Hacker
Professional
- Messages
- 1,044
- Reaction score
- 804
- Points
- 113
Предисловие
Мне всегда нравилась беспроводная связь. Сначала это было аналоговое голосовое радио, потом я заинтересовался цифровым радио задолго до того, как был разработан 802.11. В настоящее время оборудование для беспроводной связи 802.11 (Wi-Fi) стало очень дешевым, а зоны покрытия можно найти повсюду, поэтому я неизбежно влюбился в него. Поскольку я очень интересуюсь безопасностью и криптографией, мое внимание было привлечено, когда я впервые услышал о слабости WEP.
Слабость WEP была вызвана неправильным использованием алгоритма потокового шифрования RC4 в стандарте 802.11, и вскоре появились инструменты, которые продемонстрировали эту слабость на практике. Я знаю следующие инструменты:
Эти инструменты основаны на перехвате обычного трафика беспроводной сети WEP для сбора достаточного количества пакетов WEP, чтобы они могли воспользоваться слабостью WEP для восстановления ключа WEP. Преимущество этого подхода в том, что он пассивен и поэтому не поддается обнаружению. Недостатком является то, что для сбора достаточного количества пакетов может потребоваться много времени (недели, месяцы, ...), особенно в случае низкого трафика или плохого качества сигнала.
Я впервые прочитал в документации Aircrack о возможности ускорения процесса повторной отправкой в воздух специальных пакетов, в них даже был включен инструмент и инструкции, как это сделать. Я решил подробнее изучить эту интересную возможность. Первая проблема, с которой я столкнулся, заключалась в том, что для этого метода требовались две беспроводные карты без USB с набором микросхем Prism2. Ад! У меня даже одного не было! Позже метод был усовершенствован, теперь вы можете использовать только одну карту, но у меня ее еще не было. Кроме того, метод был довольно сложным, вам нужно использовать программное обеспечение HostAP, чтобы превратить ваш компьютер в точку доступа, а затем использовать инструменты отправки и захвата. В последнее время процесс, похоже, упростился, и была добавлена поддержка большего количества чипсетов.
Поскольку у меня разные беспроводные карты, я попытался воспроизвести этот метод (как можно проще) с ними, прежде чем подумать о покупке карты Prism2 (или двух). Я добился успеха, и здесь я описываю технику и необходимые шаги, а также предоставляю необходимое программное обеспечение. С помощью этого вида атаки вы можете получить ключ WEP за время, которое варьируется от минут до часов в зависимости от самого ключа, длины ключа и использования или фильтрации слабых IV точкой доступа.
Требования
Прежде всего вам понадобится беспроводная карта с тем же чипсетом, что и у шахты. Я сожалею об этом, но у меня нет доступа ко всем типам оборудования для его тестирования. К сожалению, беспроводное оборудование и драйверы еще недостаточно развиты, чтобы любое программное обеспечение могло работать с любой картой, особенно если вас интересуют функции низкого уровня. Тем не менее, я могу добавить поддержку нового оборудования в зависимости от его (и моей) доступности. Если вы осмелитесь, вы можете попробовать повторить те же шаги с другим набором микросхем, чтобы проверить, работает ли он, но, конечно, вам придется, по крайней мере, изменить драйвер в лучшем случае.
Моим первым беспроводным адаптером была карта D-Link DWL-G650 + CardBus, так что теперь вы можете использовать карту с чипсетом ACX111 от Texas Instruments (TI). Я не тестировал набор микросхем ACX100 или USB-устройства, но они тоже могут работать. См. Следующие ссылки, чтобы проверить, имеет ли ваша карта набор микросхем TI ACX111:
Мой второй беспроводной адаптер - это PCI-карта Cnet CWP-854, поэтому теперь вы также можете использовать карту с набором микросхем Ralink RT2560. Позже я использовал другие адаптеры с чипсетами RT2570 и RT73 (оба USB), так что вы также можете использовать их оба. Я не тестировал чипсет RT2400, но он тоже может работать. Перейдите по следующим ссылкам, чтобы проверить, имеет ли ваша карта набор микросхем RT2560, RT2570 или RT73:
Наконец, вам понадобится покрытие беспроводной сети с поддержкой WEP. Имейте в виду, что по умолчанию атака очень агрессивна, она может привести к обрушению точки доступа, поэтому будьте очень осторожны при выборе сети для тестирования.
Первые шаги
Если вы хотите выполнить пассивный взлом WEP, ваша карта должна поддерживать режим монитора. В этом режиме захватываются все пакеты, проходящие по одному и тому же каналу, независимо от того, какому клиенту или точке доступа они принадлежат, являются ли они пакетами управления данными или 802.11. Кроме того, пакеты захватываются без изменений, с их заголовком 802.11 и т. д. Не все карты поддерживают режим монитора, в основном из-за ограничений драйвера. Наборы микросхем ACX111, RT2560, RT2570 и RT73 и их драйверы Linux с открытым исходным кодом поддерживают его, но на момент написания этого документа оба драйвера требуют исправления (см. Ниже). Если у вас другой набор микросхем, первым делом необходимо проверить режим монитора, обычно это задокументировано в драйвере. Если он не поддерживается, вам придется получить другую карту или подождать, пока драйвер поддерживает ее, или, если вы нетерпеливы и опытны,
Если вы хотите продолжить активный взлом WEP с помощью только одной беспроводной карты, вы должны одновременно отправлять и получать пакеты, находясь в режиме мониторинга. Кажется, не все карты на это способны. Я не знаю почему, потому что при нормальной работе карта делает это, вы постоянно отправляете и получаете пакеты при использовании сети. Не должно иметь значения, находитесь ли вы в режиме монитора, потому что, в принципе, единственное отличие от нормального режима состоит в том, что определенные пакеты, которые чипсет отбрасывает или оставляет себе, теперь передаются драйверу. Сначала я думал, что ни одна карта не имеет такой функции, но, к своему удивлению, я понял, что чипсет ACX111 способен на это, позже я проверил, что чипсеты RT2560, RT2570 и RT73 также имеют эту функцию. Поэтому, если у вас другой набор микросхем, вы должны узнать о статусе этого вопроса. Иногда это задокументировано в драйвере, если это не так, проведите простой эксперимент: подключитесь к сети (неважно, включен ли WEP или нет, или есть ли у вас ключ WEP), назначьте любой сетевой адрес для интерфейса, запустите пинг любого хоста, переключитесь в режим мониторинга, запустите инструмент сетевого анализа, такой как tcpdump (запустите «tcpdump -i wlan0 -nl» от имени пользователя root, помните имя интерфейса) и наблюдайте. Если tcpdump показывает, что после каждого прохождения эхо-запроса приходит пакет управления ACK 802.11, то вам повезло. Вы можете даже увидеть приходящие эхо-ответы, если ваша сеть настроена правильно, но не ожидайте, что команда ping покажет эхо-ответы, потому что драйвер Ethernet не может понимать пакеты с не удаленным заголовком 802.11. Существует несколько причин, по которым эксперимент может потерпеть неудачу, даже если карта способна отправлять пакеты в режиме мониторинга. Возможно, драйвер отключает передачу в этом режиме только из соображений безопасности, тогда вы можете увидеть только исходный код (или попросить разработчиков) проверить, так ли это, и если да, отключите это ограничение. Обратите внимание, что наблюдение за пакетами может быть затруднено в часто используемой сети, в этом случае может помочь фильтр пакетов tcpdump.
