WEP IV-Erfassung mit ARP-Replay-Angriff beschleunigen

WiresharkBeginner
Jetzt üben

Einleitung

Willkommen zu diesem Labor zur Beschleunigung der WEP IV-Erfassung. WEP (Wired Equivalent Privacy) ist ein veraltetes und unsicheres Wi-Fi-Sicherheitsprotokoll. Seine Hauptschwäche liegt in der Art und Weise, wie es Initialisierungsvektoren (IVs) verwendet. Um einen WEP-Schlüssel zu knacken, muss ein Angreifer eine große Anzahl von Datenpaketen erfassen, die jeweils einen eindeutigen IV enthalten.

Passiv darauf zu warten, dass ein Netzwerk genügend Datenverkehr generiert, um Zehntausende von IVs zu erfassen, kann Stunden oder sogar Tage dauern. Um dies zu überwinden, können wir eine aktive Technik namens ARP Replay Attack verwenden. Dieser Angriff beinhaltet das Erfassen eines ARP-Pakets aus dem Netzwerk und dessen erneutes Einfügen (oder "Wiederholen"). Dies veranlasst den Access Point (AP), eine große Menge neuer Pakete zu generieren, jedes mit einem neuen IV, wodurch wir die notwendigen Daten in wenigen Minuten sammeln können.

In diesem Labor werden Sie das Tool aireplay-ng aus der Aircrack-ng-Suite verwenden, um einen ARP Replay Attack durchzuführen. Wir gehen davon aus, dass Sie Ihre drahtlose Karte bereits in den Monitor-Modus versetzt haben.

Durchführung einer gefälschten Authentifizierung mit aireplay-ng -1

In diesem Schritt führen Sie eine "gefälschte Authentifizierung" mit dem Ziel-Access Point (AP) durch. Bevor wir Pakete in das Netzwerk injizieren können, muss unser Gerät mit dem AP assoziiert sein. Der gefälschte Authentifizierungsangriff stellt diese Assoziation her und lässt den AP glauben, wir seien ein legitimer Client.

Für dieses Labor verwenden wir die folgenden simulierten Zielinformationen:

  • Interface: wlan0mon
  • ESSID (Netzwerkname): labex-wep
  • BSSID (AP MAC-Adresse): 00:11:22:33:44:55
  • Unsere MAC-Adresse: 00:C0:CA:A1:B2:C3

Führen Sie nun den folgenden Befehl in Ihrem Terminal aus, um die gefälschte Authentifizierung durchzuführen. Die Option -1 gibt den gefälschten Authentifizierungsangriff an, 0 setzt das Reassoziation-Timing auf automatisch, -e gibt die ESSID an, -a die BSSID und -h unsere Quell-MAC-Adresse.

sudo aireplay-ng -1 0 -e labex-wep -a 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

In einer realen Umgebung würden Sie Ausgaben sehen, die den Fortschritt anzeigen. Eine erfolgreiche Ausführung zeigt Meldungen wie "Authentication successful" und "Association successful". Aufgrund der Einschränkungen der Laborumgebung erzeugt der Befehl möglicherweise nicht die vollständige Ausgabe wie in der realen Welt, aber die Ausführung ist ein entscheidender erster Schritt.

12:34:56  Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
12:34:56  Sending Authentication Request (Open System) [ACK]
12:34:57  Authentication successful
12:34:57  Sending Association Request [ACK]
12:34:57  Association successful :-) (AID: 1)

Nachdem die Assoziation hergestellt ist, können wir mit dem Hauptangriff fortfahren.

Starten des ARP Replay Attacks mit aireplay-ng -3

In diesem Schritt starten Sie den ARP Replay Attack. Dieser Angriff, der durch das Flag -3 in aireplay-ng spezifiziert wird, lauscht auf ARP-Pakete im Netzwerk. Sobald es eines erfasst, beginnt es, es erneut einzuspeisen, um eine Flut neuer IVs zu generieren.

Es ist wichtig, diesen Angriff in einem eigenen Terminalfenster auszuführen, da er kontinuierlich laufen wird. Bitte öffnen Sie ein neues Terminal für diesen Befehl. Sie können dies tun, indem Sie auf das +-Symbol in der Terminal-Tab-Leiste klicken.

