手把手教你破解128位WEP

其他题目：《 WEP破解从入门到精通》、《WEP破解傻瓜书》、《跟我从头学WEP破解》、《看图学WEP破解》、《一小时学会WEP破解》、《WEP破解宝典》、《WEP破解技术参考大全》……欢迎继续补充。 申请加分、加精、顶置、记一等功……

为避免本文成为百科全书，一些常用的术语不再解释，如 AP、WEP、ARP等。实在不明白，可 GOOGLE 或向网友请教。

所需硬件：带无线网卡电脑一台
所需软件：Auditor CD、aircrack 2.2

注意事项：

无线网卡
由于各种网卡采用的芯片不同，可能某些功能未能实现。推荐 Prism 2 或 Atheros 芯片。小黑内置的无线网卡通常有两种：Intel 或 IBM。IBM 用的就是 Atheros 芯片。不建议使用 Intel 芯片，因为其设计上的原因，抓包有问题，而且不能顺利发攻击包。如果买 PCMCIA 网卡，推荐 Netgear WAG511。

以下是常见芯片对 aircrack 的支持情况：
芯片 抓包 发攻击包
HermesI 支持 不支持
Prism2/3 支持 支持
PrismGT 支持 支持
Atheros 支持 支持
RTL8180 支持 支持
Aironet 支持 不支持
Ralink 支持 支持
Centrino b 部分支持 不支持
Centrino b/g 支持 不支持
TI (ACX100 / ACX111) 未知 不支持
Broadcom 不支持 不支持

操作平台
原则上可采用所有Linux平台。如果有朋友对Linux系统不熟悉，又不想费时间安装的话，可下载Auditor CD。

Auditor CD是一套网络安全工具，本身带有 Linux 系统，无需安装，直接从CD启动即可。CD上有不少网络安全工具，无线网只是其中之一。本文会以 Auditor CD为例，说明操作步骤，但其他Linux也适用。

下载地址 ... 0605-02-ipw2100.iso
如果你的芯片是 Intel B/G (IPW2200)，请下载 ... 5-02-no-ipw2100.iso

Aircrack目前版本是2.2。下载地址

设置 BIOS 从光驱启动。Auditor CD无需硬盘安装，可直接在内存运行。启动后，在屏幕左下角有一排图标，类似Windows的快速启动图标。其中Programs类似启动菜单，Command Line就是命令行了。咱们的操作都在命令行完成。

.

首先是收集情报

就是侦听附近有什么 AP，每个 AP 的信道是什么，MAC 地址是什么，是否 WEP 加密，有什么客户端连接到 AP 上。

侦听的工具有许多。如 Windows 下的 Stumbler，Linux 下的 Kismet 等等。用 GOOGLE 找一下就可以了。

由于 Auditor CD 上已经包含 Kismet，咱就直接用它了。

点击 Programs -> Auditor -> Wireless -> Scanner/Analyzer -> Kismet。

初次运行会让你选一个工作目录。咱就选 /var/tmp （临时目录，相当于 Windows 下的 C:\Temp）。

运行起来后，会自动搜索附近的无线信号。按 h 键看帮助菜单。

按 s 键可以把 AP 按一定条件排序。下图见到的就是按 s 键后的画面。如果想按信道排序就按 c。

.

只有在排序后，才可以用上下箭头来选择 AP。

选好后，按回车键看详细内容，按翻页键上下翻页。记录如下资料：

1. SSID名称。（隐藏SSID的AP，过一段时间就会被 kismet 发现。所以隐藏 SSID 是没用的）
2. AP的MAC地址。即是画面所见的BSSID。
3. 信道。（Channel）

记录完毕后，按 q 退出。

.

在 AP 列表状态，选择好 AP 后，按 c 键看有没有连接的客户端。（如果没有客户端，破解方法将会不同，下回分解）。假设有客户端，会见到如下画面。

记录好客户端的 MAC 地址。如果有多个客户端，把所有的 MAC 地址都记录下来。

记录后，同相按 q 退出。如果要退出 kismet，在 AP 列表窗口中按大写 Q。

.

做好情报收集后，就可以开始了。

点击命令行图标后，会打开一个终端窗口（相当于DOS窗口）。用 iwconfig 命令可检查网卡是否被系统识别。注意不同的芯片的网卡会有不同的名字。如Prism芯片的网卡叫 wlan、Atheros芯片的网卡叫 ath、Intel芯片的网卡叫 eth等。记下你无线网卡的名字，下面会用到。

如图所见，芯片名称是 ath0，Atheros芯片。

.