Если независимо от того, что вы делаете, вы по-прежнему не можете заставить свою карту испускать пакеты в режиме мониторинга, все еще может быть шанс выполнить активную атаку взлома WEP с использованием одной карты этого типа. Метод заключается в отправке пакетов в нормальном режиме, переключении в режим мониторинга и ожидании ответов, затем повторном переключении в нормальный режим для отправки большего количества пакетов и т. Д. Теоретически это всегда возможно, но нужно убедиться, что время переключения из нормального режима в режим монитора меньше, чем время, необходимое для того, чтобы ответ точки доступа (или другого клиента) дошел до вас, что обычно порядка нескольких миллисекунд. Для компьютерного устройства это долгий срок, поэтому в принципе эта система должна работать с любой картой. Это была моя первая идея для активной атаки, пока я не обнаружил отличную функцию ACX111 (а позже то же самое для RT2560, RT2570 и RT73). Для достижения оптимальной производительности метод следует отрегулировать. Это произойдет, когда карта будет отправлять пакеты до тех пор, пока не будет получен ответ на первый пакет, а затем в течение того же времени слушает, чтобы собрать все ответы. Таким образом, оптимальная производительность будет достигнута, когда карта тратит 50% времени на отправку пакетов, а остальные 50% на получение их ответов, и каждый интервал имеет продолжительность времени прохождения одного пакета, который нужно отправить и вернуть (в качестве ответа). Следовательно, этот метод никогда не даст КПД более 50% (на практике он всегда будет ниже, потому что вы должны учитывать время переключения между режимами работы), в то время как для ACX111, RT2560, RT2570 или RT73 (или другой чипсет с желаемой мощной функцией) вы получите 100%. Конечно, вы всегда можете использовать две или более карт, чтобы достичь 100% эффективности и даже превзойти ее.
Для активного взлома WEP также потребуется возможность отправлять необработанные пакеты в драйвере беспроводной сети. Насколько мне известно, этой функции нет ни в одном драйвере, так что вам наверняка придется ее пропатчить, как я сделал для ACX111 и для RT2560.
Теория
Основной принцип активной атаки состоит в отправке пакетов в сеть WEP для увеличения трафика и ускорения взлома ключа WEP. Проблема в том, что пакеты, не зашифрованные WEP с правильным ключом, игнорируются точкой доступа и клиентами. Чтобы решить эту проблему, можно воспользоваться одним из многочисленных недостатков WEP - воспроизведением пакетов. WEP не добавляет никаких меток времени, MAC (кода аутентификации сообщения) или чего-либо еще для распознавания повторно воспроизведенного пакета. Один и тот же пакет Ethernet всегда преобразуется в один и тот же пакет WEP (если используется тот же IV, но он не является частью данных Ethernet), поэтому вы можете ввести ранее увиденный пакет, и никто этого не заметит.
Если вы вводите случайно выбранный пакет среди захваченных летающих пакетов, вы обычно не получите никакого ответа от клиента. Это связано с тем, что протокол TCP или UDP (самый распространенный сетевой трафик) имеет защиту от повторяющихся (или несвоевременных) пакетов. Таким образом, хотя WEP и разрешает воспроизведение, TCP и UDP - нет. Однако, если вы воспроизведете широковещательный пакет, который, очевидно, не принадлежит ни одному сеансу TCP или UDP, вы получите ответы, если таковые имеются. Вы можете не получить ответа просто потому, что нет клиента, желающего это сделать, может даже случиться так, что исходный пакет также не получил ответа. Поэтому вы должны попытаться выбрать пакет, который получит хотя бы один ответ. Обычно на пакеты ARP отвечают, при условии, что хост, адрес Ethernet которого вы запрашиваете, все еще жив (шлюз точки доступа всегда жив). Проблема в том, как распознать ARP-пакеты. Существует несколько методов, один из которых основан на размере пакета, другой - это прослушивание самых первых широковещательных пакетов после того, как один хост присоединяется к сети, которые должны быть ARP. Вы можете просто захватить все широковещательные пакеты на время, затем воспроизвести их и посмотреть, какие из них получат ответы.
На самом деле все проще. Вам не нужен ответ от клиента. Когда вы отправляете пакет WEP, он сначала принимается точкой доступа, она расшифровывает его и, если он действителен (правильное шифрование), повторно шифрует его с помощью другого IV и повторно отправляет другим клиентам. В зависимости от адреса назначения точка доступа может не отправлять пакет по беспроводной сети, а вместо этого пересылать его по сетевому кабелю. Однако широковещательный пакет всегда будет отправлен в эфир. У широковещательных пакетов есть еще одно преимущество: они отправляются с низкой скоростью (обычно не более 11 Мбит / с), это увеличивает вероятность того, что точка доступа получит ваши пакеты, и что вы получите ее ответы. Конечно, вы будете отправлять и получать меньше пакетов в секунду, чем если бы вы использовали более высокую скорость передачи (например, 54 Мбит / с), но это того стоит,
Подводя итог, ваш лучший выбор - получить наименьший (чтобы меньше времени на его отправку и получение) широковещательный пакет, который получает наибольшее количество ответов (он получит как минимум ответ точки доступа, но если он получит один или несколько ответов клиента, он будет будет дополнительным преимуществом, количество пакетов будет умножено). На самом деле вам даже не нужно захватывать широковещательный пакет, потому что заголовок 802.11 можно подделать, поэтому любой пакет можно превратить в широковещательный пакет, но, конечно, этот пакет не получит ответа от клиента, однако вы получите доступ точка повторно отправить пакет. Подробнее о подделке пакетов позже.
