LabEx
EntrarÚnete

Acelerar la Captura de IVs WEP con un Ataque de Repetición ARP

Beginner
Practicar Ahora

Introducción

Bienvenido a este laboratorio sobre la aceleración de la captura de WEP IV. WEP (Wired Equivalent Privacy) es un protocolo de seguridad Wi-Fi obsoleto e inseguro. Su principal debilidad radica en la forma en que utiliza los Vectores de Inicialización (IVs). Para descifrar una clave WEP, un atacante necesita capturar un gran número de paquetes de datos, cada uno conteniendo un IV único.

Esperar pasivamente a que una red genere suficiente tráfico para capturar decenas de miles de IVs puede llevar horas o incluso días. Para superar esto, podemos usar una técnica activa llamada Ataque de Repetición ARP (ARP Replay Attack). Este ataque implica capturar un paquete ARP de la red y reinyectarlo (o "reproducirlo") de nuevo. Esto engaña al Punto de Acceso (AP) para que genere un gran volumen de nuevos paquetes, cada uno con un nuevo IV, lo que nos permite recopilar los datos necesarios en minutos.

En este laboratorio, utilizará la herramienta aireplay-ng del conjunto Aircrack-ng para realizar un ataque de repetición ARP. Asumiremos que ya ha puesto su tarjeta inalámbrica en modo monitor.

Realizar una Autenticación Falsa con aireplay-ng -1

En este paso, realizará una "autenticación falsa" con el Punto de Acceso (AP) objetivo. Antes de poder inyectar cualquier paquete en la red, nuestro dispositivo necesita estar asociado con el AP. El ataque de autenticación falsa establece esta asociación, haciendo que el AP crea que somos un cliente legítimo.

Para este laboratorio, utilizaremos la siguiente información simulada del objetivo:

  • Interfaz: wlan0mon
  • ESSID (Nombre de la Red): labex-wep
  • BSSID (Dirección MAC del AP): 00:11:22:33:44:55
  • Nuestra Dirección MAC: 00:C0:CA:A1:B2:C3

Ahora, ejecute el siguiente comando en su terminal para realizar la autenticación falsa. El -1 especifica el ataque de autenticación falsa, 0 establece el tiempo de reasociación en automático, -e especifica el ESSID, -a el BSSID y -h nuestra dirección MAC de origen.

sudo aireplay-ng -1 0 -e labex-wep -a 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

En un entorno real, vería una salida que indica el progreso. Una ejecución exitosa mostrará mensajes como "Authentication successful" y "Association successful". Debido a las limitaciones del entorno de laboratorio, el comando puede no producir la salida completa del mundo real, pero ejecutarlo es un primer paso crucial.

12:34:56  Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
12:34:56  Sending Authentication Request (Open System) [ACK]
12:34:57  Authentication successful
12:34:57  Sending Association Request [ACK]
12:34:57  Association successful :-) (AID: 1)

Con la asociación establecida, podemos proceder al ataque principal.

Iniciar el Ataque de Repetición ARP con aireplay-ng -3

En este paso, lanzará el ataque de repetición ARP. Este ataque, especificado por la bandera -3 en aireplay-ng, escucha los paquetes ARP en la red. Una vez que capture uno, comenzará a reinyectarlo para generar una avalancha de nuevos IVs.

Es importante ejecutar este ataque en su propia ventana de terminal, ya que se ejecutará de forma continua. Por favor, abra una nueva terminal para este comando. Puede hacerlo haciendo clic en el icono + en la barra de pestañas de la terminal.

En la nueva terminal, ejecute el siguiente comando. La bandera -3 inicia el ataque de repetición ARP, -b especifica el BSSID objetivo (el AP) y -h especifica nuestra dirección MAC de origen (la que usamos para la autenticación).

sudo aireplay-ng -3 -b 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

Después de ejecutar el comando, aireplay-ng comenzará a escuchar. La salida inicialmente mostrará que está esperando un paquete ARP.

Saving ARP requests in replay_arp-1234-567890.cap
You should also start airodump-ng to capture replies.
Read 0 packets (got 0 ARP requests, 0 ACKs), sent 0 packets...(0 pps)

La herramienta ahora está escuchando pasivamente. Necesita capturar al menos un paquete ARP para comenzar el proceso de repetición. En el siguiente paso, configuraremos una herramienta de monitoreo para observar nuestro progreso. Deje esta terminal en ejecución.

Monitorear la Captura de IVs con airodump-ng

En este paso, utilizará airodump-ng para monitorear la red y, lo que es más importante, para ver los resultados de su ataque de repetición ARP. airodump-ng capturará todos los paquetes generados por el ataque y los guardará en un archivo. El número de paquetes de datos (IVs) capturados es la métrica clave del éxito.

Este comando también necesita ejecutarse continuamente en su propia terminal. Por favor, abra una tercera terminal haciendo clic nuevamente en el icono +.

En esta nueva terminal, ejecute el siguiente comando de airodump-ng.

