LabEx
로그인무료 가입

airdecap-ng 를 사용하여 WPA 캡처 파일 복호화하기

Beginner
지금 연습하기

소개

WPA 캡처 파일 복호화 실습에 오신 것을 환영합니다. airdecap-ng는 무선 트래픽을 복호화하기 위해 설계된 Aircrack-ng 제품군 내의 강력한 도구입니다. 무선 패킷을 캡처하고 WPA/WPA2 암호를 성공적으로 크랙한 후, 다음 단계는 캡처된 데이터를 복호화하여 내용을 분석하는 것입니다. 이때 airdecap-ng가 사용됩니다.

이 실습에서는 미리 준비된 캡처 파일 (.cap) 을 알려진 네트워크 SSID 와 암호를 사용하여 airdecap-ng로 복호화하는 과정을 진행합니다. 이를 통해 암호화되어 읽을 수 없는 네트워크 데이터를 명확하고 분석 가능한 형식으로 변환하는 워크플로우를 이해할 수 있습니다.

크랙된 WPA 암호문 획득

이 단계에서는 복호화에 필요한 가장 중요한 정보인 WPA 암호문을 얻는 것부터 시작합니다. 실제 시나리오에서는 aircrack-ng와 같은 도구를 사용하여 캡처된 WPA 4-way 핸드셰이크에 대해 사전 공격 (dictionary attack) 또는 무차별 대입 공격 (brute-force attack) 을 수행하여 이 정보를 얻게 됩니다.

이 실습에서는 이 과정이 이미 성공적으로 완료되었다고 가정합니다. 크랙된 암호는 현재 디렉토리인 ~/projectcracked_password.txt라는 파일로 저장되었습니다.

이 파일의 내용을 확인하여 암호문을 얻어봅시다. cat 명령어를 사용하여 터미널에 파일 내용을 표시합니다.

cat cracked_password.txt

복호화에 사용할 암호문인 다음과 같은 출력을 보게 될 것입니다.

password123

이 암호문은 나중에 airdecap-ng 명령어를 실행할 때 필요하므로 기억해 두십시오.

WPA 핸드셰이크가 포함된 .cap 파일 찾기

이 단계에서는 암호화된 무선 트래픽을 포함하는 캡처 파일을 식별해야 합니다. 이러한 파일은 일반적으로 .cap 또는 .pcap 확장자를 가지며 airodump-ng 또는 Wireshark 와 같은 패킷 스니핑 도구에 의해 생성됩니다.

이 실습을 위해 wpa_handshake.cap이라는 샘플 캡처 파일이 ~/project 디렉토리에 배치되었습니다. 파일이 존재하는지 확인하려면 ls -l 명령어를 사용하여 현재 디렉토리의 내용을 나열할 수 있습니다. 이 명령어는 파일 및 디렉토리에 대한 자세한 목록을 제공합니다.

터미널에서 다음 명령어를 실행하십시오.

ls -l

출력은 다음과 유사해야 하며, wpa_handshake.cap의 존재를 확인할 수 있습니다.

total 12
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

이제 암호문과 캡처 파일의 위치를 확인했으므로 복호화 명령어를 준비할 준비가 되었습니다.

-e SSID 및 -p Passphrase 와 함께 airdecap-ng 사용

이 단계에서는 airdecap-ng 명령어를 구성합니다. WPA/WPA2 캡처를 복호화하기 위해 airdecap-ng는 두 가지 필수 정보, 즉 네트워크 이름 (SSID) 과 암호문이 필요합니다.

이 명령어는 이 정보를 받기 위해 특정 플래그 (옵션) 를 사용합니다.

  • -e <essid>: 이 플래그는 대상 네트워크의 ESSID(Extended Service Set Identifier) 를 지정하는 데 사용됩니다.
  • -p <passphrase>: 이 플래그는 WPA/WPA2 암호문을 제공하는 데 사용됩니다.

이 실습에서는 SSID 가 ssid.txt 파일에 저장되어 있습니다. 먼저 내용을 확인해 봅시다.

cat ssid.txt

출력은 다음과 같습니다.

MyTestAP

이를 1 단계의 암호문 "password123"과 결합하면, 명령어의 첫 번째 부분은 다음과 같이 됩니다: airdecap-ng -e MyTestAP -p password123.

이 명령어 구조는 airdecap-ng에 어떤 네트워크의 트래픽을 찾을지, 그리고 복호화에 사용할 키가 무엇인지 알려줍니다. 다음 단계에서는 입력 캡처 파일을 추가하여 명령어를 완성할 것입니다.

