Einleitung
In der drahtlosen Netzwerksicherheit ist das Erfassen eines WPA/WPA2 4-Wege-Handshakes unerlässlich, um das Passwort eines Netzwerks zu knacken. Bevor jedoch erhebliche Rechenressourcen für einen Knackversuch aufgewendet werden, ist es von entscheidender Bedeutung, zunächst zu überprüfen, ob Ihre Erfassungsdatei tatsächlich einen vollständigen und gültigen Handshake enthält. Ein unvollständiger oder fehlender Handshake macht jeden Knackversuch zwecklos.
Dieses Labor führt Sie durch den Prozess der Verwendung von aircrack-ng, einem leistungsstarken Werkzeug der Aircrack-ng-Suite, zur Inspektion einer Erfassungsdatei (.cap) und zur Bestätigung der Anwesenheit eines gültigen Handshakes.
Lokalisieren der erfassten .cap-Datei im Fluxion-Verzeichnis
In diesem Schritt navigieren Sie zu dem Verzeichnis, in dem erfasste Handshake-Dateien typischerweise gespeichert werden, und listen dessen Inhalt auf. Für dieses Labor haben wir eine Beispielverzeichnisstruktur vorbereitet, die die Ausgabe des fluxion-Tools nachahmt.
Ändern Sie zunächst Ihr aktuelles Verzeichnis in den Ordner handshakes unter ~/project/fluxion/attacks/handshakes. Verwenden Sie den Befehl cd (change directory):
cd ~/project/fluxion/attacks/handshakes
Da Sie sich nun im richtigen Verzeichnis befinden, verwenden Sie den Befehl ls -l, um die Dateien und ihre Details aufzulisten. Dies hilft Ihnen, die Anwesenheit der Erfassungsdateien zu bestätigen, mit denen wir arbeiten werden.
ls -l
Sie sollten die folgende Ausgabe sehen, die wpa.cap (unsere gültige Handshake-Datei) und invalid_handshake.cap (unsere leere Datei zum Vergleich) enthält.
total 4
-rw-r--r-- 1 labex labex 0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap
Öffnen eines neuen Terminalfensters
In einem realen Szenario könnten Sie ein Terminalfenster für die Ausführung von airodump-ng zur Erfassung des Datenverkehrs und ein weiteres für andere Aufgaben haben. Für dieses Labor werden wir dasselbe Terminal weiter verwenden, um die Dinge einfach zu halten. Der Zweck dieses Schritts ist es, sicherzustellen, dass Sie für den folgenden Verifizierungsbefehl bereit und konzentriert sind.
Für diesen Schritt sind keine Befehle erforderlich. Stellen Sie einfach sicher, dass Ihre Terminal-Eingabeaufforderung im Verzeichnis ~/project/fluxion/attacks/handshakes bereit ist. Wir sind nun bereit, aircrack-ng zu verwenden.
Ausführen des Befehls 'aircrack-ng' auf der .cap-Datei
In diesem Schritt führen Sie den Befehl aircrack-ng auf der Datei wpa.cap aus. Dieser Befehl analysiert die Datei und berichtet über deren Inhalt, einschließlich der Anwesenheit eines gültigen Handshakes.
Führen Sie den folgenden Befehl in Ihrem Terminal aus. Dies weist aircrack-ng an, die Datei wpa.cap zu verarbeiten.
aircrack-ng wpa.cap
Nach Ausführung des Befehls zeigt aircrack-ng Informationen über die Erfassungsdatei an. Die Ausgabe wird in etwa wie folgt aussehen:
Opening wpa.cap
Read 43 packets.
## BSSID ESSID Encryption
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
Choosing first network as target.
Opening wpa.cap
Reading packets, please wait...
Die wichtigste Information hier ist WPA (1 handshake). Dies werden wir im nächsten Schritt analysieren. Der Befehl scheint nach "Reading packets" anzuhalten, was normales Verhalten ist, da er darauf wartet, dass Sie eine Wortliste zum Knacken bereitstellen. Sie können sicher Ctrl+C drücken, um den Befehl zu beenden und zur Terminal-Eingabeaufforderung zurückzukehren.
Analyse der Ausgabe zur Bestätigung von '1 handshake'
In diesem Schritt konzentrieren wir uns auf die Interpretation der Ausgabe des vorherigen Befehls. Wie Sie gesehen haben, lieferte aircrack-ng eine Zusammenfassung der im Erfassungsfile gefundenen Access Points.
Betrachten wir die entscheidende Zeile noch einmal:
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
Der Text (1 handshake) ist die Bestätigung, nach der Sie suchen. Er teilt Ihnen ausdrücklich mit, dass aircrack-ng erfolgreich einen vollständigen WPA 4-Wege-Handshake identifiziert hat, der mit der BSSID 00:14:6C:7E:40:80 und der ESSID teddy verbunden ist.
Diese Bestätigung bedeutet, dass die Datei wpa.cap gültig ist und für einen Passwort-Cracking-Versuch verwendet werden kann. Wenn diese Meldung nicht vorhanden wäre oder (0 handshake) lauten würde, würde jeder Cracking-Versuch fehlschlagen.
Den Unterschied zwischen einem gültigen und einem ungültigen Handshake verstehen
Um die Bedeutung der Verifizierung vollständig zu verstehen, sehen wir uns an, was passiert, wenn Sie aircrack-ng auf einer Datei ausführen, die keinen Handshake enthält. Zu diesem Zweck haben wir eine leere Datei namens invalid_handshake.cap.
Führen Sie aircrack-ng auf dieser Datei aus:
aircrack-ng invalid_handshake.cap
Die Ausgabe wird sehr unterschiedlich sein. Da die Datei leer ist und keinen Netzwerkverkehr enthält, meldet aircrack-ng, dass keine Daten gefunden wurden.
Opening invalid_handshake.cap
Read 0 packets.
No networks found, exiting.
Wenn die Datei Pakete, aber keinen vollständigen Handshake für ein bestimmtes Netzwerk enthalten hätte, würde die Ausgabe das Netzwerk mit (0 handshake) auflisten. Die wichtigste Erkenntnis ist, dass die Erfassung ohne die Bestätigung (1 handshake) nicht zum Knacken geeignet ist. Diese einfache Überprüfung erspart Ihnen die Verschwendung von Zeit und Ressourcen für eine unbrauchbare Datei.
Zusammenfassung
In diesem Lab haben Sie den kritischen Prozess der Verifizierung eines WPA/WPA2-Handshakes in einer Erfassungsdatei kennengelernt. Sie haben erfolgreich den Befehl aircrack-ng verwendet, um eine .cap-Datei zu inspizieren, die Meldung (1 handshake) identifiziert, die eine gültige Erfassung bestätigt, und den Unterschied in der Ausgabe bei der Analyse einer ungültigen Datei beobachtet. Diese grundlegende Fähigkeit ist für jede Arbeit im Bereich der drahtlosen Netzwerksicherheit unerlässlich, um sicherzustellen, dass Ihre Cracking-Bemühungen auf brauchbaren Daten basieren.