airdecap-ng는 Aircrack-ng 제품군 내에서 무선 트래픽 캡처 파일을 복호화하는 강력한 도구입니다. WEP, WPA 또는 WPA2 네트워크의 비밀번호를 성공적으로 크랙한 후, airdecap-ng를 사용하여 암호화된 트래픽 캡처 파일 (.cap 파일) 을 복호화된 버전으로 변환할 수 있습니다. 이 새로운 파일을 사용하면 Wireshark 또는 tshark와 같은 도구를 사용하여 네트워크 통신 내용을 일반 텍스트로 분석할 수 있습니다.
이 실습에서는 무선 침투 테스트의 마지막 단계를 시뮬레이션합니다. 이미 암호화된 WEP 트래픽을 캡처하고 키를 성공적으로 크랙했다고 가정합니다. 여러분의 임무는 알려진 키와 함께 airdecap-ng를 사용하여 캡처 파일을 복호화하고 결과를 확인하는 것입니다.
이 단계에서는 이전에 "크랙"된 WEP 키를 찾습니다. 실제 시나리오에서는 이 키가 aircrack-ng와 같은 도구의 출력일 것입니다. 이 실습에서는 이 출력을 시뮬레이션하여 텍스트 파일에 저장했습니다.
먼저 키가 포함된 파일을 살펴보겠습니다. 이 파일은 ~/project/wep_scenario/crack_result.txt에 있습니다. cat 명령을 사용하여 내용을 표시합니다.
cat ~/project/wep_scenario/crack_result.txt다음과 같은 출력을 볼 수 있으며, 이는 aircrack-ng의 성공적인 결과를 모방한 것입니다.
KEY FOUND! [ 1A:2B:3C:4D:5E ]airdecap-ng 도구는 WEP 키를 콜론이나 다른 구분 기호 없이 순수한 16 진수 형식으로 요구합니다. 위의 출력에 따르면 키는 1A:2B:3C:4D:5E입니다. 다음 단계에서 이 키를 1A2B3C4D5E로 사용해야 합니다.
이 단계에서는 암호화된 WEP 트래픽이 포함된 캡처 파일을 찾습니다. 이 파일은 복호화를 위해 airdecap-ng에 입력할 파일입니다.
이 실습을 위한 설정 스크립트가 필요한 파일을 ~/project/wep_scenario 디렉토리에 배치했습니다. ls -l 명령을 사용하여 이 디렉토리의 파일을 나열하고 캡처 파일을 식별합니다.
ls -l ~/project/wep_scenario출력은 디렉토리의 파일을 보여줍니다.
total 68
-rw-r--r-- 1 labex labex 44 Dec 01 12:00 crack_result.txt
-rw-r--r-- 1 labex labex 65879 Dec 01 12:00 wep_traffic.cap보시다시피 캡처 파일의 이름은 wep_traffic.cap입니다. 이것이 복호화 프로세스의 입력 파일입니다.
이 단계에서는 airdecap-ng의 기본 구문과 WEP 복호화에 가장 중요한 매개변수에 대해 알아봅니다. 일반적인 구문은 airdecap-ng [options] <capture file>입니다.
WEP 암호화된 트래픽을 복호화하기 위한 중요한 옵션은 "WEP 키"를 의미하는 -w입니다. 이 매개변수는 첫 번째 단계에서 식별한 16 진수 키를 제공하는 데 사용됩니다.
명령을 더 쉽게 입력하기 위해 먼저 작업 디렉토리로 이동합니다.
cd ~/project/wep_scenario이제 airdecap-ng의 도움말 메뉴를 보고 -w 매개변수에 대한 공식 설명을 살펴보겠습니다.
airdecap-ng --help사용 가능한 모든 옵션 목록이 표시됩니다. 출력에서 -w 옵션을 찾습니다.
...
Common options:
-l : don't remove 802.11 header
-b <bssid> : access point MAC address
-e <essid> : target network ESSID
WEP specific options:
-w <key> : target network WEP key in hex
...이는 -w가 WEP 키에 대한 올바른 매개변수임을 확인시켜 줍니다. 다음 단계에서는 이 매개변수를 키 및 입력 파일과 결합하여 복호화를 수행할 것입니다.
이 단계에서는 airdecap-ng 명령, -w 매개변수가 있는 WEP 키, 입력 캡처 파일을 모두 결합합니다. 이를 통해 복호화 프로세스가 실행됩니다.
