使用 aircrack-ng 验证捕获的 Handshake 文件

引言

在无线网络安全领域，捕获 WPA/WPA2 的 4-way handshake 是破解网络密码的关键。然而，在投入大量计算资源进行破解尝试之前，首先验证你的捕获文件是否包含完整且有效的 handshake 至关重要。不完整或缺失的 handshake 会使任何破解尝试徒劳无功。

本实验将指导你使用 aircrack-ng（Aircrack-ng 套件中的强大工具）来检查捕获文件（.cap），并确认是否存在有效的 handshake。

在 Fluxion 目录中定位捕获的 .cap 文件

在此步骤中，你将导航到通常存储捕获 handshake 文件的目录并列出其内容。在本实验中，我们准备了一个模拟 fluxion 工具输出的示例目录结构。

首先，使用 cd (change directory) 命令将当前目录更改为位于 ~/project/fluxion/attacks/handshakes 的 handshakes 文件夹：

cd ~/project/fluxion/attacks/handshakes

现在你已进入正确的目录，使用 ls -l 命令列出文件及其详细信息。这将帮助你确认我们将要使用的捕获文件的存在。

ls -l

你应该会看到以下输出，其中包含 wpa.cap（我们的有效 handshake 文件）和 invalid_handshake.cap（我们用于比较的空文件）。

total 4
-rw-r--r-- 1 labex labex    0 Jan 01 12:00 invalid_handshake.cap
-rw-r--r-- 1 labex labex 3385 Jan 01 12:00 wpa.cap

打开一个新的终端窗口

在实际场景中，你可能会有一个终端窗口运行 airodump-ng 来捕获流量，而另一个终端用于执行其他任务。在本实验中，为了保持简单，我们将继续使用同一个终端。此步骤的目的是确保你已准备就绪并专注于接下来的验证命令。

此步骤不需要任何命令。只需确保你的终端提示符位于 ~/project/fluxion/attacks/handshakes 目录中即可。我们现在已准备好使用 aircrack-ng。

在 .cap 文件上运行 'aircrack-ng' 命令

在此步骤中，你将对 wpa.cap 文件运行 aircrack-ng 命令。此命令将分析文件并报告其内容，包括是否存在有效的 handshake。

在你的终端中执行以下命令。这会告诉 aircrack-ng 处理 wpa.cap 文件。

aircrack-ng wpa.cap

运行命令后，aircrack-ng 将显示有关捕获文件的信息。输出将类似于：

Opening wpa.cap
Read 43 packets.

   ##  BSSID              ESSID                     Encryption

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

Choosing first network as target.

Opening wpa.cap
Reading packets, please wait...

这里的关键信息是 WPA (1 handshake)。我们将在下一步中分析它。命令在“Reading packets,”之后会看似卡住，这是正常行为，因为它正在等待你提供一个 wordlist 进行破解。你可以安全地按下 Ctrl+C 来退出命令并返回到终端提示符。

分析输出以确认“1 handshake”

在此步骤中，我们将重点解读上一个命令的输出。正如你所见，aircrack-ng 提供了捕获文件中找到的接入点（access points）的摘要。

让我们再次关注关键的一行：

   1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)

文本 (1 handshake) 就是你正在寻找的确认信息。它明确告诉你，aircrack-ng 已成功识别出与 BSSID 00:14:6C:7E:40:80 和 ESSID teddy 相关联的一个完整的 WPA 4-way handshake。

此确认意味着 wpa.cap 文件是有效的，可以用于密码破解尝试。如果此消息不存在，或者显示为 (0 handshake)，则任何破解尝试都会失败。

理解有效和无效 Handshake 之间的区别

为了充分理解验证的重要性，让我们看看当你对不包含 handshake 的文件运行 aircrack-ng 时会发生什么。为此，我们有一个名为 invalid_handshake.cap 的空文件。

在此文件上运行 aircrack-ng：

aircrack-ng invalid_handshake.cap

输出将大不相同。由于文件为空且不包含任何网络流量，aircrack-ng 将报告未找到任何数据。

Opening invalid_handshake.cap
Read 0 packets.

No networks found, exiting.

如果文件包含数据包但未包含特定网络的完整 handshake，输出将列出该网络并显示 (0 handshake)。关键要点是，没有 (1 handshake) 的确认，捕获文件就无法用于破解。这个简单的检查可以避免你将时间和资源浪费在无法使用的文件上。

总结

在本实验中，你学习了在捕获文件中验证 WPA/WPA2 handshake 的关键过程。你成功使用了 aircrack-ng 命令来检查 .cap 文件，识别了确认有效捕获的 (1 handshake) 消息，并观察了分析无效文件时输出的差异。这项基本技能对于任何无线网络安全工作都至关重要，它能确保你的破解工作是基于可行的数据进行的。