Готовимся к атаке
Первое, что вам нужно для проведения атаки, - это иметь соответствующий Linux-драйвер для вашего беспроводного адаптера, готовый к работе. Обратите внимание, что может потребоваться модификация и перекомпиляция для добавления необходимой поддержки, если она не включена в стандартный драйвер. Так обстоит дело с наборами микросхем ACX111 и RT2560. Ниже приведены отдельные инструкции для каждого водителя.
Процедура драйвера ACX111
К тому времени, когда я начал этот проект, драйверу не хватало нескольких ключевых функций: поддержки WEP, сниффинга WEP и возможности отправлять необработанные пакеты. С помощью разработчиков драйверов с открытым исходным кодом мне удалось добавить необходимые функции. Вся работа была проделана с версией acx100-0.2.0pre8_plus_fixes_43, к которой вы должны применить мой патч ACX111 для необходимых функций.
Просто скачайте оба файла, перейдите в этот каталог и следуйте этим инструкциям:
Подсказка Linux> tar -xjf acx100-0.2.0pre8_plus_fixes_43.tar.bz2
Подсказка Linux> patch -p0 <wepacx111_and_others.patch
Подсказка Linux> cd acx100-0.2.0pre8_plus_fixes_43
Подсказка Linux> make config.mk
Посмотрите, есть ли какие-либо предупреждения о том, чего вам не хватает, если да, исправьте это, а затем:
Подсказка Linux> make
Процесс может закончиться ошибками на этапе компиляции USB-модуля, если это не так, игнорируйте ошибку, но убедитесь, что модуль PCI был создан как src / acx_pci.ko или src / acx_pci.o.
Если вы хотите установить этот драйвер в качестве драйвера ACX по умолчанию, тогда (как root):
Подсказка Linux> сделать установку
В случае ошибок компиляции в USB-модуле вам придется выполнить ручную установку, просто выполнив что-то вроде (как root):
cp SRC / acx_pci.ko / lib / modules / `uname -r` / kernel / drivers / net / wireless /
depmod -a
Вы можете предпочесть не устанавливать этот драйвер по умолчанию, потому что это не последняя версия. На самом деле необходимые функции могли быть уже реализованы в последней версии драйвера, но я не тестировал ее. Таким образом, вы можете попробовать загрузить последний дистрибутив, не патчить его, не компилировать и не устанавливать. Затем проверьте активную трещину WEP, как описано ниже, чтобы убедиться, что она работает. В противном случае загрузите версию, указанную выше, исправьте ее, скомпилируйте, но не устанавливайте. Вместо этого скопируйте модуль acx_pci.ko или acx_pci.o (в зависимости от версии ядра) из acx100-0.2.0pre8_plus_fixes_43 / src в рабочий каталог, где вы будете запускать инструменты, указанные ниже. Таким образом, при активном взломе WEP будет использоваться старый исправленный, но успешно протестированный драйвер, а при нормальной работе Linux будет использоваться новый установленный вами драйвер.
(Обновление: последний протестированный мной устаревший драйвер версии 20060521 для ACX111 действительно реализует все необходимые функции, но не работает при попытке изменить MAC-адрес адаптера. Это не строго необходимая функция, но иногда она удобна, поэтому здесь это патч, исправляющий проблему изменения MAC для этой версии.)
Процедура драйвера RT2500
К тому времени, когда я начал работать с этим набором микросхем, в драйвере отсутствовали некоторые необходимые функции: сниффинг всех пакетов в режиме мониторинга (некоторые типы были пропущены) и возможность отправлять необработанные пакеты. Благодаря хорошо документированному драйверу с открытым исходным кодом мне удалось добавить необходимые функции. Вся работа была проделана с версией rt2500-1.1.0-b3, к которой вы должны применить мой патч RT2500 для необходимых функций. Просто скачайте оба файла, перейдите в этот каталог и следуйте этим инструкциям:
Подсказка Linux> tar -xzf rt2500-1.1.0-b3.tar.gz
Подсказка Linux> patch -cp0 <rawrt2500_and_others.patch
Подсказка Linux> cd rt2500-1.1.0-b3 / Module
Подсказка Linux> make
Если вы хотите установить этот драйвер в качестве драйвера RT2500 по умолчанию, тогда (как root):
Подсказка Linux> сделать установку
Возможно, вы предпочтете не устанавливать этот драйвер по умолчанию, если он не последней версии. На самом деле необходимые функции могли уже быть реализованы в более поздней версии драйвера. Таким образом, вы можете попробовать загрузить последний дистрибутив, не патчить его, не компилировать и не устанавливать. Затем проверьте активную трещину WEP, как описано ниже, чтобы убедиться, что она работает. В противном случае загрузите версию, указанную выше, исправьте ее, скомпилируйте, но не устанавливайте. Вместо этого скопируйте модуль rt2500.ko или rt2500.o (в зависимости от версии ядра) из rt2500-1.1.0-b3 / Module в рабочий каталог, где вы запустите указанные ниже инструменты. Таким образом, при активном взломе WEP будет использоваться старый исправленный, но успешно протестированный драйвер, а при нормальной работе Linux будет использоваться новый установленный вами драйвер.
(Обновление: последние устаревшие драйверы для RT2500, RT2570 и RT73 (и, возможно, для других наборов микросхем Ralink) реализуют все необходимые функции.)
Общая процедура
Следующим шагом будет установка Aircrack (=> Aircrack-ng, но его параметры командной строки могут быть несовместимы с предыдущими версиями, поэтому вам может потребоваться изменить некоторые вещи в сценарии) в пути выполнения, если вы хотите, чтобы AirMonitor автоматически находил WEP ключ. Наконец, вам просто нужно начать атаку. Просто скачайте следующие инструменты:
(Обновление: для ускорения атаки в некоторых случаях вам также понадобятся следующие файлы: WLAN Brute Active, WLAN Brute Passive, скрипт airmon, установка бита выполнения после загрузки для трех скриптов, пакет грубой силы и патч для последнего доступная версия Aircrack, 2.41.)
