大家好。 期待課程的開始 我們為您準備了一篇有趣文章的翻譯。
今天的教學將引導您了解該包的入門基礎知識 了Aircrack。 當然,不可能提供所有必要的資訊並涵蓋所有場景。 因此,請準備好自己做作業和研究。 在 和 還有許多附加教程和其他有用的信息。
雖然它沒有涵蓋從開始到結束的所有步驟,但該指南 更詳細地揭示了與 了Aircrack.
設定設備,安裝Aircrack-ng
確保正常運作的第一步 了Aircrack 在 Linux 系統上,方法是為您的網路卡打補丁並安裝適當的驅動程式。 許多卡可與多個驅動程式配合使用,其中一些提供了使用所需的功能 了Aircrack,其他人則沒有。
我想不言而喻,你需要一個與該包相容的網卡 了Aircrack。 即完全相容、可實現資料包注入的硬體。 使用相容的網路卡,您可以在不到一小時的時間內破解無線存取點。
若要確定您的卡片屬於哪個類別,請查看該頁面 。 讀 ,如果您不知道如何處理桌子。 但是,這不會妨礙您閱讀手冊,它將幫助您學習新知識並確保您的卡片的某些屬性。
首先,您需要知道您的網路卡使用什麼晶片組以及需要什麼驅動程式。 您需要使用上一段中的資訊來確定這一點。 在章節中 您將找到您需要的驅動程式。
安裝aircrack-ng
最新版本的aircrack-ng可以從以下位置取得 ,或者您可以使用滲透測試發行版,例如 Kali Linux 或 Pentoo,它們具有最新版本 了Aircrack.
要安裝aircrack-ng,請參閱 .
IEEE 802.11 基礎知識
好的,現在我們已經準備好了,是時候在開始之前停下來學習一兩點關於無線網路如何運作的知識了。
理解下一部分很重要,這樣您就可以找出是否某些內容未如預期運作的情況。 了解它是如何工作的將幫助您找到問題,或至少正確地描述它,以便其他人可以幫助您。 這裡的事情有點神秘,你可能想跳過這一部分。 然而,駭客攻擊無線網路需要一點知識,因此駭客攻擊只不過是輸入一個命令並讓 Aircrack 為您完成它。
如何找到無線網路
本部分簡要介紹與存取點 (AP) 配合使用的託管網路。 每個接入點每秒發送大約 10 個所謂的信標訊框。 這些包包含以下資訊:
- 網路名稱(ESSID);
- 是否使用加密(以及使用什麼加密,但請注意,該資訊可能並不真實,只是因為接入點報告了它);
- 支援哪些資料傳輸速率(以 MBit 為單位);
- 網路在什麼頻道?
這些資訊顯示在專門連接到該網路的工具中。 當您允許該卡使用以下方式掃描網路時會出現此訊息 iwlist <interface> scan
每個存取點都有一個唯一的 MAC 位址(48 位,6 個十六進位對)。 它看起來像這樣:00:01:23:4A:BC:DE。 每個網路設備都有一個這樣的位址,網路設備使用它們相互通訊。 所以這是一個獨特的名字。 MAC 位址是唯一的,沒有兩個裝置具有相同的 MAC 位址。
網絡連接
有多種連接無線網路的選項。 大多數情況下,使用開放系統身份驗證。 (可選:如果您想了解有關身份驗證的更多信息, .)
開放系統認證:
- 請求接入點身份驗證;
- 接入點回應:好的,您已通過身份驗證。
- 請求接入點關聯;
- 接入點回應:好的,您已連線。
這是最簡單的情況,但是當您沒有存取權限時就會出現問題,因為:
- 使用 WPA/WPA2 並且需要 APOL 身份驗證。 接入點將在第二步驟中拒絕。
- 接入點有一個允許的客戶端(MAC 位址)列表,並且不允許其他任何人連接。 這稱為 MAC 過濾。
- 存取點使用共用金鑰驗證,這表示您需要提供正確的 WEP 金鑰才能連線。 (參見部分 了解更多相關資訊)
簡單的嗅探和駭客攻擊
網路發現
首先要做的就是找到一個潛在的目標。 aircrack-ng 軟體包有這個功能 ,但您可以使用其他程序,例如, .
