Aircrack-ng

Versão: 1.15 de 26 de Março de 2009
Por: darkAudax
Tradução: Rubem A. Figueredo–LPI000204850-Bahia–Brasil-rafig38@gmail.com

Muitas vezes uma rede wireless não tem cliente conectado e não há requisições ARP vindo da lado cabeado. Este tutorial irá descrever como craquear chaves WEP quando não há clientes conectados e não há requisições ARP vindo do lado cabeado. Embora este tópico já tenha sido discutido muitas vezes no Forum, este tutorial tem a intenção de atender a este assunto com exemplos práticos.
Se as requisições ARP são sinais “broadcast” do lado cabeado, então o padrão de “fake autentication” (autenticação falsa) combinada com técnicas de repetição de requisições ARP podem ser usadas.

É recomendado que você faça experiências com sua própria rede wireless, usando seu ponto de acesso (AP), para se familiarizar com as ideias e técnicas. Se você não possuir um ponto de acesso particular, por favor, lembre-se de solicitar permissão do proprietário do AP para realizar seus testes.

Eu gostaria de agradecer ao time(grupo desenvolvedor) do Aircrack-ng pelos procedimentos e pela grande ferramenta que é o Aircrack-ng.

Por favor, nos envie comentários e criticas tanto positivas, quanto negativas para que possamos melhorar. Ideias de resolução de problemas e dicas são especialmente bem-vindas.

Primeiramente, esta solução assume:

• Que você está usando drivers corrigidos, para injeção. Use o teste de injeção para confirmar se sua placa de rede pode injetar pacotes;
• Que você está fisicamente e razoavelmente próximo para enviar e receber pacotes do ponto de acesso(AP) e para o cliente da rede wireless. Lembre-se que só porque você pode receber pacotes deles, não quer dizer que você poderá transmitir pacotes. O alcance da placa de rede wireless é tipicamente menor que a distancia de alcance do AP, este alcança uma distância bem maior. Logo você deverá está relativamente próximo para transmitir e receber pacotes entre o AP e o cliente wireless;
• Que existem pacotes de dadosw vindos do AP. Beacons e outros gerenciamento de pacotes são totalmente inúteis para nosso próposito neste tutorial. Uma maneira rápida de verificar é executando o airodump-ng e ver se existe alguns pacotes de dados identificados como pacotes do AP. Digo isto se houver dados capturados do AP de uma outra sessão, então estes dados poderão sr usados. Este é um tópico avançado e este tutorial não prover instruções detalhadas neste caso.
• Que o AP usa WEP “open authentication” (autenticação aberta). Não irá funcionar se a “Shared Key Authentication – SKA” ( Chave de Autenticação Compartilhada – CAC), estiver sendo usada. Com CAC, o único modo de obter sucesso com clinetes presentes é se você capturou dados “PRGA xor” com ataques de injeção de pacotes de conexão usando airodump-ng ou previamente atacando com aireplay-ng. Isto acontece por que você vai precisar do arquivo “PRGA xor” para fazer a autenticação falsa acontecer com sucesso.
• Que você usa o endereço MAC nativo de sua placa wirelesse em todos os passos e não troque este. Não troque nenhum outro endereço MAC, bem como o endereço MAC de origem dos pacotes. Senão, alguns comando não serão executados corretamente. Veja a seção Usando um outro endereço MAC de Origem, no final deste tutorial;
• Que você está usando a versão v0.9.1 ou maior do aircrack-ng. Se você usa uma versão diferente então algumas opções dos comandos podem ser diferentes.

Certifique-se de que todas as convenções acima são verdadeiras, senão as instruções seguintes não funcionarão. Nos exemplos abaixo você irá precisar trocar “ath0” pelo nome da interface que está especificada para sua placa de rede wireless.

Neste tutorial será usado:

• Endereço MAC da placa de rede onde estará rodando o conjunto de ferramentas do aircrack-ng: 00:09:5B:EC:EE:F2;
• Endereço MAC do AP(Access Point), também chamado BSSID: 00:14:6C:7E:40:80;
• Nome da rede wireless, também chamado ESSID: teddy;
• Canal do ponto de acesso: 9
• Interface wireless: ath0

Você deverá presumir que as informações equivalentes para a rede a qual você estará trabalhando estão ativas. Então somente troque o valor nos exemplos abaixo para uma rede específica.