Скомпилируйте два файла C (см. Инструкции в источнике) и отредактируйте сценарий csh, чтобы настроить его с вашими конкретными данными (см. Инструкции в источнике). ( Обновление:Конфигурация скрипта теперь также возможна с помощью аргументов командной строки, выполните с '-h', чтобы увидеть параметры). В основном вам нужно настроить ESSID, MAC и канал точки доступа, которую вы хотите взломать. Если вы запустите AirMonitor без настройки ESSID, он покажет список видимых точек доступа. При желании вы можете настроить путь выходных данных (если недостаточно свободного места на диске в текущем каталоге), MAC, который вы хотите установить для своего интерфейса (это позволяет скрыть вашу личность и обойти любой MAC-фильтр в точке доступа) и режим захвата (слабый или полный). Первый режим будет захватывать только слабые IV-пакеты, рекомендуется, если у вас мало места на диске, но он не будет работать с современными точками доступа, которые пропускают слабые IV (или большинство из них). В этом случае вам нужно будет настроить полный режим (вы потребуется несколько сотен мегабайт свободного дискового пространства). Наконец, вы можете настроить некоторые технические данные, если автоматическое определение не работает, например имя модуля (acx, acx_pci, rt2500, rt2570 или rt73), имя беспроводного интерфейса и каталог прошивки в случае набора микросхем ACX111.
(Обновление: Теперь есть два новых варианта ускорения атаки. Один из них - включить определенную атаку для маршрутизаторов с ESSID в форме WLAN_XX, где XX - двузначное шестнадцатеричное число. Эти маршрутизаторы обычно имеют предсказуемый ключ WEP по умолчанию, который можно расшифровать с помощью только одного захваченного пакета данных. Эта опция включена по умолчанию, и если выбранный ESSID не относится к этому типу, опция автоматически отключается. Если атакуемая точка доступа относится к этому типу, но не использует предсказуемый ключ по умолчанию, то опция автоматически отключается, и атака продолжается, как и для любого другого типа маршрутизатора. Вторая новая опция предназначена для атаки AP без трафика. Насколько я знаю, это единственный инструмент, который может это сделать. Эта атака заключается в отправке специальных пакетов, чтобы попытаться заставить AP ответить действительным пакетом данных WEP, что как только он будет захвачен, он позволит продолжить обычную атаку. Работает только с адаптерами с чипсетами Ralink. В зависимости от типа маршрутизатора точки доступа атака может быть успешной в течение нескольких секунд, может занять часы или дни или может не сработать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP»
или может занять часы или дни, а может не работать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP» или может занять часы или дни, а может не работать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP»
AirSend - это программа, отвечающая за активную часть атаки, она воспроизводит пакеты из файла pcap, который вы указываете в качестве параметра. В файле может быть более одного пакета. Вы можете контролировать, сколько раз файл будет воспроизводиться (с параметром -c, 0 означает повторное воспроизведение навсегда) и с какой скоростью (с параметром -d, который устанавливает количество микросекунд ожидания между последовательными пакетами, отрицательное значение означает, что как можно быстрее; обратите внимание, что значения ниже миллисекунды бесполезны, потому что ядро планирует отложить процесс и не возобновит его до, как правило, несколько миллисекунд позже, поскольку это не приложение реального времени). Предусмотрены некоторые другие варианты для подделки заголовка 802.11 (поля FC, A1, A2 и A3), и поэтому, например, любой пакет может быть воспроизведен как широковещательный, идущий от клиента к точке доступа, даже если на самом деле это был одноадресный пакет, идущий от точки доступа к клиенту; Однако полезная нагрузка WEP будет вполне допустимой.
WeakCap предоставляется на тот случай, если вам не хватает диска (это был мой случай), поэтому общее дисковое пространство, необходимое для успешного взлома WEP, составляет всего несколько мегабайт. Однако потребуется больше времени, чтобы собрать достаточно пакетов для поиска ключа WEP. Обратите внимание, что это бесполезно, если точка доступа пропускает слабые IV, что часто встречается в новом оборудовании.
AirMonitor позаботится об инициализации и настройке беспроводного адаптера, соберет все компоненты вместе для выполнения активной атаки, и, что наиболее важно, он будет контролировать свободное дисковое пространство и исправность карты. Время от времени моя карта ACX111 перестает собирать пакеты при выполнении атаки, я не знаю, проблема ли это в драйвере, адаптере, другом элементе или просто атака слишком сильна. Это исправляется перезагрузкой драйвера, поэтому сценарий проверяет это условие и, если обнаружено, повторно инициализирует карту, чтобы продолжить атаку. AirMonitor также запустит Aircrack, когда будет собрано достаточно данных, и перезапустит его каждый раз, когда будет захвачен значительный объем новых данных. Когда ключ найден, он отображается на экране (и сохраняется в файле), и атака останавливается.
Атака
Когда у вас все настроено, атака просто запускается путем выполнения скрипта AirMonitor от имени пользователя root. Он позаботится о запуске остальных необходимых программ. В выходном каталоге появится временный файл pcap, в котором хранятся перехваченные пакеты. Каждый раз, когда карта зависает, содержимое этого файла добавляется к другому файлу pcap с именем ESSID атакуемой точки доступа.
Атака выполняется на максимальной скорости, чтобы собрать как можно больше пакетов. Поэтому точка доступа и даже клиенты могут испытывать смертельное снижение производительности, поэтому рекомендуется запускать атаку, когда никто не использует сеть, по крайней мере, в интерактивном режиме. Я достиг скорости более тысячи пакетов в секунду, но плохое покрытие беспроводной сети пропорционально уменьшит эту скорость; Хорошая антенна, особенно если она очень направленная, может значительно повысить скорость.
AirMonitor будет работать до тех пор, пока ключ WEP не будет найден автоматически запущенным процессом Aircrack. Работая со скоростью 1000 пакетов / с, вы можете собрать 3,6 миллиона пакетов в час, поэтому ключ WEP можно найти менее чем за 5 минут атаки (фактическое время зависит от скорости пакетов, самого ключа, длины ключа и статистических данных). колебания). Это верно, если точка доступа действительно использует слабые IV, в противном случае может потребоваться несколько часов непрерывной атаки (хотя она может быть разделена на разные периоды), чтобы собрать достаточно пакетов, чтобы Aircrack мог найти ключ WEP.
