Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2880569
  • 博文数量: 471
  • 博客积分: 10012
  • 博客等级: 上将
  • 技术积分: 5255
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-10 23:58
文章分类

全部博文(471)

文章存档

2011年(3)

2010年(61)

2009年(52)

2008年(212)

2007年(69)

2006年(74)

我的朋友

分类: LINUX

2007-10-11 12:40:01

手把手教你破解128位WEP

其他题目:《 WEP破解从入门到精通》、《WEP破解傻瓜书》、《跟我从头学WEP破解》、《看图学WEP破解》、《一小时学会WEP破解》、《WEP破解宝典》、《WEP破解技术参考大全》……欢迎继续补充。 申请加分、加精、顶置、记一等功……

为避免本文成为百科全书,一些常用的术语不再解释,如 AP、WEP、ARP等。实在不明白,可 GOOGLE 或向网友请教。

所需硬件:带无线网卡电脑一台
所需软件:Auditor CD、aircrack 2.2

注意事项:

无线网卡
由于各种网卡采用的芯片不同,可能某些功能未能实现。推荐 Prism 2 或 Atheros 芯片。小黑内置的无线网卡通常有两种:Intel 或 IBM。IBM 用的就是 Atheros 芯片。不建议使用 Intel 芯片,因为其设计上的原因,抓包有问题,而且不能顺利发攻击包。如果买 PCMCIA 网卡,推荐 Netgear WAG511。

以下是常见芯片对 aircrack 的支持情况:
芯片 抓包 发攻击包
HermesI 支持 不支持
Prism2/3 支持 支持
PrismGT 支持 支持
Atheros 支持 支持
RTL8180 支持 支持
Aironet 支持 不支持
Ralink 支持 支持
Centrino b 部分支持 不支持
Centrino b/g 支持 不支持
TI (ACX100 / ACX111) 未知 不支持
Broadcom 不支持 不支持

操作平台
原则上可采用所有Linux平台。如果有朋友对Linux系统不熟悉,又不想费时间安装的话,可下载Auditor CD。

Auditor CD是一套网络安全工具,本身带有 Linux 系统,无需安装,直接从CD启动即可。CD上有不少网络安全工具,无线网只是其中之一。本文会以 Auditor CD为例,说明操作步骤,但其他Linux也适用。

下载地址 ... 0605-02-ipw2100.iso
如果你的芯片是 Intel B/G (IPW2200),请下载 ... 5-02-no-ipw2100.iso

Aircrack目前版本是2.2。下载地址

设置 BIOS 从光驱启动。Auditor CD无需硬盘安装,可直接在内存运行。启动后,在屏幕左下角有一排图标,类似Windows的快速启动图标。其中Programs类似启动菜单,Command Line就是命令行了。咱们的操作都在命令行完成。

.

首先是收集情报

就是侦听附近有什么 AP,每个 AP 的信道是什么,MAC 地址是什么,是否 WEP 加密,有什么客户端连接到 AP 上。

侦听的工具有许多。如 Windows 下的 Stumbler,Linux 下的 Kismet 等等。用 GOOGLE 找一下就可以了。

由于 Auditor CD 上已经包含 Kismet,咱就直接用它了。

点击 Programs -> Auditor -> Wireless -> Scanner/Analyzer -> Kismet。

初次运行会让你选一个工作目录。咱就选 /var/tmp (临时目录,相当于 Windows 下的 C:\Temp)。

运行起来后,会自动搜索附近的无线信号。按 h 键看帮助菜单。

按 s 键可以把 AP 按一定条件排序。下图见到的就是按 s 键后的画面。如果想按信道排序就按 c。

.

只有在排序后,才可以用上下箭头来选择 AP。

选好后,按回车键看详细内容,按翻页键上下翻页。记录如下资料:

1. SSID名称。(隐藏SSID的AP,过一段时间就会被 kismet 发现。所以隐藏 SSID 是没用的)
2. AP的MAC地址。即是画面所见的BSSID。
3. 信道。(Channel)

记录完毕后,按 q 退出。

.

在 AP 列表状态,选择好 AP 后,按 c 键看有没有连接的客户端。(如果没有客户端,破解方法将会不同,下回分解)。假设有客户端,会见到如下画面。

记录好客户端的 MAC 地址。如果有多个客户端,把所有的 MAC 地址都记录下来。

记录后,同相按 q 退出。如果要退出 kismet,在 AP 列表窗口中按大写 Q。

.

做好情报收集后,就可以开始了。

点击命令行图标后,会打开一个终端窗口(相当于DOS窗口)。用 iwconfig 命令可检查网卡是否被系统识别。注意不同的芯片的网卡会有不同的名字。如Prism芯片的网卡叫 wlan、Atheros芯片的网卡叫 ath、Intel芯片的网卡叫 eth等。记下你无线网卡的名字,下面会用到。

如图所见,芯片名称是 ath0,Atheros芯片。

.