在搜尋網路之前,您必須將卡片切換到所謂的「監控模式」。 監控模式是一種特殊模式,可讓您的電腦監聽網路封包。 該模式還允許注射。 下次我們再討論注射。
若要將網路卡置於監控模式,請使用 :
airmon-ng start wlan0這樣您將創建另一個介面並添加到其中 “星期一”。 因此, wlan0 將成為 無線網路監控。 若要檢查網路卡是否確實處於監視模式,請執行 iwconfig 親自看看。
然後,運行 搜尋網路:
airodump-ng wlan0mon如果 空運 將無法連接到 WLAN 設備,您將看到類似以下內容:
從一個頻道跳到另一個頻道,並顯示它接收信標的所有存取點。 通道 1 至 14 用於 802.11 b 和 g 標準(在美國僅允許使用 1 至 11;在歐洲允許使用 1 至 13,但有一些例外;在日本允許使用 1 至 14)。 802.11a 在 5 GHz 頻段運行,與 2,4 GHz 頻段相比,其可用性因國家而異。 一般來說,知名頻道的編號從 36(某些國家/地區為 32)到 64(某些國家/地區為 68)以及 96 到 165。您可以在 Wikipedia 上找到有關頻道可用性的更多詳細資訊。 在 Linux 中,它負責允許/拒絕您所在國家/地區的特定通道上的傳輸 ; 但是,必須對其進行相應配置。
目前頻道顯示在左上角。
一段時間後,將會出現存取點以及(希望)一些與其關聯的客戶端。
頂部區塊顯示偵測到的存取點:
基礎設施
接入點的 MAC 位址
電源
選擇頻道時的訊號品質
電源
訊號強度。 有些司機沒有報告。
信標
收到的信標數量。 如果您沒有訊號強度指示器,則可以在信標中進行測量:信標越多,訊號越好。
數據
接收到的資料幀數
ch
接入點運作的頻道
mb
速度或存取點模式。 11是純802.11b,54是純802.11g。 兩者之間的值是混合值。
ENC
加密:opn:不加密,wep:wep加密,wpa:wpa或wpa2,wep?:wep或wpa(尚不清楚)
埃西德
網路名稱,有時隱藏
底部區塊顯示偵測到的客戶端:
基礎設施
用戶端與此存取點關聯的 MAC 位址
站
客戶端本身的mac位址
電源
訊號強度。 有些司機沒有報告。
包
接收到的資料幀數
探頭
該客戶端已測試的網路名稱 (essids)
現在您需要監控目標網路。 至少必須有一個客戶端連接到它,因為沒有客戶端的駭客網路是一個更複雜的主題(請參閱第 )。 它必須使用 WEP 加密並具有良好的信號。 您也許可以變更天線的位置以改善訊號接收。 有時,幾公分對於訊號強度可能是決定性的。
在上面的範例中,有一個網路 00:01:02:03:04:05。 事實證明,它是唯一可能的目標,因為它是唯一連接到客戶端的目標。 它還具有良好的信號,使其成為適合練習的目標。
嗅探初始化向量
由於鏈路跳躍,您將無法捕獲來自目標網路的所有資料包。 因此,我們希望只監聽一個通道,並將所有資料寫入磁碟,以便稍後可以使用它進行駭客攻擊:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump wlan0mon 使用參數 -с 您選擇通道和參數後 -w 是寫入磁碟的網路轉儲的前綴。 旗幟 –bssid 與存取點的 MAC 位址一起,將收到的封包限制為單一存取點。 旗幟 –bssid 僅在新版本中可用 空運.
在破解 WEP 之前,您將需要 40 到 000 個不同的初始化向量 (IV)。 每個資料包包含一個初始化向量。 它們可以重複使用,因此向量的數量通常略小於捕獲的資料包的數量。
因此,您將不得不等待捕獲 40k 到 85k 資料包(帶有 IV)。 如果網路不繁忙,這將需要很長時間。 您可以透過使用主動攻擊(或重播攻擊)來加速此過程。 我們將在下一部分討論它們。
打破
如果您已將足夠的截獲 IV 儲存在一個或多個檔案中,則可以嘗試破解 WEP 金鑰:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap 標誌後的MAC位址 -b 是目標的 BSSID,並且 dump-01.cap 是一個包含截獲資料包的檔案。 您可以使用多個文件,只需將所有名稱添加到命令中或使用通配符,例如 dump*.cap.
有關參數的更多信息 ,輸出和使用你可以得到 .