AirMonitor можно прервать в любое время с помощью ctrl-c, но при этом могут остаться некоторые запущенные процессы и временные файлы. Наилучший момент для остановки - это ожидание соединения с AP (вывод на экране объявляет об этом условии и сообщает о том, что это лучший момент для прерывания сценария). Однако при перезапуске AirMonitor все настроено правильно, и данные не теряются. Итак, лучший способ остановить AirMonitor в желаемое время - нажать ctrl-c, перезапустить его и снова прервать, когда он ожидает ассоциации. Таким образом, все файлы закрываются должным образом, и никакие процессы не остаются запущенными, кроме Aircrack, вы должны остановить его вручную, иначе он будет работать до тех пор, пока ключ не будет найден или не удастся его найти.
Активный взлом WEP для чайников
Если вы скажете «хорошо, но я не решаюсь устанавливать Linux и делать все остальное», этот раздел для вас. Вот инструкции и предварительно скомпилированные двоичные файлы, так что вам практически не нужны знания Linux. Сначала загрузите образ компакт-диска Knoppix 3.9 (лучше поищите ближайшее зеркало) и запишите его на 80-минутный компакт-диск, затем загрузите этот пакет и распаковать его на дискету, USB-накопитель или в каталог раздела жесткого диска. Используйте текстовый редактор для настройки переменных в начале файла airmonitor.csh, как описано выше, или используйте аргументы командной строки. Если вы используете карту ACX111, не забывайте, что файл прошивки должен быть доступен для Knoppix. Если вы не устанавливали драйвер карты в раздел Windows, скопируйте его в рабочий каталог. Файл прошивки можно найти на носителе с драйвером производителя или, если вы установили драйвер в раздел Windows, обычно в c: / windows / system32 / drivers и обычно называется TIACX111.BIN, FwRad * .bin или FW * .bin ( подробности см. в разделе «Прошивки для карт ACX111» документации по драйверу ACX ). Вы также можете скачать его здесь, но переименуйте его в TIACX111.BIN.
Теперь поместите компакт-диск Knoppix в устройство чтения компакт-дисков и загрузите с него компьютер. В случае возникновения проблемы см. Справку Knoppix по ее устранению. После загрузки Linux нажмите Ctrl-Alt-F1, чтобы получить корневую оболочку и смонтировать носитель, на котором вы разместили инструменты. Это достигается с помощью таких команд, как «mount / mnt / fd0», «mount / mnt / sda» или «mount / mnt / hda1» для дискеты, USB-накопителя или раздела жесткого диска соответственно. Фактическое устройство может зависеть от вашей конкретной настройки, выполните команду «ls / mnt», чтобы увидеть список устройств, доступных для Knoppix. Затем перейдите в каталог с помощью команды типа «cd / mnt / fd0», «cd / mnt / sda», «cd / mnt / hda1» или аналогичной в зависимости от вашей конфигурации. Наконец, введите "./airmonitor.csh", чтобы начать атаку и собрать пакеты, убедитесь, что в каталоге данных достаточно свободного места.
Активный взлом WEP для крайних чайников (или для ленивых ;-)
(Рекомендуемый выбор для экспертов не по Linux!)
Хорошо, я действительно сделал всю работу за вас, так что просто скачайте мой подготовленный образ компакт-диска Knoppix объемом 700 МБ, который включает в себя все, что требуется, и все готово к запуску. Затем вам просто нужно загрузиться с этого компакт-диска (обратите внимание, чтобы выбрать правильную раскладку клавиатуры при загрузке, по умолчанию используется испанская раскладка). Этот образ по умолчанию загружается в текстовом режиме, но вы можете загрузиться в графическом режиме, если хотите (загрузка занимает больше времени и использует больше ресурсов). Когда у вас появится приглашение оболочки root, введите команду «. / Cdrom / CheapHighTech / bin / setup». Затем выполните "airmonitor.csh" без параметров, чтобы увидеть, обнаружена ли ваша карта Wi-Fi, и показать точки доступа. Обратите внимание на обязательные параметры точки доступа, которую вы хотите атаковать (ESSID, MAC и канал), и выполните сценарий с этими параметрами, например: «airmonitor.csh <ESSID> <MAC> <channel>», обычно этого достаточно. Доступны и другие аргументы командной строки, запустите "airmonitor.csh -h", чтобы увидеть их все. Загляните внутрь сценария, чтобы получить краткое описание каждого параметра. Обратите внимание, что в этом режиме все данные записываются в память, обычно это нормально для новых систем, но в старых системах может не хватить памяти. Если компьютер зависает или перезагружается, все записанные данные теряются. Вы можете преодолеть эти предостережения, используя жесткий диск, USB-накопитель и т. Д. И выбрав его с помощью соответствующего аргумента командной строки.
Резюме
Вот шаги для быстрого старта, если у вас есть беспроводной адаптер USB, PCI или CardBus на базе чипсетов ACX111, RT2560, RT2570 или RT73 и стандартный дистрибутив Linux, подробности можно найти в тексте выше:
Упрощенный вариант с использованием Knoppix:
Еще более упрощенный вариант с использованием подготовленного мной Knoppix: (Рекомендуемый выбор для экспертов не по Linux!)
Другой подход
Для полноты картины интересно упомянуть еще один способ взлома сети WEP. Он основан на атаке методом грубой силы, чтобы попытаться найти правильный ключ, просто проверив множество комбинаций. Лучший способ добиться этого - захватить пару пакетов WEP (на самом деле нужно только два пакета, чем меньше размер, тем лучше; вы можете использовать тот же метод, который описан выше для захвата широковещательного пакета) и запустить попытку автономного ключа процесс.
В принципе, метод грубой силы перебирает все возможные комбинации клавиш, чтобы найти правильный ключ WEP. Однако это не очень практично, потому что это может занять слишком много времени. Для самого слабого ключа WEP (40 бит) потребуется несколько месяцев на быстром ПК (может быть быстрее при использовании нескольких компьютеров параллельно), но для более сильного ключа (104 бит и выше) в мире недостаточно вычислительных мощностей, чтобы иметь Вероятный шанс найти ключ в разумные сроки.
