Verificar Arquivo de Handshake Capturado com aircrack-ng

Introdução

Na segurança de redes sem fio, capturar um handshake de 4 vias WPA/WPA2 é essencial para quebrar a senha de uma rede. No entanto, antes de dedicar recursos computacionais significativos a uma tentativa de quebra, é fundamental verificar primeiro se o seu arquivo de captura realmente contém um handshake completo e válido. Um handshake incompleto ou ausente tornará qualquer tentativa de quebra inútil.

Este laboratório irá guiá-lo através do processo de utilização do aircrack-ng, uma ferramenta poderosa do conjunto Aircrack-ng, para inspecionar um arquivo de captura (.cap) e confirmar a presença de um handshake válido.

Localizar o Arquivo .cap Capturado no Diretório Fluxion

Nesta etapa, você navegará até o diretório onde os arquivos de handshake capturados são tipicamente armazenados e listará seu conteúdo. Para este laboratório, preparamos uma estrutura de diretórios de amostra que imita a saída da ferramenta fluxion.

Primeiro, altere seu diretório atual para a pasta handshakes localizada em ~/project/fluxion/attacks/handshakes. Use o comando cd (change directory):

cd ~/project/fluxion/attacks/handshakes

Agora que você está no diretório correto, use o comando ls -l para listar os arquivos e seus detalhes. Isso o ajudará a confirmar a presença dos arquivos de captura com os quais trabalharemos.

ls -l

Você deverá ver a seguinte saída, que inclui wpa.cap (nosso arquivo de handshake válido) e invalid_handshake.cap (nosso arquivo vazio para comparação).

total 4
-rw-r--r-- 1 labex labex    0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap

Abrir uma Nova Janela de Terminal

Em um cenário do mundo real, você pode ter uma janela de terminal executando airodump-ng para capturar tráfego e outra para realizar outras tarefas. Para este laboratório, continuaremos usando o mesmo terminal para manter as coisas simples. O objetivo desta etapa é garantir que você esteja pronto e focado para o comando de verificação que se segue.

Nenhum comando é necessário para esta etapa. Apenas certifique-se de que seu prompt de terminal esteja pronto no diretório ~/project/fluxion/attacks/handshakes. Estamos agora preparados para usar o aircrack-ng.

Executar o Comando 'aircrack-ng' no Arquivo .cap

Nesta etapa, você executará o comando aircrack-ng no arquivo wpa.cap. Este comando analisará o arquivo e relatará seu conteúdo, incluindo se um handshake válido está presente.

Execute o seguinte comando em seu terminal. Isso instrui o aircrack-ng a processar o arquivo wpa.cap.

aircrack-ng wpa.cap

Após executar o comando, o aircrack-ng exibirá informações sobre o arquivo de captura. A saída será semelhante a esta:

Opening wpa.cap
Read 43 packets.

   ##  BSSID              ESSID                     Encryption

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

Choosing first network as target.

Opening wpa.cap
Reading packets, please wait...

A informação chave aqui é WPA (1 handshake). Analisaremos isso na próxima etapa. O comando parecerá travar após "Reading packets", o que é um comportamento normal, pois ele está esperando que você forneça uma wordlist para cracking. Você pode pressionar Ctrl+C com segurança para sair do comando e retornar ao prompt do terminal.

Analisar a Saída para Confirmação de '1 handshake'

Nesta etapa, focaremos na interpretação da saída do comando anterior. Como você viu, o aircrack-ng forneceu um resumo dos pontos de acesso encontrados no arquivo de captura.

Vamos analisar novamente a linha crucial:

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

O texto (1 handshake) é a confirmação que você está procurando. Ele informa explicitamente que o aircrack-ng identificou com sucesso um handshake WPA de 4 vias completo associado ao BSSID 00:14:6C:7E:40:80 e ESSID teddy.

Esta confirmação significa que o arquivo wpa.cap é válido e pode ser usado para uma tentativa de cracking de senha. Se esta mensagem não estivesse presente, ou se dissesse (0 handshake), qualquer tentativa de cracking falharia.

Compreender a Diferença Entre um Handshake Válido e Inválido

Para entender completamente a importância da verificação, vejamos o que acontece quando você executa o aircrack-ng em um arquivo que não contém um handshake. Temos um arquivo vazio chamado invalid_handshake.cap para este propósito.

Execute o aircrack-ng neste arquivo:

aircrack-ng invalid_handshake.cap

A saída será muito diferente. Como o arquivo está vazio e não contém tráfego de rede, o aircrack-ng relatará que não encontrou dados.

Opening invalid_handshake.cap
Read 0 packets.

No networks found, exiting.

Se o arquivo contivesse pacotes, mas nenhum handshake completo para uma rede específica, a saída listaria a rede com (0 handshake). A principal conclusão é que, sem a confirmação (1 handshake), a captura não é viável para cracking. Esta simples verificação evita que você perca tempo e recursos em um arquivo inutilizável.

Resumo

Neste laboratório, você aprendeu o processo crítico de verificação de um handshake WPA/WPA2 dentro de um arquivo de captura. Você usou com sucesso o comando aircrack-ng para inspecionar um arquivo .cap, identificou a mensagem (1 handshake) que confirma uma captura válida e observou a diferença na saída ao analisar um arquivo inválido. Esta habilidade fundamental é essencial para qualquer trabalho em segurança de redes sem fio, garantindo que seus esforços de cracking sejam baseados em dados viáveis.