LabEx
ログイン登録

airdecap-ng を使用して WEP キャプチャファイルを復号化する

Beginner
オンラインで実践に進む

はじめに

airdecap-ng は、Aircrack-ng スイートに含まれる強力なツールで、ワイヤレス通信キャプチャファイルを復号化するために設計されています。WEP、WPA、または WPA2 ネットワークのパスワードを正常にクラックした後、airdecap-ng を使用して暗号化されたトラフィックキャプチャ(.cap ファイル)を復号化されたバージョンに変換できます。この新しいファイルにより、Wireshark や tshark のようなツールを使用して、ネットワーク通信の内容をプレーンテキストで分析できるようになります。

この実験(Lab)では、ワイヤレス侵入テストの最終段階をシミュレートします。ここでは、暗号化された WEP トラフィックをすでにキャプチャし、キーを正常にクラックしたと仮定します。あなたのタスクは、既知のキーを使用して airdecap-ng を実行し、キャプチャファイルを復号化して結果を確認することです。

クラックされた WEP キーを 16 進数で取得する

このステップでは、以前に「クラック」された WEP キーを見つけます。実際のシナリオでは、このキーは aircrack-ng のようなツールの出力になります。この実験(Lab)では、この出力をシミュレートし、テキストファイルに保存しました。

まず、キーが含まれるファイルを確認しましょう。これは ~/project/wep_scenario/crack_result.txt にあります。cat コマンドを使用してその内容を表示します。

cat ~/project/wep_scenario/crack_result.txt

以下のような出力が表示され、これは aircrack-ng からの成功した結果を模倣したものです。

                        KEY FOUND! [ 1A:2B:3C:4D:5E ]

airdecap-ng ツールは、WEP キーをコロンなどの区切り文字なしの純粋な 16 進数形式で必要とします。上記の出力に基づくと、キーは 1A:2B:3C:4D:5E です。次のステップでは、このキーを 1A2B3C4D5E として使用する必要があります。

暗号化されたトラフィックを含む元の.cap ファイルを見つける

このステップでは、暗号化された WEP トラフィックを含むキャプチャファイルを見つけます。これは、復号化のために airdecap-ng に入力するファイルです。

この実験(Lab)のセットアップスクリプトは、必要なファイルを ~/project/wep_scenario ディレクトリに配置しました。ls -l コマンドを使用してこのディレクトリ内のファイルを一覧表示し、キャプチャファイルを特定してください。

ls -l ~/project/wep_scenario

出力には、ディレクトリ内のファイルが表示されます。

total 68
-rw-r--r-- 1 labex labex    44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap

ご覧のとおり、キャプチャファイルの名前は wep_traffic.cap です。これが復号化プロセスへの入力ファイルとなります。

-w WEP キーパラメータを使用した airdecap-ng の使い方

このステップでは、airdecap-ng の基本的な構文と、WEP 復号化における最も重要なパラメータについて学びます。一般的な構文は airdecap-ng [options] <capture file> です。

WEP で暗号化されたトラフィックを復号化するために重要なオプションは、"WEP key" を意味する -w です。このパラメータは、最初のステップで特定した 16 進数のキーを指定するために使用します。

コマンドを簡単に入力できるように、まず作業ディレクトリに移動します。

cd ~/project/wep_scenario

次に、airdecap-ng のヘルプメニューを見て、-w パラメータの公式な説明を確認しましょう。

airdecap-ng --help

利用可能なすべてのオプションのリストが表示されます。出力の中から -w オプションを探してください。

...
Common options:
      -l         : don't remove 802.11 header
      -b <bssid> : access point MAC address
      -e <essid> : target network ESSID

WEP specific options:
      -w <key>   : target network WEP key in hex
...

これにより、-w が WEP キーの正しいパラメータであることが確認できました。次のステップでは、このパラメータとキー、入力ファイルを組み合わせて復号化を実行します。

復号化する入力キャプチャファイルを指定する

このステップでは、airdecap-ng コマンド、-w パラメータ付きの WEP キー、および入力キャプチャファイルをすべて組み合わせて、復号化プロセスを実行します。

~/project/wep_scenario ディレクトリにいることを確認してください。次に、キー 1A2B3C4D5E と入力ファイル wep_traffic.cap を使用して airdecap-ng コマンドを実行します。

airdecap-ng -w 1A2B3C4D5E wep_traffic.cap

ツールはファイルを処理し、そのアクションの概要を表示します。出力は次のようになります。

Total number of packets read          1236
Total number of WEP data packets       254
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets       254
Number of decrypted WPA  packets         0
Number of packets written to file      254

最も重要な結果は、airdecap-ng が新しいファイルを作成したことです。デフォルトでは、元のファイル名に -dec.cap が追加されます。したがって、wep_traffic-dec.cap という名前の新しいファイルが作成されているはずです。

現在のディレクトリのファイルを再度一覧表示して確認してください。

ls

新しく作成された復号化されたファイルが一覧に表示されているはずです。

crack_result.txt  wep_traffic.cap  wep_traffic-dec.cap

この新しいファイルには元のファイルと同じパケットが含まれていますが、そのデータペイロードはプレーンテキストになっています。

Wireshark で新しい復号化された.cap ファイルを分析する

このステップでは、新しい復号化されたファイルの内容を検査して、トラフィックが読み取り可能になったことを確認します。Wireshark のようなグラフィカルツールが理想的ですが、そのコマンドライン相当であるtsharkを使用して、ターミナルでファイルをすばやく確認できます。

まず、tsharkを使用して、元の暗号化されたファイルの最初の 10 パケットを表示します。-rオプションは、tsharkにファイルから読み取るように指示します。

tshark -r wep_traffic.cap | head -n 10

ほとんどのデータパケットのプロトコルが802.11と表示され、情報列が保護されていることを示していることに注意してください。

    1   0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
    2   0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
    3   0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
    4   0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...

次に、新しい復号化されたファイル wep_traffic-dec.cap についても同様のことを行います。

tshark -r wep_traffic-dec.cap | head -n 10

出力を注意深く観察してください。ARPDHCPのような上位プロトコルが表示されるようになりました。これは、WEP 暗号化レイヤーが正常に削除され、基盤となるデータが表示可能になったことを意味します。

    1   0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    2   0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
    3   0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
    4   0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...

2 つの出力を比較することで、復号化が成功したことを確認できました。ファイル wep_traffic-dec.cap は、詳細なパケット分析に使用できるようになりました。

まとめ

実験完了おめでとうございます!airdecap-ng を使用して、WEP で暗号化されたキャプチャファイルを正常に復号化しました。

この実験では、以下の方法を学びました。

  • 事前にクラックされた WEP キーを見つけ、airdecap-ngで使用できるようにフォーマットする方法。
  • 対象となる暗号化されたキャプチャファイルを特定する方法。
  • airdecap-ng -w <key> <file> コマンドを使用して復号化を実行する方法。
  • 新しい復号化された .cap ファイルが作成されたことを確認する方法。
  • tshark を使用して暗号化されたファイルと復号化されたファイルを検査および比較し、操作の成功を確認する方法。

このスキルは、ワイヤレスネットワーク分析およびセキュリティ監査の基本的な部分であり、キャプチャされた暗号化されたデータのストリームを意味のある読み取り可能な情報に変換することを可能にします。