Введение
Добро пожаловать в эту лабораторную работу по ускорению захвата WEP IV. WEP (Wired Equivalent Privacy) — устаревший и небезопасный протокол безопасности Wi-Fi. Его основной недостаток заключается в способе использования векторов инициализации (IV). Для взлома ключа WEP злоумышленнику необходимо захватить большое количество пакетов данных, каждый из которых содержит уникальный IV.
Пассивное ожидание, пока сеть сгенерирует достаточно трафика для захвата десятков тысяч IV, может занять часы или даже дни. Чтобы преодолеть это, мы можем использовать активный метод, называемый ARP Replay Attack (атака повторного воспроизведения ARP). Эта атака включает в себя захват ARP-пакета из сети и его повторное внедрение (или "воспроизведение"). Это обманывает точку доступа (AP), заставляя ее генерировать большой объем новых пакетов, каждый с новым IV, что позволяет нам собрать необходимые данные за считанные минуты.
В этой лабораторной работе вы будете использовать инструмент aireplay-ng из набора Aircrack-ng для выполнения атаки повторного воспроизведения ARP. Мы предполагаем, что вы уже перевели вашу беспроводную карту в режим мониторинга.
Выполнение поддельной аутентификации с помощью aireplay-ng -1
На этом этапе вы выполните "поддельную аутентификацию" с целевой точкой доступа (AP). Прежде чем мы сможем внедрять какие-либо пакеты в сеть, наше устройство должно быть ассоциировано с AP. Атака поддельной аутентификации устанавливает эту ассоциацию, заставляя AP полагать, что мы являемся законным клиентом.
Для этой лабораторной работы мы будем использовать следующую информацию о симулируемой цели:
- Интерфейс:
wlan0mon - ESSID (Имя сети):
labex-wep - BSSID (MAC-адрес AP):
00:11:22:33:44:55 - Наш MAC-адрес:
00:C0:CA:A1:B2:C3
Теперь выполните следующую команду в терминале для выполнения поддельной аутентификации. Флаг -1 указывает на атаку поддельной аутентификации, 0 устанавливает автоматическое время повторной ассоциации, -e указывает ESSID, -a — BSSID, а -h — наш исходный MAC-адрес.
sudo aireplay-ng -1 0 -e labex-wep -a 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon
В реальной среде вы увидите вывод, указывающий на ход выполнения. Успешное выполнение будет сопровождаться сообщениями типа "Authentication successful" (Аутентификация успешна) и "Association successful" (Ассоциация успешна). Из-за ограничений лабораторной среды команда может не выдавать полный вывод, как в реальном мире, но ее выполнение является важным первым шагом.
12:34:56 Waiting for beacon frame (BSSID: 00:11:22:33:44:55) on channel 6
12:34:56 Sending Authentication Request (Open System) [ACK]
12:34:57 Authentication successful
12:34:57 Sending Association Request [ACK]
12:34:57 Association successful :-) (AID: 1)
После установления ассоциации мы можем перейти к основной атаке.
Запуск атаки ARP Replay с помощью aireplay-ng -3
На этом этапе вы запустите атаку повторного воспроизведения ARP. Эта атака, обозначенная флагом -3 в aireplay-ng, прослушивает ARP-пакеты в сети. Как только она захватит один, она начнет повторно внедрять его для генерации потока новых IV.
Важно запускать эту атаку в отдельном окне терминала, так как она будет работать непрерывно. Пожалуйста, откройте новый терминал для этой команды. Вы можете сделать это, нажав значок + на панели вкладок терминала.
В новом терминале выполните следующую команду. Флаг -3 инициирует атаку повторного воспроизведения ARP, -b указывает целевой BSSID (AP), а -h указывает наш исходный MAC-адрес (тот, который мы использовали для аутентификации).
sudo aireplay-ng -3 -b 00:11:22:33:44:55 -h 00:C0:CA:A1:B2:C3 wlan0mon
После выполнения команды aireplay-ng начнет прослушивание. Вывод сначала покажет, что он ожидает ARP-пакет.
Saving ARP requests in replay_arp-1234-567890.cap
You should also start airodump-ng to capture replies.
Read 0 packets (got 0 ARP requests, 0 ACKs), sent 0 packets...(0 pps)
Инструмент теперь пассивно прослушивает. Ему необходимо захватить хотя бы один ARP-пакет, чтобы начать процесс повторного воспроизведения. На следующем шаге мы настроим инструмент мониторинга для отслеживания нашего прогресса. Оставьте этот терминал запущенным.
Мониторинг захвата IV с помощью airodump-ng
На этом шаге вы будете использовать airodump-ng для мониторинга сети и, что более важно, для просмотра результатов вашей атаки повторного воспроизведения ARP. airodump-ng будет захватывать все пакеты, сгенерированные атакой, и сохранять их в файл. Количество захваченных пакетов данных (IV) является ключевым показателем успеха.
Эта команда также должна работать непрерывно в своем собственном терминале. Пожалуйста, откройте третий терминал, снова нажав значок +.
В этом новом терминале выполните следующую команду airodump-ng.
