Aircrack-ng破解WEP
步骤1:载入无线网卡。
其实很多新人们老是在开始载入网卡的时候出现一些疑惑,所以我们就把这个基本的操作仔细看看。首先查看当前已经载入的网卡有哪些,输入命令如下:
ifconfig
回车后可以看到如下图3所示内容,我们可以看到这里面除了eth0之外,并没有无线网卡。
图3
确保已经正确插入USB或者PCMCIA型无线网卡,此时,为了查看无线网卡是否已经正确连接至系统,应输入:
ifconfig -a
参数解释:
-a 显示主机所有网络接口的情况。和单纯的ifconfig命令不同,加上-a参数后可以看到所有连接至当前系统网络接口的适配器。
如下图4所示,我们可以看到和上图3相比,出现了名为wlan0的无线网卡,这说明无线网卡已经被BackTrack4 R2 Linux识别。
图4
既然已经识别出来了,那么接下来就可以激活无线网卡了。说明一下,无论是有线还是无线网络适配器,都需要激活,否则是无法使用滴。这步就相当于Windows下将“本地连接”启用一样,不启用的连接是无法使用的。
在上图4中可以看到,出现了名为wlan0的无线网卡,OK,下面输入:
ifconfig wlan0 up
当然,通过输入iwconfig查看也是可以滴。这个命令专用于查看无线网卡,不像ifconfig那样查看所有适配器。
iwconfig
该命令在Linux下用于查看有无无线网卡以及当前无线网卡状态。如下图6所示。
图6
步骤2:激活无线网卡至monitor即监听模式。
对于很多小黑来说,应该都用过各式各样的嗅探工具来抓取密码之类的数据报文。那么,大家也都知道,用于嗅探的网卡是一定要处于monitor监听模式地。对于无线网络的嗅探也是一样。
在Linux下,我们使用Aircrack-ng套装里的airmon-ng工具来实现,具体命令如下:
airmon-ng start wlan0
如下图7所示,我们可以看到无线网卡的芯片及驱动类型,在Chipset芯片类型上标明是Ralink 2573芯片,默认驱动为rt73usb,显示为“monitor mode enabled on mon0”,即已启动监听模式,监听模式下适配器名称变更为mon0。
图7
步骤3:探测无线网络,抓取无线数据包。
在激活无线网卡后,我们就可以开启无线数据包抓包工具了,这里我们使用Aircrack-ng套装里的airmon-ng工具来实现,具体命令如下:
不过在正式抓包之前,一般都是先进行预来探测,来获取当前无线网络概况,包括AP的SSID、MAC地址、工作频道、无线客户端MAC及数量等。只需打开一个Shell,输入具体命令如下:
airodump-ng mon0
参数解释:
mon0为之前已经载入并激活监听模式的无线网卡。如下图8所示。
图8
回车后,就能看到类似于下图9所示,这里我们就直接锁定目标是SSID为“TP-LINK”的AP,其BSSID(MAC)为“00:19:E0:EB:33:66”,工作频道为6,已连接的无线客户端MAC为“00:1F:38:C9:71:71”。
图9
既然我们看到了本次测试要攻击的目标,就是那个SSID名为TP-LINK的无线路由器,接下来输入命令如下:
airodump-ng --ivs �Cw longas -c 6 wlan0
参数解释:
--ivs 这里的设置是通过设置过滤,不再将所有无线数据保存,而只是保存可用于破解的IVS数据报文,这样可以有效地缩减保存的数据包大小;
-c 这里我们设置目标AP的工作频道,通过刚才的观察,我们要进行攻击测试的无线路由器工作频道为6;
-w 后跟要保存的文件名,这里w就是“write写”的意思,所以输入自己希望保持的文件名,如下图10所示我这里就写为longas。那么,小黑们一定要注意的是:这里我们虽然设置保存的文件名是longas,但是生成的文件却不是longase.ivs,而是longas-01.ivs。
在回车后,就可以看到如下图11所示的界面,这表示着无线数据包抓取的开始。
图11
步骤4:对目标AP使用ArpRequest注入攻击
若连接着该无线路由器/AP的无线客户端正在进行大流量的交互,比如使用迅雷、电骡进行大文件下载等,则可以依靠单纯的抓包就可以破解出WEP密码。但是无线黑客们觉得这样的等待有时候过于漫长,于是就采用了一种称之为“ARP Request”的方式来读取ARP请求报文,并伪造报文再次重发出去,以便刺激AP产生更多的数据包,从而加快破解过程,这种方法就称之为ArpRequest注入攻击。具体输入命令如下:
aireplay-ng -3 -b AP的mac -h 客户端的mac mon0
参数解释:
-3 指采用ARPRequesr注入攻击模式;
-b 后跟AP的MAC地址,这里就是前面我们探测到的SSID为TPLINK的AP的MAC;
-h 后跟客户端的MAC地址,也就是我们前面探测到的有效无线客户端的MAC;
最后跟上无线网卡的名称,这里就是mon0啦。
回车后将会看到如下图12所示的读取无线数据报文,从中获取ARP报文的情况出现。
图12
在等待片刻之后,一旦成功截获到ARP请求报文,我们将会看到如下图13所示的大量ARP报文快速交互的情况出现。
图13
此时回到airodump-ng的界面查看,在下图14中我们可以看到,作为TP-LINK的packets栏的数字在飞速递增。
图14
步骤5:打开aircrack-ng,开始破解WEP。
在抓取的无线数据报文达到了一定数量后,一般都是指IVs值达到2万以上时,就可以开始破解,若不能成功就等待数据报文的继续抓取然后多试几次。注意,此处不需要将进行注入攻击的Shell关闭,而是另外开一个Shell进行同步破解。输入命令如下:
aircrack-ng 捕获的ivs文件
那么经过很短时间的破解后,就可以看到如下图16中出现“KEY FOUND”的提示,紧跟后面的是16进制形式,再后面的ASCII部分就是密码啦,此时便可以使用该密码来连接目标AP了。 一般来说,破解64位的WEP至少需要1万IVs以上,但若是要确保破解的成功,应捕获尽可能多的IVs数据。比如下图16所示的高强度复杂密码破解成功依赖于8万多捕获的IVs。
| 注意:由于是对指定无线频道的数据包捕获,所以有的时候大家会看到如下图17中一样的情景,在破解的时候出现了多达4个AP的数据报文,这是由于这些AP都工作在一个频道所致,很常见的。此时,选择我们的目标,即标为1的、SSID位dlink的那个数据包即可,输入1,回车后即可开始破解。 |
补充一下:
若希望捕获数据包时,能够不但是捕获包括IVS的内容,而是捕获所有的无线数据包,也可以在事后分析,那么可以使用如下命令:
airodump-ng �Cw longas -c 6 wlan0
就是说,不再--ivs过滤,而是全部捕获,这样的话,捕获的数据包将不再是longas-01.ivs,而是longas-01.cap,请大家注意。命令如下图20所示。
图20
同样地,在破解的时候,对象也变成了longas-*.cap。命令如下:
aircrack-ng 捕获的cap文件
回车后如下图21所示,一样破解出了密码。