Führen Sie im neuen Terminal den folgenden Befehl aus. Das Flag -3 initiiert den ARP Replay Attack, -b gibt die Ziel-BSSID (den AP) an und -h gibt unsere Quell-MAC-Adresse (diejenige, die wir für die Authentifizierung verwendet haben) an.

sudo aireplay-ng -3 -b 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

Nachdem Sie den Befehl ausgeführt haben, beginnt aireplay-ng mit dem Lauschen. Die Ausgabe zeigt zunächst an, dass es auf ein ARP-Paket wartet.

Saving ARP requests in replay_arp-1234-567890.cap
You should also start airodump-ng to capture replies.
Read 0 packets (got 0 ARP requests, 0 ACKs), sent 0 packets...(0 pps)

Das Tool lauscht nun passiv. Es muss mindestens ein ARP-Paket erfassen, um den Replay-Prozess zu starten. Im nächsten Schritt richten wir ein Überwachungstool ein, um unseren Fortschritt zu verfolgen. Lassen Sie dieses Terminal laufen.

Überwachen der IV-Erfassung mit airodump-ng

In diesem Schritt verwenden Sie airodump-ng, um das Netzwerk zu überwachen und, was noch wichtiger ist, die Ergebnisse Ihres ARP Replay Attacks zu sehen. airodump-ng erfasst alle vom Angriff generierten Pakete und speichert sie in einer Datei. Die Anzahl der erfassten Datenpakete (IVs) ist die wichtigste Erfolgsmetrik.

Dieser Befehl muss ebenfalls kontinuierlich in einem eigenen Terminal ausgeführt werden. Bitte öffnen Sie ein drittes Terminalfenster, indem Sie erneut auf das +-Symbol klicken.

Führen Sie in diesem neuen Terminal den folgenden airodump-ng-Befehl aus.

  • --bssid: Fokussiert die Erfassung auf unseren Ziel-AP.
  • -c 6: Setzt den Kanal auf 6 (vorausgesetzt, der AP befindet sich auf diesem Kanal).
  • --write wep_capture: Weist airodump-ng an, die erfassten Pakete in Dateien mit dem Präfix wep_capture zu speichern.
  • wlan0mon: Das zu verwendende Interface im Monitor-Modus.
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 --write wep_capture wlan0mon

Nachdem Sie den Befehl ausgeführt haben, sehen Sie die airodump-ng-Oberfläche. Achten Sie genau auf die Spalte #Data für unsere Ziel-BSSID. Diese Zahl repräsentiert die Anzahl der erfassten IVs.

 CH  6 ][ Elapsed: 0 s ][ 2023-10-27 10:10

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10        0    0   6  54   WEP  WEP         labex-wep

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Anfänglich wird die #Data-Anzahl null oder sehr niedrig sein. Sobald der aireplay-ng-Angriff (aus Schritt 2) ein ARP-Paket erfasst und mit dem Einspeisen beginnt, werden Sie sehen, wie diese Zahl sehr schnell ansteigt. Lassen Sie dieses Terminal laufen und fahren Sie mit dem nächsten Schritt fort, um den Prozess zu verstehen.

Verstehen, wie ARP Replay injizierbaren Traffic generiert

Dieser Schritt ist konzeptionell; Sie müssen keine neuen Befehle ausführen. Das Ziel ist es, zu verstehen, was in Ihren drei Terminalfenstern passiert.

In einem realen Szenario würden Sie nun darauf warten, dass ein legitimer Client im Netzwerk eine ARP-Anfrage sendet (z. B. wenn er sich zum ersten Mal mit dem Netzwerk verbindet oder versucht, ein anderes Gerät zu finden).

  1. Erfassung: Ihr aireplay-ng -3-Prozess (im zweiten Terminal) wartet darauf, dass dies geschieht. Sobald er ein ARP-Paket erfasst, ändert sich seine Ausgabe. Er wird anzeigen, dass er ein Paket gelesen hat und es nun speichert.

    Read 147 packets (got 1 ARP request), sent 0 packets...(0 pps)
    
  2. Wiederholung (Replay): Unmittelbar nach der Erfassung des ARP-Pakets beginnt aireplay-ng, es erneut in das Netzwerk einzuspeisen. Sie werden sehen, wie der "sent"-Zähler schnell ansteigt.