Очень быстрый подход, практичный только для 40-битных ключей WEP, заключается в ограничении поиска ключами, состоящими только из 7-битных печатных символов ASCII (в случае, если ключ был установлен в режиме ASCII администратором сети) или десятичных цифр (в случае администратор вручную установил ключ в шестнадцатеричном режиме). Оба являются обычными случаями в плохо настроенных сетях с точки зрения безопасности. Ограничив таким образом поиск ключей, современный ПК может опробовать все комбинации менее чем за 24 часа в каждом из двух случаев. Я написал пару очень простых программ, чтобы попробовать эту атаку с помощью инструмента дешифрования, включенного в пакет AirSnort. Чтобы попробовать их, просто скачайте FindWEPkey HEX и ASCII версий, настройте вызов системных функций в соответствии с вашим случаем и скомпилируйте (подробности см. в источнике). Вам понадобится инструмент дешифрования AirSnort, скомпилированный и установленный в PATH выполнения.
В случае более сильных ключей WEP (104 бита и выше) или алгоритма WPA единственным жизнеспособным методом является атака по словарю, в которой список слов, чисел и их комбинаций используется последовательно, чтобы увидеть, есть ли какое-либо совпадение с плохо выбранным кодовая фраза или ключ. См. Aircrack (=> Aircrack-ng), coWPAtty и WPA Cracker.
Выводы
Как мы видели, очень легко и быстро взломать сеть, защищенную WEP, независимо от длины ключа WEP, низкого сетевого трафика или отсутствия слабых IV. Поэтому администраторы, желающие защитить свои сети, должны перейти на более сильный алгоритм, такой как WPA, но всегда заботиться о выборе надежных парольных фраз.
Мне всегда нравилась беспроводная связь. Сначала это было аналоговое голосовое радио, потом я заинтересовался цифровым радио задолго до того, как был разработан 802.11. В настоящее время оборудование для беспроводной связи 802.11 (Wi-Fi) стало очень дешевым, а зоны покрытия можно найти повсюду, поэтому я неизбежно влюбился в него. Поскольку я очень интересуюсь безопасностью и криптографией, мое внимание было привлечено, когда я впервые услышал о слабости WEP.
Слабость WEP была вызвана неправильным использованием алгоритма потокового шифрования RC4 в стандарте 802.11, и вскоре появились инструменты, которые продемонстрировали эту слабость на практике. Я знаю следующие инструменты:
- WEPCrack
- AirSnort
- Aircrack => Aircrack-ng
Эти инструменты основаны на перехвате обычного трафика беспроводной сети WEP для сбора достаточного количества пакетов WEP, чтобы они могли воспользоваться слабостью WEP для восстановления ключа WEP. Преимущество этого подхода в том, что он пассивен и поэтому не поддается обнаружению. Недостатком является то, что для сбора достаточного количества пакетов может потребоваться много времени (недели, месяцы, ...), особенно в случае низкого трафика или плохого качества сигнала.
Я впервые прочитал в документации Aircrack о возможности ускорения процесса повторной отправкой в воздух специальных пакетов, в них даже был включен инструмент и инструкции, как это сделать. Я решил подробнее изучить эту интересную возможность. Первая проблема, с которой я столкнулся, заключалась в том, что для этого метода требовались две беспроводные карты без USB с набором микросхем Prism2. Ад! У меня даже одного не было! Позже метод был усовершенствован, теперь вы можете использовать только одну карту, но у меня ее еще не было. Кроме того, метод был довольно сложным, вам нужно использовать программное обеспечение HostAP, чтобы превратить ваш компьютер в точку доступа, а затем использовать инструменты отправки и захвата. В последнее время процесс, похоже, упростился, и была добавлена поддержка большего количества чипсетов.
Поскольку у меня разные беспроводные карты, я попытался воспроизвести этот метод (как можно проще) с ними, прежде чем подумать о покупке карты Prism2 (или двух). Я добился успеха, и здесь я описываю технику и необходимые шаги, а также предоставляю необходимое программное обеспечение. С помощью этого вида атаки вы можете получить ключ WEP за время, которое варьируется от минут до часов в зависимости от самого ключа, длины ключа и использования или фильтрации слабых IV точкой доступа.
Требования
Прежде всего вам понадобится беспроводная карта с тем же чипсетом, что и у шахты. Я сожалею об этом, но у меня нет доступа ко всем типам оборудования для его тестирования. К сожалению, беспроводное оборудование и драйверы еще недостаточно развиты, чтобы любое программное обеспечение могло работать с любой картой, особенно если вас интересуют функции низкого уровня. Тем не менее, я могу добавить поддержку нового оборудования в зависимости от его (и моей) доступности. Если вы осмелитесь, вы можете попробовать повторить те же шаги с другим набором микросхем, чтобы проверить, работает ли он, но, конечно, вам придется, по крайней мере, изменить драйвер в лучшем случае.
Моим первым беспроводным адаптером была карта D-Link DWL-G650 + CardBus, так что теперь вы можете использовать карту с чипсетом ACX111 от Texas Instruments (TI). Я не тестировал набор микросхем ACX100 или USB-устройства, но они тоже могут работать. См. Следующие ссылки, чтобы проверить, имеет ли ваша карта набор микросхем TI ACX111:
- Матрица устройств беспроводной сетевой карты ACX100 / ACX111
- Каталог наборов микросхем адаптера WLAN
Мой второй беспроводной адаптер - это PCI-карта Cnet CWP-854, поэтому теперь вы также можете использовать карту с набором микросхем Ralink RT2560. Позже я использовал другие адаптеры с чипсетами RT2570 и RT73 (оба USB), так что вы также можете использовать их оба. Я не тестировал чипсет RT2400, но он тоже может работать. Перейдите по следующим ссылкам, чтобы проверить, имеет ли ваша карта набор микросхем RT2560, RT2570 или RT73:
- RT2x00 Оборудование
- Устройства беспроводной связи 802.11g на базе чипсетов Ralink RT2500
- Каталог наборов микросхем адаптера WLAN
Наконец, вам понадобится покрытие беспроводной сети с поддержкой WEP. Имейте в виду, что по умолчанию атака очень агрессивна, она может привести к обрушению точки доступа, поэтому будьте очень осторожны при выборе сети для тестирования.