~/project/wep_scenario 디렉토리에 있는지 확인합니다. 이제 키 1A2B3C4D5E와 입력 파일 wep_traffic.cap을 사용하여 airdecap-ng 명령을 실행합니다.
airdecap-ng -w 1A2B3C4D5E wep_traffic.cap도구가 파일을 처리하고 수행한 작업에 대한 요약을 표시합니다. 출력은 다음과 유사하게 표시됩니다.
Total number of packets read 1236
Total number of WEP data packets 254
Total number of WPA data packets 0
Number of plaintext data packets 0
Number of decrypted WEP packets 254
Number of decrypted WPA packets 0
Number of packets written to file 254가장 중요한 결과는 airdecap-ng가 새 파일을 생성했다는 것입니다. 기본적으로 원본 파일 이름에 -dec.cap을 추가합니다. 따라서 wep_traffic-dec.cap이라는 새 파일이 이제 존재해야 합니다.
현재 디렉토리의 파일을 다시 나열하여 이를 확인합니다.
ls이제 목록에서 새로 생성된 복호화된 파일을 볼 수 있습니다.
crack_result.txt wep_traffic.cap wep_traffic-dec.cap이 새 파일에는 원본 파일과 동일한 패킷이 포함되어 있지만 데이터 페이로드는 이제 일반 텍스트입니다.
이 단계에서는 새로 복호화된 파일의 내용을 검사하여 트래픽을 읽을 수 있는지 확인합니다. Wireshark 와 같은 그래픽 도구가 이상적이지만, 터미널에서 파일을 빠르게 확인하기 위해 해당 명령줄 도구인 tshark를 사용할 수 있습니다.
먼저 tshark를 사용하여 원본 암호화된 파일의 첫 10 개 패킷을 보겠습니다. -r 옵션은 tshark에게 파일에서 읽도록 지시합니다.
tshark -r wep_traffic.cap | head -n 10대부분의 데이터 패킷에 대한 프로토콜이 802.11로 나열되어 있고 정보 열에 보호되어 있다고 표시되는 것을 확인합니다.
1 0.000000 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3296, FN=0, Flags=........, BI=100, SSID=linksys
2 0.000013 00:14:a5:8d:fb:c8 -> 00:09:5b:89:a5:e9 802.11 114 Data, SN=2083, FN=0, Flags=...P...., WEP
3 0.000539 00:09:5b:89:a5:e9 -> 00:14:a5:8d:fb:c8 802.11 60 ACK, SN=2083, FN=0, Flags=........
4 0.102399 00:09:5b:89:a5:e9 -> ff:ff:ff:ff:ff:ff 802.11 60 Beacon frame, SN=3297, FN=0, Flags=........, BI=100, SSID=linksys
...이제 새로 복호화된 파일인 wep_traffic-dec.cap에 대해서도 동일하게 수행합니다.
tshark -r wep_traffic-dec.cap | head -n 10출력을 주의 깊게 관찰합니다. 이제 ARP 및 DHCP와 같은 상위 수준 프로토콜을 볼 수 있습니다. 이는 WEP 암호화 계층이 성공적으로 제거되었으며 기본 데이터가 표시됨을 의미합니다.
1 0.000013 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
2 0.102938 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff ARP 42 Who has 192.168.1.1? Tell 192.168.1.100
3 0.205337 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
4 0.307736 00:14:a5:8d:fb:c8 -> ff:ff:ff:ff:ff:ff DHCP 342 DHCP Request
...두 출력 결과를 비교함으로써 복호화가 성공했음을 확인했습니다. 이제 wep_traffic-dec.cap 파일을 상세한 패킷 분석에 사용할 수 있습니다.
실습을 완료하신 것을 축하드립니다! airdecap-ng를 사용하여 WEP 로 암호화된 캡처 파일을 성공적으로 복호화했습니다.
이 실습에서는 다음을 배웠습니다.
airdecap-ng에서 사용할 수 있도록 형식을 지정하는 방법.airdecap-ng -w <key> <file> 명령을 사용하는 방법..cap 파일 생성을 확인하는 방법.tshark를 사용하여 암호화된 파일과 복호화된 파일을 검사하고 비교하여 작업 성공을 확인하는 방법.이 기술은 무선 네트워크 분석 및 보안 감사의 기본 부분으로, 캡처된 암호화된 데이터 스트림을 의미 있고 읽을 수 있는 정보로 변환할 수 있게 해줍니다.