LabEx
EntrarÚnete

Verificar un archivo de handshake capturado con aircrack-ng

Beginner
Practicar Ahora

Introducción

En la seguridad de redes inalámbricas, capturar un handshake de 4 vías WPA/WPA2 es esencial para descifrar la contraseña de una red. Sin embargo, antes de dedicar recursos computacionales significativos a un intento de descifrado, es vital verificar primero que tu archivo de captura realmente contiene un handshake completo y válido. Un handshake incompleto o ausente hará que cualquier intento de descifrado sea inútil.

Este laboratorio te guiará a través del proceso de uso de aircrack-ng, una herramienta potente dentro de la suite Aircrack-ng, para inspeccionar un archivo de captura (.cap) y confirmar la presencia de un handshake válido.

Localizar el archivo .cap capturado en el directorio de Fluxion

En este paso, navegarás al directorio donde se almacenan típicamente los archivos de handshake capturados y listarás su contenido. Para este laboratorio, hemos preparado una estructura de directorios de ejemplo que imita la salida de la herramienta fluxion.

Primero, cambia tu directorio actual a la carpeta handshakes ubicada en ~/project/fluxion/attacks/handshakes. Utiliza el comando cd (change directory):

cd ~/project/fluxion/attacks/handshakes

Ahora que estás en el directorio correcto, utiliza el comando ls -l para listar los archivos y sus detalles. Esto te ayudará a confirmar la presencia de los archivos de captura con los que trabajaremos.

ls -l

Deberías ver la siguiente salida, que incluye wpa.cap (nuestro archivo de handshake válido) y invalid_handshake.cap (nuestro archivo vacío para comparación).

total 4
-rw-r--r-- 1 labex labex    0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap

Abrir una nueva ventana de terminal

En un escenario del mundo real, podrías tener una ventana de terminal ejecutando airodump-ng para capturar tráfico y otra para realizar otras tareas. Para este laboratorio, continuaremos usando la misma terminal para mantener las cosas simples. El propósito de este paso es asegurar que estés listo y concentrado para el comando de verificación que sigue.

No se necesitan comandos para este paso. Simplemente asegúrate de que tu prompt de terminal esté listo en el directorio ~/project/fluxion/attacks/handshakes. Ahora estamos preparados para usar aircrack-ng.

Ejecutar el comando 'aircrack-ng' en el archivo .cap

En este paso, ejecutarás el comando aircrack-ng en el archivo wpa.cap. Este comando analizará el archivo e informará sobre su contenido, incluyendo si hay un handshake válido presente.

Ejecuta el siguiente comando en tu terminal. Esto le indica a aircrack-ng que procese el archivo wpa.cap.

aircrack-ng wpa.cap

Después de ejecutar el comando, aircrack-ng mostrará información sobre el archivo de captura. La salida se verá similar a esto:

Opening wpa.cap
Read 43 packets.

   ##  BSSID              ESSID                     Encryption

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

Choosing first network as target.

Opening wpa.cap
Reading packets, please wait...

La información clave aquí es WPA (1 handshake). Analizaremos esto en el siguiente paso. El comando parecerá detenerse después de "Reading packets", lo cual es un comportamiento normal ya que está esperando que proporciones una lista de palabras (wordlist) para el cracking. Puedes presionar Ctrl+C de forma segura para salir del comando y volver al prompt de la terminal.

Analizar la salida para la confirmación de '1 handshake'

En este paso, nos centraremos en interpretar la salida del comando anterior. Como viste, aircrack-ng proporcionó un resumen de los puntos de acceso encontrados en el archivo de captura.

Veamos de nuevo la línea crucial:

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

El texto (1 handshake) es la confirmación que estás buscando. Te indica explícitamente que aircrack-ng ha identificado con éxito un handshake WPA de 4 vías completo asociado con el BSSID 00:14:6C:7E:40:80 y el ESSID teddy.

Esta confirmación significa que el archivo wpa.cap es válido y puede ser utilizado para un intento de cracking de contraseña. Si este mensaje no estuviera presente, o si dijera (0 handshake), cualquier intento de cracking fallaría.

Comprender la diferencia entre un handshake válido e inválido

Para comprender completamente la importancia de la verificación, veamos qué sucede cuando ejecutas aircrack-ng en un archivo que no contiene un handshake. Tenemos un archivo vacío llamado invalid_handshake.cap para este propósito.

Ejecuta aircrack-ng en este archivo:

aircrack-ng invalid_handshake.cap

La salida será muy diferente. Dado que el archivo está vacío y no contiene tráfico de red, aircrack-ng informará que no encontró datos.

Opening invalid_handshake.cap
Read 0 packets.

No networks found, exiting.

Si el archivo hubiera contenido paquetes pero ningún handshake completo para una red específica, la salida listaría la red con (0 handshake). La conclusión clave es que sin la confirmación (1 handshake), la captura no es viable para el cracking. Esta simple verificación te evita perder tiempo y recursos en un archivo inutilizable.

Resumen

En este laboratorio, has aprendido el proceso crítico de verificar un handshake WPA/WPA2 dentro de un archivo de captura. Usaste con éxito el comando aircrack-ng para inspeccionar un archivo .cap, identificaste el mensaje (1 handshake) que confirma una captura válida y observaste la diferencia en la salida al analizar un archivo inválido. Esta habilidad fundamental es esencial para cualquier trabajo en seguridad de redes inalámbricas, asegurando que tus esfuerzos de cracking se basen en datos viables.