Первые шаги
Если вы хотите выполнить пассивный взлом WEP, ваша карта должна поддерживать режим монитора. В этом режиме захватываются все пакеты, проходящие по одному и тому же каналу, независимо от того, какому клиенту или точке доступа они принадлежат, являются ли они пакетами управления данными или 802.11. Кроме того, пакеты захватываются без изменений, с их заголовком 802.11 и т. д. Не все карты поддерживают режим монитора, в основном из-за ограничений драйвера. Наборы микросхем ACX111, RT2560, RT2570 и RT73 и их драйверы Linux с открытым исходным кодом поддерживают его, но на момент написания этого документа оба драйвера требуют исправления (см. Ниже). Если у вас другой набор микросхем, первым делом необходимо проверить режим монитора, обычно это задокументировано в драйвере. Если он не поддерживается, вам придется получить другую карту или подождать, пока драйвер поддерживает ее, или, если вы нетерпеливы и опытны,
Если вы хотите продолжить активный взлом WEP с помощью только одной беспроводной карты, вы должны одновременно отправлять и получать пакеты, находясь в режиме мониторинга. Кажется, не все карты на это способны. Я не знаю почему, потому что при нормальной работе карта делает это, вы постоянно отправляете и получаете пакеты при использовании сети. Не должно иметь значения, находитесь ли вы в режиме монитора, потому что, в принципе, единственное отличие от нормального режима состоит в том, что определенные пакеты, которые чипсет отбрасывает или оставляет себе, теперь передаются драйверу. Сначала я думал, что ни одна карта не имеет такой функции, но, к своему удивлению, я понял, что чипсет ACX111 способен на это, позже я проверил, что чипсеты RT2560, RT2570 и RT73 также имеют эту функцию. Поэтому, если у вас другой набор микросхем, вы должны узнать о статусе этого вопроса. Иногда это задокументировано в драйвере, если это не так, проведите простой эксперимент: подключитесь к сети (неважно, включен ли WEP или нет, или есть ли у вас ключ WEP), назначьте любой сетевой адрес для интерфейса, запустите пинг любого хоста, переключитесь в режим мониторинга, запустите инструмент сетевого анализа, такой как tcpdump (запустите «tcpdump -i wlan0 -nl» от имени пользователя root, помните имя интерфейса) и наблюдайте. Если tcpdump показывает, что после каждого прохождения эхо-запроса приходит пакет управления ACK 802.11, то вам повезло. Вы можете даже увидеть приходящие эхо-ответы, если ваша сеть настроена правильно, но не ожидайте, что команда ping покажет эхо-ответы, потому что драйвер Ethernet не может понимать пакеты с не удаленным заголовком 802.11. Существует несколько причин, по которым эксперимент может потерпеть неудачу, даже если карта способна отправлять пакеты в режиме мониторинга. Возможно, драйвер отключает передачу в этом режиме только из соображений безопасности, тогда вы можете увидеть только исходный код (или попросить разработчиков) проверить, так ли это, и если да, отключите это ограничение. Обратите внимание, что наблюдение за пакетами может быть затруднено в часто используемой сети, в этом случае может помочь фильтр пакетов tcpdump.
Если независимо от того, что вы делаете, вы по-прежнему не можете заставить свою карту испускать пакеты в режиме мониторинга, все еще может быть шанс выполнить активную атаку взлома WEP с использованием одной карты этого типа. Метод заключается в отправке пакетов в нормальном режиме, переключении в режим мониторинга и ожидании ответов, затем повторном переключении в нормальный режим для отправки большего количества пакетов и т. Д. Теоретически это всегда возможно, но нужно убедиться, что время переключения из нормального режима в режим монитора меньше, чем время, необходимое для того, чтобы ответ точки доступа (или другого клиента) дошел до вас, что обычно порядка нескольких миллисекунд. Для компьютерного устройства это долгий срок, поэтому в принципе эта система должна работать с любой картой. Это была моя первая идея для активной атаки, пока я не обнаружил отличную функцию ACX111 (а позже то же самое для RT2560, RT2570 и RT73). Для достижения оптимальной производительности метод следует отрегулировать. Это произойдет, когда карта будет отправлять пакеты до тех пор, пока не будет получен ответ на первый пакет, а затем в течение того же времени слушает, чтобы собрать все ответы. Таким образом, оптимальная производительность будет достигнута, когда карта тратит 50% времени на отправку пакетов, а остальные 50% на получение их ответов, и каждый интервал имеет продолжительность времени прохождения одного пакета, который нужно отправить и вернуть (в качестве ответа). Следовательно, этот метод никогда не даст КПД более 50% (на практике он всегда будет ниже, потому что вы должны учитывать время переключения между режимами работы), в то время как для ACX111, RT2560, RT2570 или RT73 (или другой чипсет с желаемой мощной функцией) вы получите 100%. Конечно, вы всегда можете использовать две или более карт, чтобы достичь 100% эффективности и даже превзойти ее.
Для активного взлома WEP также потребуется возможность отправлять необработанные пакеты в драйвере беспроводной сети. Насколько мне известно, этой функции нет ни в одном драйвере, так что вам наверняка придется ее пропатчить, как я сделал для ACX111 и для RT2560.
Теория
Основной принцип активной атаки состоит в отправке пакетов в сеть WEP для увеличения трафика и ускорения взлома ключа WEP. Проблема в том, что пакеты, не зашифрованные WEP с правильным ключом, игнорируются точкой доступа и клиентами. Чтобы решить эту проблему, можно воспользоваться одним из многочисленных недостатков WEP - воспроизведением пакетов. WEP не добавляет никаких меток времени, MAC (кода аутентификации сообщения) или чего-либо еще для распознавания повторно воспроизведенного пакета. Один и тот же пакет Ethernet всегда преобразуется в один и тот же пакет WEP (если используется тот же IV, но он не является частью данных Ethernet), поэтому вы можете ввести ранее увиденный пакет, и никто этого не заметит.