Visão geral da solução

1. Ajuste e certifique-se de que o endereço MAC de sua placa de rede wireless está correto, segundo as informações contidas acima, na seção Equipamentos Usados;
2. Inicializar a interface wireless em modo monitor no canal especifico do AP;
3. Usar o aireplay-ng para fazer uma autenticação falsa com o AP;
4. Usar o aireplay-ng para realizar um ataque chopchop ou de fragmentação para obter os pacotes PRGA;
5. Usar o packetforge-ng para criar um pacote arp usando os pacotes PRGA para obtidos no passo anterior;
6. Iniciar o airodump-ng em um canal do AP com filtro para bssid para coletar os IV s unicos;
7. Injetar pacotes arp criados no passo 5;
8. Rodar o aircrack-ng para craquear a chave usando os IV s coletados.

Para ser honesto, não iremos trocar o endereço MAC da placa de rede wireless.
Este é apenas um lembrete para usar o endereço MAC de sua placa de rede como o MAC de origem dos pacotes. I menciono isto explicitamente no passo 3 para lembrar de usar o seu endereço MAC atual de sua placa de rede wireless ( Passo 3 – Autenticação falsa), se você estiver reenviando dados de uma outra sessão. Detalhes e instruções podem ser encontradas no FAQ: Como trocar o endereço MAC de minha placa de rede Wireless?.
O proposito deste passo é colocar a sua placa de rede wireless no que chamamos de modo monitor. O modo monitor é o modo pelo qual a sua placa wireless pode escutar todos os pacotes que passam pelo ar. Normalmente sua placa wireless desejará somente “ouvir” pacotes endereçados para você. Escutando todos os pacotes, nós poderemos mais tarde capturar o modo “handshack”(como se fosse um “aperto de mãos”). Bem, isto nos permitirá opcionalmente desautenticar um cliente wireless (alguém conectado) em um passo mais tarde.

O procedimento exato para habilitar o modo monitor varia dependendo do driver que você está usando. Para determinar o driver (e o procedimento correto para seguir), execute o seguinte comando:

# airmon-ng

Em uma máquina com placas wireless Ralink, Atheros e uma Broadcom instalada, o sistema responde:

interface	Chipset		Driver

rausb0		Ralink RT73	rt73
wlan0		Broadcom	b43 – [phy0]
wifi0		Atheros		madwifi-ng
ath0		Atheros		madwifi-ng VAP  (parent: wifi0) 

A presença da tag [phy0] no final do nome do driver é um indicador para o driver mac80211. Então a placa de rede wireless está usando o driver mac80211. Note que o driver mac80211 é suportado somente a partir da versão v1.0-rc1 e não funcionará com a versão v.0.9.1.
Ambas entradas das placas wireless Atheros mostram o driver denominado “madwifi-ng”. Siga os passos para montar a placa wireless Atheros com as informações contidas em madwifi-ng-specific (o qual deve ser um arquivo que vem junto com o driver).
Finalmente, a placa de rede wireless Ralink não mostra nenhum destes indicadores. Esta usa o driver ieee80211.
Veja as instruções genéricas para montá-la.

Entre com o comando abaixo para inicializar a placa de rede wireless no canal 9 em modo monitor:

# airmon-ng start wifi0 9

Obs.: Neste comando nós usamos wifi0 ao invés de nossa interface wireless ath0. Isto porque o driver madwifi-ng está usando wifi0. Para outros drivers, use o nome da interface atual.

Interface Chipset Driver wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent:wifi0) (monitor mode enable)

Você pode notar acima que “ath0” está sendo mostrado que está no modo monitor.
Para confirmar de que a interface está apropriadamente ajustada, entre com o comando “iwconfig”.

lo no wireless extensions wifi0 no wireless extensions eth0 no wireless extensions ath0 IEEE 802.11g ESSID:“” Nickname:“” Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82 Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3 Retry:off RTS thr:of Fragment thr:off Encryption key:off Power Management:off Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Na resposta acima você pode ver que “ath0” está no modo monitor, com frequência de 2.452GHz que é o canal 9. O parâmetro “Access Point” mostra o endereço MAC da placa wireless. Somente o driver “madwifi-ng” mostra o endereço MAC da placa de rede wireless como parâmetro do campo AP, outros drivers não. Então, tudo está OK. É importante confirmar todas estas informações, as quais são prioritárias para o procedimento, senão os passos seguintes não poderão funcionar (serem executados) apropriadamente.
Para escolher a frequência do canal dê uma olhada na Tabela 1 no final deste tutorial.

• Se uma outra interface for levantada, diferente de ath0 ( ou diferente da interface que você estiver usando) então pare cada uma delas usando “airmon-ng stop athX” onde X é cada é a numeração para cada interface que você quer parar.
• Em drivers baseados no drivers mac80211 o sistema irá responder conforme abaixo:
  Interface Chipset Driver
  wlan0 Broadcom 43xx b43 – [phy0]

Para tal interface, use o nome da interface após “modo monitor habilitado em (aqui mon0)” para demais comando, ao invés de sua interface de rede atual.