破解金鑰所需的初始化向量的數量是無限的。 發生這種情況是因為某些向量比其他向量更弱並且丟失更多關鍵資訊。 通常這些初始化向量與更強的向量混合。 因此,如果幸運的話,只需 20 個 IV 就可以破解密鑰。 然而,這往往還不夠, 了Aircrack 可能會運行很長時間(如果錯誤很高,則需要一周或更長時間),然後告訴您密鑰無法破解。 擁有的初始化向量越多,駭客攻擊發生的速度就越快,通常只需幾分鐘甚至幾秒鐘。 經驗表明,40 – 000 個向量足以進行駭客攻擊。
有更高階的接入點使用特殊演算法來過濾弱 IV。 因此,您將無法從接入點獲得超過 N 個向量,或者您將需要數百萬個向量(例如 5-7 萬個)來破解密鑰。 你可以 在這種情況下該怎麼辦。
主動攻擊
大多數設備不支援注入,至少在沒有修補驅動程式的情況下是如此。 有些只支援某些攻擊。 交談 看看專欄 播放。 有時此表不提供最新信息,因此如果您看到該詞 “沒有” 在你的司機對面,不要難過,而是看看司機的主頁,司機的郵件列表 。 如果您能夠使用未包含在支援清單中的驅動程式成功重播,請隨時在相容性表格頁面上提出變更建議,並新增指向快速入門指南的連結。 (為此,您需要在 IRC 上請求一個 wiki 帳戶。)
首先,您需要確保資料包注入確實適用於您的網路卡和驅動程式。 最簡單的檢查方法是進行測試注入攻擊。 在繼續之前請確保您通過了此測試。 您的卡片必須能夠注入才能完成以下步驟。
您將需要不按 MAC 位址(例如您自己的)過濾且位於可用範圍內的存取點的 BSSID(存取點的 MAC 位址)和 ESSID(網路名稱)。
嘗試使用以下方式連接到存取點 :
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 wlan0mon 之後的意思 -а 將是您的存取點的 BSSID。
如果您看到類似這樣的內容,則表示注射有效:
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)如果不:
- 仔細檢查ESSID和BSSID的正確性;
- 確保您的存取點停用 MAC 位址過濾;
- 在另一個接入點上嘗試相同的操作;
- 確保您的驅動程式已正確配置並受支援;
- 嘗試使用“0 -o 6000 -q 1”代替“10”。
ARP 重播
現在我們知道封包注入是有效的,我們可以做一些可以大幅加快攔截 IV 的事情:注入攻擊 .
大意
簡單來說,ARP 的工作原理是向 IP 位址廣播請求,然後具有該 IP 位址的裝置發迴回應。 由於 WEP 無法防止重播,因此只要資料包有效,您就可以嗅探資料包並一遍又一遍地發送它。 因此,您只需要攔截並重播發送到存取點的 ARP 請求即可產生流量(並取得 IV)。
懶惰的方式
首先打開一個視窗 空運,它將嗅探流量(見上文)。 播放 и 空運 可以同時工作。 等待客戶端出現在目標網路上並開始攻擊:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0mon-b 指向目標BSSID, -h 到已連接客戶端的 MAC 位址。
現在您需要等待 ARP 封包到達。 通常您需要等待幾分鐘(或進一步閱讀文章)。
如果你幸運的話,你會看到類似這樣的東西:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...如果需要停止播放,則不必等待下一個 ARP 封包到達,只需使用先前擷取的封包即可使用該參數 -r <filename>
使用ARP注入時,可以使用PTW方法破解WEP金鑰。 它顯著減少了所需軟體包的數量,以及破解它們的時間。 您需要捕獲完整的資料包 空運,即不使用該選項 “--ivs” 執行命令時。 為了 了Aircrack 使用 “aircrack -z <file name>”
如果收到的資料包數量 空運 停止增加,您可能必須降低播放速度。 使用參數執行此操作 -x <packets per second>
進攻方式
大多數作業系統在關閉時都會清除 ARP 快取。 如果他們需要在重新連接後發送下一個封包(或僅使用 DHCP),則會發送 ARP 請求。 副作用是,您可以在重新連接期間嗅探 ESSID 以及可能的密鑰流。 如果目標的 ESSID 被隱藏或使用共用金鑰驗證,這會很方便。
讓 空運 и 播放 在工作中。 打開另一個視窗並運行 :
這裡 -a – 這是存取點的 BSSID, -с 所選客戶端的 MAC 位址。
等待幾秒鐘,ARP 重播就會起作用。
大多數客戶端都會嘗試自動重新連線。 但有人識別出此攻擊或至少關注 WLAN 上發生的情況的風險高於其他攻擊。
更多工具和有關它們的信息,您 .
來源: www.habr.com