복호화할 입력 캡처 파일 지정

이 단계에서는 airdecap-ng 명령어를 최종화하고 실행합니다. SSID(MyTestAP), 암호문 (password123), 입력 파일 (wpa_handshake.cap) 이 준비되었습니다. 이제 이 모든 것을 단일 명령어로 결합하기만 하면 됩니다.

airdecap-ng 명령어의 마지막 인수는 복호화하려는 캡처 파일의 경로입니다.

터미널에서 다음 전체 명령어를 실행하십시오. 이 명령어는 airdecap-ng에게 wpa_handshake.cap을 읽고, "MyTestAP" SSID 와 일치하는 패킷을 찾아 "password123"을 사용하여 복호화를 시도하도록 지시합니다.

airdecap-ng -e MyTestAP -p password123 wpa_handshake.cap

명령어를 실행한 후 다음과 유사한 출력을 볼 수 있습니다. 샘플 .cap 파일이 비어 있으므로 패킷 수는 0 이 됩니다. 가장 중요한 줄은 마지막 줄로, 새롭게 복호화된 파일이 생성되었음을 확인합니다.

Total number of packets read         1
Total number of WPA packets          0
Total number of WPA handshakes       0
Number of plaintext data packets     0
Number of decrypted WPA packets      0
Number of decrypted WEP packets      0
File wpa_handshake-dec.cap created.

"File wpa_handshake-dec.cap created."라는 메시지는 작업이 성공했음을 나타냅니다. airdecap-ng는 트래픽의 복호화된 버전을 포함하는 새 파일을 생성했습니다.

새로 생성된 복호화 캡처 파일 검사

마지막 단계에서는 복호화된 파일이 생성되었는지 확인하고 이를 검사하는 방법을 배웁니다. airdecap-ng는 원본 캡처 파일을 수정하지 않습니다. 대신, 복호화된 패킷을 포함하는 새 파일을 생성하며, 일반적으로 원본 파일 이름에 -dec.cap을 추가합니다.

먼저, ls -l 명령어를 다시 사용하여 디렉토리에서 새 파일을 확인하십시오.

ls -l

이제 원본 파일과 함께 복호화된 파일인 wpa_handshake-dec.cap이 목록에 표시될 것입니다.

total 16
-rw-r--r-- 1 labex labex   12 Mar 18 10:00 cracked_password.txt
-rw-r--r-- 1 labex labex    9 Mar 18 10:00 ssid.txt
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake-dec.cap
-rw-r--r-- 1 labex labex    0 Mar 18 10:00 wpa_handshake.cap

이 새 파일인 wpa_handshake-dec.cap에는 캡처된 데이터의 일반 텍스트 버전이 포함되어 있습니다. 이제 Wireshark 또는 tcpdump와 같은 네트워크 분석 도구로 이 파일을 분석할 수 있습니다. 시연을 위해 -r 플래그와 함께 tcpdump를 사용하여 새 파일에서 읽어오겠습니다.

tcpdump -r wpa_handshake-dec.cap

원본 파일이 비어 있었기 때문에 tcpdump는 패킷을 표시하지 않습니다. 하지만 이 파일을 읽을 수 있음을 확인하며, 이것이 이 단계의 목표입니다.

reading from file wpa_handshake-dec.cap, link-type EN10MB (Ethernet)

실제 상황에서 데이터가 채워진 캡처 파일을 사용하는 경우, 이 명령어는 HTTP 요청, DNS 쿼리 및 기타 일반 텍스트 트래픽과 같은 복호화된 패킷 내용을 표시할 것입니다.

요약

이 실습에서는 airdecap-ng를 사용하여 WPA 암호화된 캡처 파일을 복호화하는 방법을 성공적으로 배웠습니다.

다음과 같은 전체 워크플로우를 실습했습니다.

  1. 필요한 암호문 및 SSID 식별.
  2. 대상 .cap 파일 찾기.
  3. -e (SSID) 및 -p (암호문) 플래그를 사용하여 airdecap-ng 명령어 구성.
  4. 새로운 복호화된 캡처 파일 (-dec.cap) 을 생성하기 위해 명령어 실행.
  5. 복호화된 파일 생성을 확인하고 tcpdump와 같은 도구로 분석하는 방법 학습.

이 기술은 네트워크 보안 분석에서 기본적이며, 네트워크의 암호문을 크랙하는 것과 그 안에서 흐르는 트래픽을 실제로 이해하는 것 사이의 간극을 메워줍니다.