний удар-нг використовуйте “aircrack -z <file name>”
Якщо кількість пакетів даних одержується airodump-нг перестає збільшуватись, вам, можливо, доведеться зменшити швидкість відтворення. Зробіть це за допомогою параметра -x <packets per second>
Агресивний спосіб
Більшість операційних систем очищають кеш ARP під час відключення. Якщо потрібно надіслати наступний пакет після повторного підключення (або просто використовувати DHCP), вони надсилають запит ARP. Як побічний ефект ви можете скинути ESSID і, можливо, keystream під час перепідключення. Це зручно, якщо ESSID вашої мети прихований або вона використовує shared-key authentication.
Нехай airodump-нг и ефірна гра працюють. Відкрийте ще одне вікно та запустіть :
Тут -a – це BSSID точки доступу, -с МАС-адреса обраного клієнта.
Зачекайте кілька секунд, і ARP replay запрацює.
Більшість клієнтів намагаються відновити з'єднання автоматично. Але ризик того, що хтось розпізнає цю атаку, або принаймні виявить увагу до того, що відбувається на WLAN, вищий, ніж за інших атак.
Більше інструментів та інформації про них, ви .
Джерело: habr.com