--bssid: Фокусирует захват на нашей целевой AP.-c 6: Устанавливает канал на 6 (предполагая, что AP находится на этом канале).--write wep_capture: Указываетairodump-ngсохранять захваченные пакеты в файлы с префиксомwep_capture.wlan0mon: Интерфейс в режиме мониторинга для использования.
sudo airodump-ng --bssid 00:11:22:33:44:55 -c 6 --write wep_capture wlan0mon
После выполнения команды вы увидите интерфейс airodump-ng. Обратите пристальное внимание на столбец #Data для нашего целевого BSSID. Это число представляет собой количество захваченных IV.
CH 6 ][ Elapsed: 0 s ][ 2023-10-27 10:10
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:11:22:33:44:55 -30 10 0 0 6 54 WEP WEP labex-wep
BSSID STATION PWR Rate Lost Frames Probe
Изначально счетчик #Data будет равен нулю или очень низким. Как только атака aireplay-ng (из Шага 2) захватит ARP-пакет и начнет внедрение, вы увидите, как это число очень быстро увеличивается. Оставьте этот терминал запущенным и переходите к следующему шагу, чтобы понять процесс.
Понимание того, как ARP Replay генерирует трафик для внедрения
Этот шаг является концептуальным; вам не нужно выполнять никаких новых команд. Цель состоит в том, чтобы понять, что происходит в ваших трех окнах терминала.
В реальном сценарии вы бы теперь ждали, пока законный клиент в сети отправит ARP-запрос (например, когда он впервые присоединяется к сети или пытается найти другое устройство).
Захват: Ваш процесс
aireplay-ng -3(во втором терминале) ожидает этого. Как только он захватит ARP-пакет, его вывод изменится. Он укажет, что прочитал пакет и теперь сохраняет его.Read 147 packets (got 1 ARP request), sent 0 packets...(0 pps)Повторное воспроизведение: Сразу после захвата ARP-пакета
aireplay-ngначнет повторно внедрять его в сеть. Вы увидите, как счетчик "sent" быстро увеличивается.Read 250 packets (got 1 ARP request), sent 86 packets...(102 pps)Генерация: AP получает эти повторно воспроизведенные ARP-пакеты. Для каждого полученного пакета он транслирует ответ. Каждый ответ шифруется с помощью WEP и содержит новый, уникальный IV.
Мониторинг: Ваш процесс
airodump-ng(в третьем терминале) захватывает все эти ответы от AP. Вы увидите, как столбец#Dataдля вашей целевой сети начнет стремительно расти, часто увеличиваясь на сотни в секунду.
Этот цикл обратной связи является ядром атаки. Мы используем один захваченный ARP-пакет, чтобы заставить AP генерировать для нас тысячи новых пакетов, значительно ускоряя процесс сбора IV.
Остановка атаки после сбора более 20000 IV
На этом заключительном этапе вы остановите атаку, как только соберете достаточное количество IV. Для взлома WEP-ключа обычная цель составляет от 20 000 до 40 000 IV, хотя может потребоваться и больше, в зависимости от сложности ключа.
Для этой лабораторной работы мы остановимся, как только счетчик превысит 20 000.
Следите за столбцом #Data в вашем терминале airodump-ng (третий терминал, который вы открыли). Как только значение превысит 20 000, вы можете остановить захват и атаку.
Чтобы остановить процессы, перейдите к каждому из двух запущенных терминалов (airodump-ng и aireplay-ng) и нажмите Ctrl+C. Лучше сначала остановить airodump-ng, чтобы убедиться, что все пакеты записаны в файл.
После остановки процессов команда airodump-ng создаст несколько файлов в вашем каталоге ~/project. Наиболее важным является файл захвата, который заканчивается на .cap. Давайте перечислим файлы, чтобы подтвердить его создание.
ls -l
Вы должны увидеть вывод, похожий на этот, подтверждающий наличие wep_capture-01.cap.
-rw-r--r-- 1 root root 2450000 Oct 27 10:15 wep_capture-01.cap
-rw-r--r-- 1 root root 78123 Oct 27 10:15 wep_capture-01.csv
...
Этот файл .cap содержит все собранные вами IV и теперь готов к использованию с aircrack-ng для взлома WEP-ключа.
Резюме
В этой лабораторной работе вы успешно научились выполнять одну из наиболее эффективных атак на сети, защищенные WEP.
Вы начали с выполнения поддельной аутентификации с помощью aireplay-ng -1 для ассоциации вашего устройства с целевой точкой доступа. Затем вы запустили основную часть лабораторной работы — атаку ARP replay с использованием aireplay-ng -3, которая прослушивает и воспроизводит ARP-пакеты. Вы также настроили airodump-ng для мониторинга сети и захвата результирующего трафика.
Вы узнали, как эта атака создает цикл обратной связи, заставляя точку доступа генерировать тысячи новых пакетов данных (IV) в минуту. Наконец, вы остановили атаку после сбора достаточного количества IV, в результате чего был создан файл .cap, готовый для взлома. Этот активный метод значительно эффективнее пассивного ожидания сетевого трафика. Следующим логическим шагом, выходящим за рамки этой лабораторной работы, будет использование aircrack-ng на файле wep_capture-01.cap для восстановления WEP-ключа.


