Введение
В области безопасности беспроводных сетей захват 4-стороннего рукопожатия WPA/WPA2 является ключевым этапом для взлома пароля сети. Однако, прежде чем выделять значительные вычислительные ресурсы на попытку взлома, крайне важно сначала убедиться, что ваш файл захвата действительно содержит полное и действительное рукопожатие. Неполное или отсутствующее рукопожатие сделает любую попытку взлома бесполезной.
Данная лабораторная работа проведет вас через процесс использования aircrack-ng, мощного инструмента из набора Aircrack-ng, для проверки файла захвата (.cap) и подтверждения наличия действительного рукопожатия.
Найдите захваченный файл .cap в директории Fluxion
На этом шаге вы перейдете в директорию, где обычно хранятся файлы захваченных рукопожатий, и просмотрите ее содержимое. Для этой лабораторной работы мы подготовили структуру каталогов, имитирующую вывод инструмента fluxion.
Сначала смените текущий каталог на папку handshakes, расположенную по адресу ~/project/fluxion/attacks/handshakes. Используйте команду cd (change directory):
cd ~/project/fluxion/attacks/handshakes
Теперь, когда вы находитесь в правильной директории, используйте команду ls -l для вывода списка файлов и их деталей. Это поможет вам подтвердить наличие файлов захвата, с которыми мы будем работать.
ls -l
Вы должны увидеть следующий вывод, который включает wpa.cap (наш файл с действительным рукопожатием) и invalid_handshake.cap (наш пустой файл для сравнения).
total 4
-rw-r--r-- 1 labex labex 0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap
Откройте новое окно терминала
В реальных условиях у вас может быть одно окно терминала, запускающее airodump-ng для захвата трафика, и другое для выполнения других задач. Для этой лабораторной работы мы продолжим использовать тот же терминал, чтобы упростить процесс. Цель этого шага — убедиться, что вы готовы и сосредоточены на следующей команде проверки.
Для этого шага команды не требуются. Просто убедитесь, что ваш терминал готов к работе в директории ~/project/fluxion/attacks/handshakes. Теперь мы готовы использовать aircrack-ng.
Запустите команду 'aircrack-ng' для файла .cap
На этом шаге вы запустите команду aircrack-ng для файла wpa.cap. Эта команда проанализирует файл и сообщит о его содержимом, включая наличие действительного рукопожатия.
Выполните следующую команду в вашем терминале. Это указывает aircrack-ng обработать файл wpa.cap.
aircrack-ng wpa.cap
После выполнения команды aircrack-ng отобразит информацию о файле захвата. Вывод будет выглядеть примерно так:
Opening wpa.cap
Read 43 packets.
## BSSID ESSID Encryption
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
Choosing first network as target.
Opening wpa.cap
Reading packets, please wait...
Ключевой информацией здесь является WPA (1 handshake). Мы проанализируем это на следующем шаге. Команда, похоже, зависнет после "Reading packets", что является нормальным поведением, поскольку она ожидает, что вы предоставите список слов для взлома. Вы можете безопасно нажать Ctrl+C, чтобы выйти из команды и вернуться к приглашению терминала.
Анализ вывода для подтверждения '1 handshake'
На этом шаге мы сосредоточимся на интерпретации вывода предыдущей команды. Как вы видели, aircrack-ng предоставил сводку точек доступа, найденных в файле захвата.
Давайте еще раз посмотрим на ключевую строку:
1 00:14:6C:7E:40:80 teddy WPA (1 handshake)
Текст (1 handshake) является подтверждением, которое вы ищете. Он явно сообщает вам, что aircrack-ng успешно идентифицировал одно полное 4-стороннее рукопожатие WPA, связанное с BSSID 00:14:6C:7E:40:80 и ESSID teddy.
Это подтверждение означает, что файл wpa.cap действителен и может быть использован для попытки взлома пароля. Если бы это сообщение отсутствовало, или если бы там было написано (0 handshake), любая попытка взлома потерпела бы неудачу.
Понимание разницы между действительным и недействительным рукопожатием
Чтобы полностью понять важность проверки, давайте посмотрим, что происходит, когда вы запускаете aircrack-ng на файле, который не содержит рукопожатия. Для этой цели у нас есть пустой файл с именем invalid_handshake.cap.
Запустите aircrack-ng на этом файле:
aircrack-ng invalid_handshake.cap
Вывод будет сильно отличаться. Поскольку файл пуст и не содержит сетевого трафика, aircrack-ng сообщит, что данных не найдено.
Opening invalid_handshake.cap
Read 0 packets.
No networks found, exiting.
Если бы файл содержал пакеты, но ни одного полного рукопожатия для конкретной сети, вывод перечислил бы сеть с пометкой (0 handshake). Главное, что без подтверждения (1 handshake) захват не пригоден для взлома. Эта простая проверка избавляет вас от траты времени и ресурсов на непригодный файл.
Резюме
В этой лабораторной работе вы изучили критически важный процесс проверки рукопожатия WPA/WPA2 в файле захвата. Вы успешно использовали команду aircrack-ng для проверки файла .cap, идентифицировали сообщение (1 handshake), подтверждающее действительный захват, и наблюдали разницу в выводе при анализе недействительного файла. Этот фундаментальный навык необходим для любой работы в области безопасности беспроводных сетей, гарантируя, что ваши усилия по взлому основаны на жизнеспособных данных.