LabEx
EntrarJunte-se

Acelere a Captura de IVs WEP com um Ataque de ARP Replay

Beginner
Pratique Agora

Introdução

Bem-vindo a este laboratório sobre aceleração da captura de WEP IV. WEP (Wired Equivalent Privacy) é um protocolo de segurança Wi-Fi desatualizado e inseguro. Sua principal fraqueza reside na forma como utiliza Vetores de Inicialização (IVs). Para quebrar uma chave WEP, um atacante precisa capturar um grande número de pacotes de dados, cada um contendo um IV único.

Esperar passivamente que uma rede gere tráfego suficiente para capturar dezenas de milhares de IVs pode levar horas ou até dias. Para superar isso, podemos usar uma técnica ativa chamada Ataque de ARP Replay. Este ataque envolve capturar um pacote ARP da rede e reinjetá-lo (ou "reproduzi-lo") de volta. Isso engana o Ponto de Acesso (AP) a gerar um grande volume de novos pacotes, cada um com um novo IV, permitindo-nos coletar os dados necessários em minutos.

Neste laboratório, você usará a ferramenta aireplay-ng do conjunto Aircrack-ng para realizar um ataque de ARP replay. Assumiremos que você já colocou sua placa sem fio em modo de monitoramento.

Realizar uma Autenticação Falsa com aireplay-ng -1

Nesta etapa, você realizará uma "autenticação falsa" com o Ponto de Acesso (AP) alvo. Antes de podermos injetar quaisquer pacotes na rede, nosso dispositivo precisa estar associado ao AP. O ataque de autenticação falsa estabelece essa associação, fazendo com que o AP acredite que somos um cliente legítimo.

Para este laboratório, usaremos as seguintes informações simuladas do alvo:

  • Interface: wlan0mon
  • ESSID (Nome da Rede): labex-wep
  • BSSID (Endereço MAC do AP): 00:11:22:33:44:55
  • Nosso Endereço MAC: 00:C0:CA:A1:B2:C3

Agora, execute o seguinte comando no seu terminal para realizar a autenticação falsa. O -1 especifica o ataque de autenticação falsa, 0 define o tempo de reassociacão para automático, -e especifica o ESSID, -a o BSSID e -h o nosso endereço MAC de origem.

sudo aireplay-ng -1 0 -e labex-wep -a 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

Em um ambiente real, você veria a saída indicando o progresso. Uma execução bem-sucedida mostrará mensagens como "Authentication successful" e "Association successful". Devido às limitações do ambiente de laboratório, o comando pode não produzir a saída completa do mundo real, mas executá-lo é um primeiro passo crucial.

12:34:56  Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
12:34:56  Sending Authentication Request (Open System) [ACK]
12:34:57  Authentication successful
12:34:57  Sending Association Request [ACK]
12:34:57  Association successful :-) (AID: 1)

Com a associação estabelecida, podemos prosseguir para o ataque principal.

Iniciar o Ataque de ARP Replay com aireplay-ng -3

Nesta etapa, você iniciará o ataque de ARP replay. Este ataque, especificado pela flag -3 em aireplay-ng, escuta pacotes ARP na rede. Assim que capturar um, ele começará a reinjetá-lo para gerar um fluxo de novos IVs.

É importante executar este ataque em sua própria janela de terminal, pois ele será executado continuamente. Por favor, abra um novo terminal para este comando. Você pode fazer isso clicando no ícone + na barra de guias do terminal.

No novo terminal, execute o seguinte comando. A flag -3 inicia o ataque de ARP replay, -b especifica o BSSID alvo (o AP) e -h especifica nosso endereço MAC de origem (aquele que usamos para autenticação).

sudo aireplay-ng -3 -b 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon

Após executar o comando, aireplay-ng começará a escutar. A saída inicialmente mostrará que ele está aguardando um pacote ARP.

Saving ARP requests in replay_arp-1234-567890.cap
You should also start airodump-ng to capture replies.
Read 0 packets (got 0 ARP requests, 0 ACKs), sent 0 packets...(0 pps)

A ferramenta agora está escutando passivamente. Ela precisa capturar pelo menos um pacote ARP para iniciar o processo de replay. Na próxima etapa, configuraremos uma ferramenta de monitoramento para acompanhar nosso progresso. Deixe este terminal em execução.

Monitorar a Captura de IVs com airodump-ng

Nesta etapa, você usará o airodump-ng para monitorar a rede e, mais importante, para ver os resultados do seu ataque de ARP replay. O airodump-ng capturará todos os pacotes gerados pelo ataque e os salvará em um arquivo. O número de pacotes de dados capturados (IVs) é a métrica chave de sucesso.

Este comando também precisa ser executado continuamente em seu próprio terminal. Por favor, abra um terceiro terminal clicando no ícone + novamente.

Neste novo terminal, execute o seguinte comando airodump-ng.