  • --bssid: Enfoca la captura en nuestro AP objetivo.
  • -c 6: Establece el canal en 6 (asumiendo que el AP está en este canal).
  • --write wep_capture: Indica a airodump-ng que guarde los paquetes capturados en archivos con el prefijo wep_capture.
  • wlan0mon: La interfaz en modo monitor a utilizar.
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 --write wep_capture wlan0mon

Después de ejecutar el comando, verá la interfaz de airodump-ng. Preste mucha atención a la columna #Data para nuestro BSSID objetivo. Este número representa el recuento de IVs capturados.

 CH  6 ][ Elapsed: 0 s ][ 2023-10-27 10:10

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10        0    0   6  54   WEP  WEP         labex-wep

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Inicialmente, el recuento de #Data será cero o muy bajo. Una vez que el ataque de aireplay-ng (del Paso 2) capture un paquete ARP y comience a inyectar, verá que este número aumenta muy rápidamente. Deje esta terminal en ejecución y proceda al siguiente paso para comprender el proceso.

Comprender Cómo la Repetición ARP Genera Tráfico Inyectable

Este paso es conceptual; no necesita ejecutar ningún comando nuevo. El objetivo es comprender qué está sucediendo en sus tres ventanas de terminal.

En un escenario del mundo real, ahora esperaría a que un cliente legítimo en la red envíe una solicitud ARP (por ejemplo, cuando se une por primera vez a la red o intenta encontrar otro dispositivo).

  1. Captura: Su proceso aireplay-ng -3 (en la segunda terminal) está esperando que esto suceda. Una vez que capture un paquete ARP, su salida cambiará. Indicará que ha leído un paquete y que ahora lo está guardando.

    Read 147 packets (got 1 ARP request), sent 0 packets...(0 pps)

  2. Repetición: Inmediatamente después de capturar el paquete ARP, aireplay-ng comenzará a reinyectarlo en la red. Verá que el contador de "sent" aumenta rápidamente.

    Read 250 packets (got 1 ARP request), sent 86 packets...(102 pps)

  3. Generación: El AP recibe estos paquetes ARP repetidos. Por cada uno que recibe, transmite una respuesta. Cada respuesta está cifrada con WEP y contiene un IV nuevo y único.

  4. Monitoreo: Su proceso airodump-ng (en la tercera terminal) captura todas estas respuestas del AP. Verá que la columna #Data para su red objetivo comienza a dispararse, a menudo aumentando en cientos por segundo.

Este ciclo de retroalimentación es el núcleo del ataque. Utilizamos un paquete ARP capturado para engañar al AP y que genere miles de paquetes nuevos para nosotros, acelerando drásticamente el proceso de recolección de IVs.

Detener el Ataque Después de Recopilar más de 20000 IVs

En este paso final, detendrá el ataque una vez que haya recopilado un número suficiente de IVs. Para descifrar una clave WEP, un objetivo común es de 20.000 a 40.000 IVs, aunque pueden ser necesarios más dependiendo de la fortaleza de la clave.

Para este laboratorio, nos detendremos una vez que el recuento supere los 20.000.

Observe la columna #Data en su terminal airodump-ng (la tercera terminal que abrió). Una vez que el valor sea superior a 20.000, puede detener la captura y el ataque.

Para detener los procesos, vaya a cada una de las dos terminales en ejecución (airodump-ng y aireplay-ng) y presione Ctrl+C. Es mejor detener airodump-ng primero para asegurarse de que todos los paquetes se escriban en el archivo.

Después de detener los procesos, el comando airodump-ng habrá creado varios archivos en su directorio ~/project. El más importante es el archivo de captura, que termina en .cap. Listemos los archivos para confirmar que se creó.

ls -l

Debería ver una salida similar a esta, confirmando la presencia de wep_capture-01.cap.

-rw-r--r-- 1 root root 2450000 Oct 27 10:15 wep_capture-01.cap
-rw-r--r-- 1 root root   78123 Oct 27 10:15 wep_capture-01.csv
...

Este archivo .cap contiene todos los IVs que ha recopilado y ahora está listo para ser utilizado con aircrack-ng para descifrar la clave WEP.

Resumen

En este laboratorio, ha aprendido con éxito a realizar uno de los ataques más efectivos contra redes protegidas con WEP.

Comenzó realizando una autenticación falsa con aireplay-ng -1 para asociar su dispositivo con el Punto de Acceso objetivo. Luego, lanzó el núcleo del laboratorio, el ataque de repetición ARP utilizando aireplay-ng -3, que escucha y repite paquetes ARP. También configuró airodump-ng para monitorear la red y capturar el tráfico resultante.

Aprendió cómo este ataque crea un ciclo de retroalimentación, engañando al AP para que genere miles de nuevos paquetes de datos (IVs) por minuto. Finalmente, detuvo el ataque después de recopilar un número suficiente de IVs, lo que resultó en un archivo .cap listo para ser descifrado. Esta técnica activa es mucho más eficiente que esperar pasivamente el tráfico de red. El siguiente paso lógico, que está fuera del alcance de este laboratorio, sería utilizar aircrack-ng en el archivo wep_capture-01.cap para recuperar la clave WEP.