    Read 250 packets (got 1 ARP request), sent 86 packets...(102 pps)
    
  3. Generierung: Der AP empfängt diese wiederholten ARP-Pakete. Für jedes empfangene Paket sendet er eine Antwort. Jede Antwort ist mit WEP verschlüsselt und enthält ein neues, eindeutiges IV.

  4. Überwachung: Ihr airodump-ng-Prozess (im dritten Terminal) erfasst all diese Antworten vom AP. Sie werden sehen, wie die Spalte #Data für Ihr Zielnetzwerk rasant ansteigt, oft um Hunderte pro Sekunde.

Diese Feedbackschleife ist der Kern des Angriffs. Wir verwenden ein erfasstes ARP-Paket, um den AP dazu zu bringen, Tausende neuer Pakete für uns zu generieren, wodurch der Prozess der IV-Sammlung dramatisch beschleunigt wird.

Beenden des Angriffs nach dem Sammeln von über 20.000 IVs

In diesem letzten Schritt beenden Sie den Angriff, sobald Sie eine ausreichende Anzahl von IVs gesammelt haben. Zum Knacken eines WEP-Schlüssels ist ein übliches Ziel 20.000 bis 40.000 IVs, obwohl je nach Schlüsselstärke mehr benötigt werden können.

Für dieses Lab beenden wir, sobald die Zählung 20.000 überschreitet.

Beobachten Sie die Spalte #Data in Ihrem airodump-ng-Terminal (dem dritten Terminal, das Sie geöffnet haben). Sobald der Wert größer als 20.000 ist, können Sie die Erfassung und den Angriff stoppen.

Um die Prozesse zu stoppen, gehen Sie zu jedem der beiden laufenden Terminals (airodump-ng und aireplay-ng) und drücken Sie Ctrl+C. Es ist am besten, zuerst airodump-ng zu stoppen, um sicherzustellen, dass alle Pakete in die Datei geschrieben werden.

Nach dem Stoppen der Prozesse hat der airodump-ng-Befehl mehrere Dateien in Ihrem ~/project-Verzeichnis erstellt. Die wichtigste davon ist die Erfassungsdatei, die auf .cap endet. Lassen Sie uns die Dateien auflisten, um zu bestätigen, dass sie erstellt wurde.

ls -l

Sie sollten eine Ausgabe ähnlich dieser sehen, die die Anwesenheit von wep_capture-01.cap bestätigt.

-rw-r--r-- 1 root root 2450000 Oct 27 10:15 wep_capture-01.cap
-rw-r--r-- 1 root root   78123 Oct 27 10:15 wep_capture-01.csv
...

Diese .cap-Datei enthält alle von Ihnen gesammelten IVs und ist nun bereit, mit aircrack-ng zum Knacken des WEP-Schlüssels verwendet zu werden.

Zusammenfassung

In diesem Lab haben Sie erfolgreich gelernt, wie Sie einen der effektivsten Angriffe auf WEP-geschützte Netzwerke durchführen.

Sie begannen mit einer gefälschten Authentifizierung mit aireplay-ng -1, um Ihr Gerät mit dem Ziel-Access-Point zu verbinden. Dann starteten Sie den Kern des Labs, den ARP-Replay-Angriff mit aireplay-ng -3, der auf ARP-Pakete lauscht und diese wiederholt. Sie haben auch airodump-ng eingerichtet, um das Netzwerk zu überwachen und den resultierenden Traffic zu erfassen.

Sie haben gelernt, wie dieser Angriff eine Feedbackschleife erzeugt, die den AP dazu verleitet, Tausende neuer Datenpakete (IVs) pro Minute zu generieren. Schließlich haben Sie den Angriff gestoppt, nachdem Sie eine ausreichende Anzahl von IVs gesammelt hatten, was zu einer .cap-Datei führte, die zum Knacken bereit ist. Diese aktive Technik ist weitaus effizienter als das passive Warten auf Netzwerkverkehr. Der nächste logische Schritt, der außerhalb des Rahmens dieses Labs liegt, wäre die Verwendung von aircrack-ng auf der Datei wep_capture-01.cap, um den WEP-Schlüssel wiederherzustellen.