  • --bssid: Foca a captura em nosso AP alvo.
  • -c 6: Define o canal para 6 (assumindo que o AP está neste canal).
  • --write wep_capture: Diz ao airodump-ng para salvar os pacotes capturados em arquivos com o prefixo wep_capture.
  • wlan0mon: A interface em modo monitor a ser usada.
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 --write wep_capture wlan0mon

Após executar o comando, você verá a interface do airodump-ng. Preste muita atenção à coluna #Data para o nosso BSSID alvo. Este número representa a contagem de IVs capturados.

 CH  6 ][ Elapsed: 0 s ][ 2023-10-27 10:10

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:11:22:33:44:55  -30       10        0    0   6  54   WEP  WEP         labex-wep

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Inicialmente, a contagem de #Data será zero ou muito baixa. Assim que o ataque aireplay-ng (da Etapa 2) capturar um pacote ARP e começar a injetar, você verá este número aumentar muito rapidamente. Deixe este terminal em execução e prossiga para a próxima etapa para entender o processo.

Entender Como o ARP Replay Gera Tráfego Injetável

Esta etapa é conceitual; você não precisa executar nenhum novo comando. O objetivo é entender o que está acontecendo em suas três janelas de terminal.

Em um cenário do mundo real, você agora esperaria que um cliente legítimo na rede enviasse uma solicitação ARP (por exemplo, quando ele entra na rede pela primeira vez ou tenta encontrar outro dispositivo).

  1. Captura: Seu processo aireplay-ng -3 (no segundo terminal) está esperando que isso aconteça. Assim que capturar um pacote ARP, sua saída mudará. Ele indicará que leu um pacote e agora está salvando-o.

    Read 147 packets (got 1 ARP request), sent 0 packets...(0 pps)

  2. Replay: Imediatamente após capturar o pacote ARP, o aireplay-ng começará a reinjetá-lo na rede. Você verá o contador "sent" aumentar rapidamente.

    Read 250 packets (got 1 ARP request), sent 86 packets...(102 pps)

  3. Geração: O AP recebe esses pacotes ARP repetidos. Para cada um que recebe, ele transmite uma resposta. Cada resposta é criptografada com WEP e contém um IV novo e único.

  4. Monitoramento: Seu processo airodump-ng (no terceiro terminal) captura todas essas respostas do AP. Você verá a coluna #Data para sua rede alvo começar a disparar, muitas vezes aumentando em centenas por segundo.

Este ciclo de feedback é o cerne do ataque. Usamos um pacote ARP capturado para enganar o AP a gerar milhares de novos pacotes para nós, acelerando dramaticamente o processo de coleta de IVs.

Parar o Ataque Após Coletar Mais de 20000 IVs

Nesta etapa final, você parará o ataque assim que tiver coletado um número suficiente de IVs. Para quebrar uma chave WEP, um alvo comum é de 20.000 a 40.000 IVs, embora mais possam ser necessários dependendo da força da chave.

Para este laboratório, pararemos assim que a contagem exceder 20.000.

Observe a coluna #Data no seu terminal airodump-ng (o terceiro terminal que você abriu). Assim que o valor for maior que 20.000, você poderá parar a captura e o ataque.

Para parar os processos, vá para cada um dos dois terminais em execução (airodump-ng e aireplay-ng) e pressione Ctrl+C. É melhor parar o airodump-ng primeiro para garantir que todos os pacotes sejam gravados no arquivo.

Após parar os processos, o comando airodump-ng terá criado vários arquivos em seu diretório ~/project. O mais importante é o arquivo de captura, que termina em .cap. Vamos listar os arquivos para confirmar que ele foi criado.

ls -l

Você deverá ver uma saída semelhante a esta, confirmando a presença de wep_capture-01.cap.

-rw-r--r-- 1 root root 2450000 Oct 27 10:15 wep_capture-01.cap
-rw-r--r-- 1 root root   78123 Oct 27 10:15 wep_capture-01.csv
...

Este arquivo .cap contém todos os IVs que você coletou e agora está pronto para ser usado com aircrack-ng para quebrar a chave WEP.

Resumo

Neste laboratório, você aprendeu com sucesso como realizar um dos ataques mais eficazes contra redes protegidas por WEP.

Você começou realizando uma autenticação falsa com aireplay-ng -1 para associar seu dispositivo ao Access Point alvo. Em seguida, você lançou o cerne do laboratório, o ataque de ARP replay usando aireplay-ng -3, que escuta e repete pacotes ARP. Você também configurou o airodump-ng para monitorar a rede e capturar o tráfego resultante.

Você aprendeu como este ataque cria um ciclo de feedback, enganando o AP para gerar milhares de novos pacotes de dados (IVs) por minuto. Finalmente, você parou o ataque após coletar um número suficiente de IVs, resultando em um arquivo .cap pronto para ser quebrado. Esta técnica ativa é muito mais eficiente do que esperar passivamente pelo tráfego de rede. O próximo passo lógico, que está fora do escopo deste laboratório, seria usar o aircrack-ng no arquivo wep_capture-01.cap para recuperar a chave WEP.