Auditor CD 200605版本包含 aircrack 2.1版。推荐从网上下载新的aircrack 2.2版。因为2.2版的功能有相当大的改进。

从下载aircrack 2.2后,拷贝到/var/tmp目录中。然后解压、编译。

对Linux不熟悉的朋友,以下是命令解释。这里是以优盘为例。如果你是直接下载到系统中,那就不用映射优盘了。

cd /var/tmp
转移当前目录到 /var/tmp
mount /dev/uba1 /mnt/uba1
把优盘映射到 /dev/uba1 目录
cp /mnt/uba1/aircrack-2.2.tgz .
把 /dev/uba1 (即优盘)中的aircrack-2.2.tgz到当前目录
tar -zxvf aircrack-2.2.tgz
解压aircrack-2.2.tgz (类似于zip、rar解压)

.

编译 aircrack
由于 aircrack-2.2.tgz中的是源代码,需要编译后方可执行。

转移到 aircrack 目录:cd aircrack-2.2
编译:make

完成编译后,目录中会增加几个可执行文件:airodump, aireplay 等等。

如果是安装在硬盘中的 Linux 可用 make && make install 命令。编译后会把可执行文件拷贝到 bin 目录中。这样在执行时可省却目录名。

.

破解原理

破解的原理是:用airodump程序,在短时间内收集足够多的数据。然后用aircrack程序去分收集到的数据,从而找出WEP密钥。

为了能在短时间内收集足够多的数据,可用aireplay程序向AP发出请求,产生数据包。

用通俗的话来说,就是 aireplay不断挑逗AP,让 AP 不停说话。airodump就默默地侦听,收集数据。当收集到足够数据后,运行aircrack,分析收集到的数据,找出WEP KEY。


以下以 Athero 芯片为例。

命令说明:
iwpriv ath0 mode 2
把a/b/g网卡设置在b模式。0:自动,1:a,2:b,3:g。三频网卡通常要固定在某一模式。
iwconfig ath0 mode monitor channel 6
把网卡设置成侦听模式,侦听信道6(把这个数字改成你所要破解的AP的信道)
ifconfig ath0 up
启动网卡
./airmon.sh
执行当前目录中的airmon.sh脚本。该脚本显示网卡状态、驱动程序、当前模式等。

.

开始侦听

在aircrack-2.2目录下运行 ./airodump ath0 file 6 1

其中 ath0 是网卡名。file是文件名(可以是任何名字)。6是指信道6(可忽略)。1是让程序只收集与破解有关的数据。

如果最后一个参数忽略,则程序会收集所有数据,文件尺寸会较大,文件扩展名为.cap。适合于做协议分析等工作。如果最后一个参数是1,则只收集与破解有关的数据,尺寸会较小,文件扩展名为.ivs,只适用于破解。

程序运行后的画面如下图。其中BSSID是AP的MAC地址。STATION是客户端的MAC地址。PWR是信号强度。MB是速率。CH是信道。检查这些数据是否符合之前所记录的资料。

DATA是我们需要截取的数据。这个数字越大,破解越容易成功。aircrack说破解128位WEP大概需要一百万个DATA。但运气好的话,通常10到20万个就足够了。

如果看不到客户端,那表示AP还没有电脑和它连接。这就需要另一种破解方法(下回分解)。

.

如果DATA不增长,或增长得很慢。那就需要很长时间才收集到足够多的数据。

这就需要aireplay的帮助,“挑逗”AP产生数据。

以下画面是两个终端窗口。先运行上面一个,再运行下面一个。

./aireplay -3 -b 00:11:50:19:63:33 -h 00:04:23:71:42:ba ath0
表示采用攻击模式3(ARP攻击)。倾听由 -b 指定的 AP 发给 -h 指定的客户端的ARP包。如果截获,就重播这个包。图中看到已经侦听了305个包,但没有一个是符合条件的ARP包。因此所发送的“重播”包也是0。

ARP包通常只会在客户端刚刚连接到AP的时候产生。因此我们要设法让客户端“掉线”,然后重新连接。第二个终端窗口就是做这个事。

./aireplay -0 5 -a 00:11:50:19:61:33
采用攻击模式0(de-auth)。向 -a 指定的AP发5个de-auth包,让客户端掉线。如果正常的话,你会在airodump窗口看到STATION消失,过一会儿又再出现。表示客户端掉线,又再重新连接。

这时候,第一个窗口应该会截取到ARP包,然后开始“重播”(sent后面的数字不断上升)。

再回到airodump窗口,会看到data数目不断上升。当收集到20万个的时候,可尝试破解。如果不成功,再继续收集。如果执行airodump的时候,指定的文件名已经存在,则新收集的数据会追加在原数据后面。

.

另开一个终端窗口,用列目录命令查看aircrack-2.2目录。你会看到file.ivs文件尺寸不断增大。

.

当收集到足够数据后,就可以另开一个窗口,运行aircrack。运行aircrack的时候,不需要停止airodump。aircrack会自动检查数据的更新。

./aircrack file.ivs

file.ivs就是收集到的数据文件。

注意,由于WEP有64位与128位之分。而aircrack是无法从数据中区分这个信息的。因此,可先让aircrack进行64位破解,然后再进行128位破解。

./aircrack -n 64 file.ivs

指示aircrack 进行64位破解。如果省略 -n 参数,则是128位破解。

.














阅读(5376) | 评论(1) | 转发(0) |
0

上一篇:kismet source set

下一篇:DD-WRT--教程

给主人留下些什么吧!~~