This is an old revision of the document!
Table of Contents
Ataque de reenvio de "ARP Request"
Descripción
El clásico ataque de reenvio de petición ARP o “ARP request” es el modo más efectivo para generar nuevos IVs (vectores de inicialización), y funciona de forma muy eficaz. El programa escucha hasta encontrar un paquete ARP y cuando lo encuentra lo retransmite hacia el punto de acceso. Esto provoca que el punto de acceso tenga que repetir el paquete ARP con un IV nuevo. El programa retransmite el mismo paquete ARP una y otra vez. Pero, cada paquete ARP repetido por el AP tiene un IV nuevo. Todos estos nuevos IVs nos permitirán averiguar la clave WEP.
ARP es un protocolo de resolución de direcciones: Es un protocolo TCP/IP usado para convertir una dirección IP en un dirección física, como por ejemplo una dirección Ethernet. Un cliente que desea obtener una dirección envia a todo el que le escuche (broadcasts) una petición ARP (ARP request) dentro de la red TCP/IP. El cliente de la red que tenga esa dirección que se pide contestará diciendo cual es su dirección física.
Uso
Uso básico:
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Donde:
- -3 significa reenvio estandard de petición arp (arp request)
- -b 00:13:10:30:24:9C es la dirección MAC del punto de acceso
- -h 00:11:22:33:44:55 es la dirección MAC origen (de un cliente asociado o de una falsa autenticación)
- ath0 es el nombre de la interface wireless
Reenviar una petición arp previa. Este es un caso especial del ataque de reenvio interactivo de paquetes. Lo presentamos aquí porque es unn complemento al ataque de reenvio de “ARP request”.
aireplay-ng -2 -r replay_arp-0219-115508.cap ath0
Donde:
- -2 significa selección interactiva del paquete
- -r replay_arp-0219-115508.cap es el nombre del archivo con el ARP
- ath0 es el nombre de la interface wireless
Ejemplos de uso
Para todos estos ejemplos, es necesario primero poner la tarjeta en modo monitor con airmon-ng. No se pueden inyectar paquetes si no estamos en modo monitor.
Para este ataque, necesitas o bien la dirección MAC de un cliente asociado, o una MAC falsa asociada con el ataque 1. La forma más fácil y más rápida es utilizar la dirección MAC de un cliente asociado. Esta se puede obtener con airodump-ng. La razón para usar una dirección MAC asociada es que el punto de acceso solo aceptará y contestará a los paquetes en los cuales la MAC que se los envia esté “asociada”.
Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.
Introduce este comando:
aireplay-ng -3 -b 00:14:6c:7e:40:80 -h 00:0F:B5:88:AC:82 ath0
El sistema responderá:
Saving ARP requests in replay_arp-0219-123051.cap You should also start airodump-ng to capture replies. Read 11978 packets (got 7193 ARP requests), sent 3902 packets...
Inicialmente la última linea será similar a:
Read 39 packets (got 0 ARP requests), sent 0 packets...
Más tarde, cuando el ataque progrese, no aparecerán ceros y veremos la cuenta actual como en el ejemplo de arriba. Puedes ejecutar airodump-ng para capturar los IVs cundo se empiecen a generar. Verás aumentar la columna de “data” rápidamente para ese punto de acceso.
El segundo ejemplo lo haremos reutilizando la petición ARP del ejemplo anterior usando la opción -r. Date cuenta que te dicen “Saving ARP requests in replay_arp-0219-123051.cap”, es decir se están gravando las peticiones ARP en el archivo replay_arp-0219-123051.cap. Por lo tanto no es necesario esperar por un nuevo ARP, podemos simplemente reusar uno viejo con el parámetro “-r”:
aireplay-ng -2 -r replay_arp-0219-123051.cap ath0
El sistema responderá:
Size: 86, FromDS: 0, ToDS: 1 (WEP) BSSID = 00:14:6C:7E:40:80 Dest. MAC = FF:FF:FF:FF:FF:FF Source MAC = 00:0F:B5:88:AC:82 0x0000: 0841 0000 0014 6c7e 4080 000f b588 ac82 .A....l~@....... 0x0010: ffff ffff ffff 7092 e627 0000 7238 937c ......p..'..r8.| 0x0020: 8011 36c6 2b2c a79b 08f8 0c7e f436 14f7 ..6.+,.....~.6.. 0x0030: 8078 a08e 207c 17c6 43e3 fe8f 1a46 4981 .x.. |..C....FI. 0x0040: 947c 1930 742a c85f 2699 dabe 1368 df39 .|.0t*._&....h.9 0x0050: ca97 0d9e 4731 ....G1 Use this packet ? y
Escribe “y” y comenzará la inyección:
Saving chosen packet in replay_src-0219-123117.cap You should also start airodump-ng to capture replies. Sent 3181 packets...
Ahora, si aun no lo has hecho, inicia airodump-ng para capturar los IVs que se están generando. El número de paquetes de datos debería de empezar a aumentar rápidamente.
Pistas de uso
Como estás probando en tu casa a generar un paquete ARP para comenzar la inyección, puedes hacer un ping en tu red a una IP que ni siquiera tiene que existir en la misma.