Auditor CD 200605版本包含 aircrack 2.1版。推荐从网上下载新的aircrack 2.2版。因为2.2版的功能有相当大的改进。

从下载aircrack 2.2后，拷贝到/var/tmp目录中。然后解压、编译。

对Linux不熟悉的朋友，以下是命令解释。这里是以优盘为例。如果你是直接下载到系统中，那就不用映射优盘了。

cd /var/tmp
转移当前目录到 /var/tmp
mount /dev/uba1 /mnt/uba1
把优盘映射到 /dev/uba1 目录
cp /mnt/uba1/aircrack-2.2.tgz .
把 /dev/uba1 （即优盘）中的aircrack-2.2.tgz到当前目录
tar -zxvf aircrack-2.2.tgz
解压aircrack-2.2.tgz （类似于zip、rar解压）

.

编译 aircrack
由于 aircrack-2.2.tgz中的是源代码，需要编译后方可执行。

转移到 aircrack 目录：cd aircrack-2.2
编译：make

完成编译后，目录中会增加几个可执行文件：airodump, aireplay 等等。

如果是安装在硬盘中的 Linux 可用 make && make install 命令。编译后会把可执行文件拷贝到 bin 目录中。这样在执行时可省却目录名。

.

破解原理

破解的原理是：用airodump程序，在短时间内收集足够多的数据。然后用aircrack程序去分收集到的数据，从而找出WEP密钥。

为了能在短时间内收集足够多的数据，可用aireplay程序向AP发出请求，产生数据包。

用通俗的话来说，就是 aireplay不断挑逗AP，让 AP 不停说话。airodump就默默地侦听，收集数据。当收集到足够数据后，运行aircrack，分析收集到的数据，找出WEP KEY。


以下以 Athero 芯片为例。

命令说明：
iwpriv ath0 mode 2
把a/b/g网卡设置在b模式。0:自动，1:a，2:b，3:g。三频网卡通常要固定在某一模式。
iwconfig ath0 mode monitor channel 6
把网卡设置成侦听模式，侦听信道6（把这个数字改成你所要破解的AP的信道）
ifconfig ath0 up
启动网卡
./airmon.sh
执行当前目录中的airmon.sh脚本。该脚本显示网卡状态、驱动程序、当前模式等。

.

开始侦听

在aircrack-2.2目录下运行 ./airodump ath0 file 6 1

其中 ath0 是网卡名。file是文件名（可以是任何名字）。6是指信道6（可忽略）。1是让程序只收集与破解有关的数据。

如果最后一个参数忽略，则程序会收集所有数据，文件尺寸会较大，文件扩展名为.cap。适合于做协议分析等工作。如果最后一个参数是1，则只收集与破解有关的数据，尺寸会较小，文件扩展名为.ivs，只适用于破解。

程序运行后的画面如下图。其中BSSID是AP的MAC地址。STATION是客户端的MAC地址。PWR是信号强度。MB是速率。CH是信道。检查这些数据是否符合之前所记录的资料。

DATA是我们需要截取的数据。这个数字越大，破解越容易成功。aircrack说破解128位WEP大概需要一百万个DATA。但运气好的话，通常10到20万个就足够了。

如果看不到客户端，那表示AP还没有电脑和它连接。这就需要另一种破解方法（下回分解）。

.

如果DATA不增长，或增长得很慢。那就需要很长时间才收集到足够多的数据。

这就需要aireplay的帮助，“挑逗”AP产生数据。

以下画面是两个终端窗口。先运行上面一个，再运行下面一个。

./aireplay -3 -b 00:11:50:19:63:33 -h 00:04:23:71:42:ba ath0
表示采用攻击模式3（ARP攻击）。倾听由 -b 指定的 AP 发给 -h 指定的客户端的ARP包。如果截获，就重播这个包。图中看到已经侦听了305个包，但没有一个是符合条件的ARP包。因此所发送的“重播”包也是0。

ARP包通常只会在客户端刚刚连接到AP的时候产生。因此我们要设法让客户端“掉线”，然后重新连接。第二个终端窗口就是做这个事。

./aireplay -0 5 -a 00:11:50:19:61:33
采用攻击模式0（de-auth）。向 -a 指定的AP发5个de-auth包，让客户端掉线。如果正常的话，你会在airodump窗口看到STATION消失，过一会儿又再出现。表示客户端掉线，又再重新连接。

这时候，第一个窗口应该会截取到ARP包，然后开始“重播”（sent后面的数字不断上升）。

再回到airodump窗口，会看到data数目不断上升。当收集到20万个的时候，可尝试破解。如果不成功，再继续收集。如果执行airodump的时候，指定的文件名已经存在，则新收集的数据会追加在原数据后面。

.

另开一个终端窗口，用列目录命令查看aircrack-2.2目录。你会看到file.ivs文件尺寸不断增大。

.

当收集到足够数据后，就可以另开一个窗口，运行aircrack。运行aircrack的时候，不需要停止airodump。aircrack会自动检查数据的更新。

./aircrack file.ivs

file.ivs就是收集到的数据文件。

注意，由于WEP有64位与128位之分。而aircrack是无法从数据中区分这个信息的。因此，可先让aircrack进行64位破解，然后再进行128位破解。

./aircrack -n 64 file.ivs

指示aircrack 进行64位破解。如果省略 -n 参数，则是128位破解。

.