This is an old revision of the document!
Table of Contents
Autenticación falsa
Descripción
El ataque de falsa autenticación permite realizar los dos tipos de autenticación WEP (abierta u “Open System” y compartida o “Shared Key”) y asociarse con el punto de acceso (AP). Esto es muy útil cuando necesitamos una dirección MAC asociada para usarla con alguno de los ataques de aireplay-ng y no hay ningún cliente asociado. Se debe tener en cuenta que el ataque de falsa autenticación NO genera ningún paquete ARP.
Uso
aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Donde:
- -1 significa falsa autenticación
- 0 tiempo de reasociación en segundos
- -e teddy es el nombre de la red wireless
- -a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
- -h 00:09:5B:EC:EE:F2 es la dirección MAC de nuestra tarjeta
- ath0 es el nombre de la interface wireless
U otra variación útil para algunos puntos de acceso:
aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Donde:
- 6000 - Reautentifica cada 6000 segundos. El largo periodo también provoca que se envien paquetes de “sigo aquí” o “keep alive”.
- -o 1 - Enviar solo un tipo de paquetes de cada vez. Por defecto está fijado en múltiples y esto puede confundir a algunos APs.
- -q 10 - Envia paquetes de “sigo aquí” cada 10 segundos.
Ejemplos de uso
La falta de asociación con el punto de acceso es la razón más habitual por la cual falla la inyección.
Para asociarse con un punto de acceso, usa la falsa autenticación:
aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Donde:
- -1 significa falsa autenticación
- 0 tiempo de reasociación en segundos
- -e teddy es el nombre de la red wireless
- -a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
- -h 00:09:5B:EC:EE:F2 es la dirección MAC de nuestra tarjeta
- ath0 es el nombre de la interface wireless
Si tienes éxito verás algo como esto:
18:18:20 Sending Authentication Request 18:18:20 Authentication successful 18:18:20 Sending Association Request 18:18:20 Association successful :-)
U otra variación útil para algunos puntos de acceso:
aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
Donde:
- 6000 - Reautentifica cada 6000 segundos. El largo periodo también provoca que se envien paquetes de “sigo aquí” o “keep alive”.
- -o 1 - Enviar solo un tipo de paquetes de cada vez. Por defecto está fijado en múltiples y esto confunde a algunos APs.
- -q 10 - Enviar paquetes de “sigo aquí” cada 10 segundos.
Si tienes éxito verás algo como esto:
18:22:32 Sending Authentication Request 18:22:32 Authentication successful 18:22:32 Sending Association Request 18:22:32 Association successful :-) 18:22:42 Sending keep-alive packet 18:22:52 Sending keep-alive packet # etc...
Pistas de uso
Fijar la dirección MAC
Una buena idea es cambiar la dirección MAC de tu tarjeta wirelees por la misma que usas en el parámetro “-h” en el caso de que sean diferentes. Usando la misma, te aseguras que los “ACK”s se envian por tu tarjeta. Esto hace que el ataque funcione mejor.
Instrucciones detalladas de como cambiar la dirección MAC de la tarjeta las puedes encontrar en el FAQ: How do I change my card's MAC address ?.
Aviso: Una dirección MAC es algo similar a: 00:09:5B:EC:EE:F2. La primera mitad (00:09:5B) de la dirección MAC se refiere al fabricante. La segunda mitad (EC:EE:F2) es única para cada aparato. Algunos puntos de acceso ignorarán direcciones MAC inválidas. Por lo tanto asegúrate de usar una dirección de un fabricante wireless válido cuando decidas cambiar la MAC. En otro caso los paquetes serán ignorados.
Inyectar en Modo Managed
Con los drivers parcheados madwifi-old CVS 2005-08-14, es posible inyectar paquetes en modo managed (la clave WEP no importa, si el AP acepta la autenticación abierta u “Open-System”). Entonces, en vez de usar el ataque 1, podemos asociarnos e inyectar / monitorizar a través de la interface athXraw:
ifconfig ath0 down hw ether 00:11:22:33:44:55 iwconfig ath0 mode Managed essid 'el ssid' key AAAAAAAAAA ifconfig ath0 up
sysctl -w dev.ath0.rawdev=1 ifconfig ath0raw up airodump-ng ath0raw out 6
Ahora podemos ejecutar el ataque 3 o 4 (aireplay-ng automáticamente reemplazará ath0 por ath0raw):
aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0
aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0
Problemas de uso
Identificando autenticaciones fallidas
A continuación se puede ver un ejemplo de una autenticación fallida:
8:28:02 Sending Authentication Request 18:28:02 Authentication successful 18:28:02 Sending Association Request 18:28:02 Association successful :-) 18:28:02 Got a deauthentication packet! 18:28:05 Sending Authentication Request 18:28:05 Authentication successful 18:28:05 Sending Association Request 18:28:10 Sending Authentication Request 18:28:10 Authentication successful 18:28:10 Sending Association Request
Presta atención a la frase “Got a deauthentication packet” y los continuos reintentos. No realices otros ataques hasta que consigas efectuar la falsa autenticación de forma correcta.
Otra forma de identificar que la falsa autenticación falla es ejecutar tcpdump y mirar los paquetes. Inicia otra consola o shell mientras estás inyectando y…
Escribe: “tcpdump -n -e -s0 -vvv -i ath0”
Aquí puedes ver un mensaje de error de tcpdump como el que estás buscando:
11:04:34.360700 314us BSSID:00:14:6c:7e:40:80 DA:00:0f:b5:46:11:19 SA:00:14:6c:7e:40:80 DeAuthentication: Class 3 frame received from nonassociated station
Date cuenta de que el punto de acceso (00:14:6c:7e:40:80) le está diciendo al cliente origen (00:0f:b5:46:11:19) que no está asociado. Lo que significa, que el AP no aceptará los paquetes inyectados.
Si quieres seleccionar solo los paquetes de DeAutenticación con tcpdump, puedes usar: “tcpdump -n -e -s0 -vvv -i ath0 | grep DeAuth”. Necesitas utilizar la palabra “DeAuth” para encontrar exactamente los paquetes que buscas.
Mira las siguientes secciones para posibles soluciones.
Reasociación
Algunas veces nos desasociamos del AP de forma periódica. Algunos puntos de acceso requieren que nos reasociaciemos cada 30 segundos, o sino considera que el falso cliente se ha desconectado. En este caso, es necesario fijar el periodo de re-asociación:
aireplay-ng -1 30 -e 'el ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Otros problemas y soluciones
Si la falsa autenticación nunca tiene éxito (aireplay-ng se queda enviando intentos de autenticación) puede que esté activo el filtrado MAC. En este caso el punto de acceso solo aceptará conexiones de una/s dirección/es MAC concretas. La única solución es averiguar una dirección MAC válida utilizando la observación con airodump-ng. No hagas una autenticación falsa para una dirección MAC si ese cliente se encuentra activo en el AP.
También asegúrate de que:
- Estás físicamente cerca del punto de acceso.
- Asegúrate que usas una dirección MAC de un fabricante real
- El driver de la tarjeta wireless está correctamente instalado y parcheado.
- La tarjeta está configurada en el mismo canal que el AP.
- El BSSID y el ESSID (opciones -a / -e) son correctos.
- Si es una Prism2, cerciórate de que has actualizado el firmware.
Mira también: Problemas de uso de aireplay-ng