Introdução
Na segurança de redes sem fio, capturar um handshake de 4 vias WPA/WPA2 é essencial para quebrar a senha de uma rede. No entanto, antes de dedicar recursos computacionais significativos a uma tentativa de quebra, é fundamental verificar primeiro se o seu arquivo de captura realmente contém um handshake completo e válido. Um handshake incompleto ou ausente tornará qualquer tentativa de quebra inútil.
Este laboratório irá guiá-lo através do processo de utilização do aircrack-ng, uma ferramenta poderosa do conjunto Aircrack-ng, para inspecionar um arquivo de captura (.cap) e confirmar a presença de um handshake válido.
Localizar o Arquivo .cap Capturado no Diretório Fluxion
Nesta etapa, você navegará até o diretório onde os arquivos de handshake capturados são tipicamente armazenados e listará seu conteúdo. Para este laboratório, preparamos uma estrutura de diretórios de amostra que imita a saída da ferramenta fluxion.
Primeiro, altere seu diretório atual para a pasta handshakes localizada em ~/project/fluxion/attacks/handshakes. Use o comando cd (change directory):
cd ~/project/fluxion/attacks/handshakes
Agora que você está no diretório correto, use o comando ls -l para listar os arquivos e seus detalhes. Isso o ajudará a confirmar a presença dos arquivos de captura com os quais trabalharemos.
ls -l
Você deverá ver a seguinte saída, que inclui wpa.cap (nosso arquivo de handshake válido) e invalid_handshake.cap (nosso arquivo vazio para comparação).
total 4
-rw-r--r-- 1 labex labex 0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap
Abrir uma Nova Janela de Terminal
Em um cenário do mundo real, você pode ter uma janela de terminal executando airodump-ng para capturar tráfego e outra para realizar outras tarefas. Para este laboratório, continuaremos usando o mesmo terminal para manter as coisas simples. O objetivo desta etapa é garantir que você esteja pronto e focado para o comando de verificação que se segue.
Nenhum comando é necessário para esta etapa. Apenas certifique-se de que seu prompt de terminal esteja pronto no diretório ~/project/fluxion/attacks/handshakes. Estamos agora preparados para usar o aircrack-ng.
Executar o Comando 'aircrack-ng' no Arquivo .cap
Nesta etapa, você executará o comando aircrack-ng no arquivo wpa.cap. Este comando analisará o arquivo e relatará seu conteúdo, incluindo se um handshake válido está presente.
Execute o seguinte comando em seu terminal. Isso instrui o aircrack-ng a processar o arquivo wpa.cap.
aircrack-ng wpa.cap
Após executar o comando, o aircrack-ng exibirá informações sobre o arquivo de captura. A saída será semelhante a esta:
Opening wpa.cap
Read 43 packets.
## BSSID ESSID Encryption
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
Choosing first network as target.
Opening wpa.cap
Reading packets, please wait...
A informação chave aqui é WPA (1 handshake). Analisaremos isso na próxima etapa. O comando parecerá travar após "Reading packets", o que é um comportamento normal, pois ele está esperando que você forneça uma wordlist para cracking. Você pode pressionar Ctrl+C com segurança para sair do comando e retornar ao prompt do terminal.
Analisar a Saída para Confirmação de '1 handshake'
Nesta etapa, focaremos na interpretação da saída do comando anterior. Como você viu, o aircrack-ng forneceu um resumo dos pontos de acesso encontrados no arquivo de captura.
Vamos analisar novamente a linha crucial:
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
O texto (1 handshake) é a confirmação que você está procurando. Ele informa explicitamente que o aircrack-ng identificou com sucesso um handshake WPA de 4 vias completo associado ao BSSID 00:14:6C:7E:40:80 e ESSID teddy.
Esta confirmação significa que o arquivo wpa.cap é válido e pode ser usado para uma tentativa de cracking de senha. Se esta mensagem não estivesse presente, ou se dissesse (0 handshake), qualquer tentativa de cracking falharia.
Compreender a Diferença Entre um Handshake Válido e Inválido
Para entender completamente a importância da verificação, vejamos o que acontece quando você executa o aircrack-ng em um arquivo que não contém um handshake. Temos um arquivo vazio chamado invalid_handshake.cap para este propósito.
Execute o aircrack-ng neste arquivo:
aircrack-ng invalid_handshake.cap
A saída será muito diferente. Como o arquivo está vazio e não contém tráfego de rede, o aircrack-ng relatará que não encontrou dados.
Opening invalid_handshake.cap
Read 0 packets.
No networks found, exiting.
Se o arquivo contivesse pacotes, mas nenhum handshake completo para uma rede específica, a saída listaria a rede com (0 handshake). A principal conclusão é que, sem a confirmação (1 handshake), a captura não é viável para cracking. Esta simples verificação evita que você perca tempo e recursos em um arquivo inutilizável.
Resumo
Neste laboratório, você aprendeu o processo crítico de verificação de um handshake WPA/WPA2 dentro de um arquivo de captura. Você usou com sucesso o comando aircrack-ng para inspecionar um arquivo .cap, identificou a mensagem (1 handshake) que confirma uma captura válida e observou a diferença na saída ao analisar um arquivo inválido. Esta habilidade fundamental é essencial para qualquer trabalho em segurança de redes sem fio, garantindo que seus esforços de cracking sejam baseados em dados viáveis.