Если вы вводите случайно выбранный пакет среди захваченных летающих пакетов, вы обычно не получите никакого ответа от клиента. Это связано с тем, что протокол TCP или UDP (самый распространенный сетевой трафик) имеет защиту от повторяющихся (или несвоевременных) пакетов. Таким образом, хотя WEP и разрешает воспроизведение, TCP и UDP - нет. Однако, если вы воспроизведете широковещательный пакет, который, очевидно, не принадлежит ни одному сеансу TCP или UDP, вы получите ответы, если таковые имеются. Вы можете не получить ответа просто потому, что нет клиента, желающего это сделать, может даже случиться так, что исходный пакет также не получил ответа. Поэтому вы должны попытаться выбрать пакет, который получит хотя бы один ответ. Обычно на пакеты ARP отвечают, при условии, что хост, адрес Ethernet которого вы запрашиваете, все еще жив (шлюз точки доступа всегда жив). Проблема в том, как распознать ARP-пакеты. Существует несколько методов, один из которых основан на размере пакета, другой - это прослушивание самых первых широковещательных пакетов после того, как один хост присоединяется к сети, которые должны быть ARP. Вы можете просто захватить все широковещательные пакеты на время, затем воспроизвести их и посмотреть, какие из них получат ответы.
На самом деле все проще. Вам не нужен ответ от клиента. Когда вы отправляете пакет WEP, он сначала принимается точкой доступа, она расшифровывает его и, если он действителен (правильное шифрование), повторно шифрует его с помощью другого IV и повторно отправляет другим клиентам. В зависимости от адреса назначения точка доступа может не отправлять пакет по беспроводной сети, а вместо этого пересылать его по сетевому кабелю. Однако широковещательный пакет всегда будет отправлен в эфир. У широковещательных пакетов есть еще одно преимущество: они отправляются с низкой скоростью (обычно не более 11 Мбит / с), это увеличивает вероятность того, что точка доступа получит ваши пакеты, и что вы получите ее ответы. Конечно, вы будете отправлять и получать меньше пакетов в секунду, чем если бы вы использовали более высокую скорость передачи (например, 54 Мбит / с), но это того стоит,
Подводя итог, ваш лучший выбор - получить наименьший (чтобы меньше времени на его отправку и получение) широковещательный пакет, который получает наибольшее количество ответов (он получит как минимум ответ точки доступа, но если он получит один или несколько ответов клиента, он будет будет дополнительным преимуществом, количество пакетов будет умножено). На самом деле вам даже не нужно захватывать широковещательный пакет, потому что заголовок 802.11 можно подделать, поэтому любой пакет можно превратить в широковещательный пакет, но, конечно, этот пакет не получит ответа от клиента, однако вы получите доступ точка повторно отправить пакет. Подробнее о подделке пакетов позже.
Готовимся к атаке
Первое, что вам нужно для проведения атаки, - это иметь соответствующий Linux-драйвер для вашего беспроводного адаптера, готовый к работе. Обратите внимание, что может потребоваться модификация и перекомпиляция для добавления необходимой поддержки, если она не включена в стандартный драйвер. Так обстоит дело с наборами микросхем ACX111 и RT2560. Ниже приведены отдельные инструкции для каждого водителя.
Процедура драйвера ACX111
К тому времени, когда я начал этот проект, драйверу не хватало нескольких ключевых функций: поддержки WEP, сниффинга WEP и возможности отправлять необработанные пакеты. С помощью разработчиков драйверов с открытым исходным кодом мне удалось добавить необходимые функции. Вся работа была проделана с версией acx100-0.2.0pre8_plus_fixes_43, к которой вы должны применить мой патч ACX111 для необходимых функций.
Просто скачайте оба файла, перейдите в этот каталог и следуйте этим инструкциям:
Подсказка Linux> tar -xjf acx100-0.2.0pre8_plus_fixes_43.tar.bz2
Подсказка Linux> patch -p0 <wepacx111_and_others.patch
Подсказка Linux> cd acx100-0.2.0pre8_plus_fixes_43
Подсказка Linux> make config.mk
Посмотрите, есть ли какие-либо предупреждения о том, чего вам не хватает, если да, исправьте это, а затем:
Подсказка Linux> make
Процесс может закончиться ошибками на этапе компиляции USB-модуля, если это не так, игнорируйте ошибку, но убедитесь, что модуль PCI был создан как src / acx_pci.ko или src / acx_pci.o.
Если вы хотите установить этот драйвер в качестве драйвера ACX по умолчанию, тогда (как root):
Подсказка Linux> сделать установку
В случае ошибок компиляции в USB-модуле вам придется выполнить ручную установку, просто выполнив что-то вроде (как root):
cp SRC / acx_pci.ko / lib / modules / `uname -r` / kernel / drivers / net / wireless /
depmod -a
Вы можете предпочесть не устанавливать этот драйвер по умолчанию, потому что это не последняя версия. На самом деле необходимые функции могли быть уже реализованы в последней версии драйвера, но я не тестировал ее. Таким образом, вы можете попробовать загрузить последний дистрибутив, не патчить его, не компилировать и не устанавливать. Затем проверьте активную трещину WEP, как описано ниже, чтобы убедиться, что она работает. В противном случае загрузите версию, указанную выше, исправьте ее, скомпилируйте, но не устанавливайте. Вместо этого скопируйте модуль acx_pci.ko или acx_pci.o (в зависимости от версии ядра) из acx100-0.2.0pre8_plus_fixes_43 / src в рабочий каталог, где вы будете запускать инструменты, указанные ниже. Таким образом, при активном взломе WEP будет использоваться старый исправленный, но успешно протестированный драйвер, а при нормальной работе Linux будет использоваться новый установленный вами драйвер.
(Обновление: последний протестированный мной устаревший драйвер версии 20060521 для ACX111 действительно реализует все необходимые функции, но не работает при попытке изменить MAC-адрес адаптера. Это не строго необходимая функция, но иногда она удобна, поэтому здесь это патч, исправляющий проблему изменения MAC для этой версии.)
Процедура драйвера RT2500
К тому времени, когда я начал работать с этим набором микросхем, в драйвере отсутствовали некоторые необходимые функции: сниффинг всех пакетов в режиме мониторинга (некоторые типы были пропущены) и возможность отправлять необработанные пакеты. Благодаря хорошо документированному драйверу с открытым исходным кодом мне удалось добавить необходимые функции. Вся работа была проделана с версией rt2500-1.1.0-b3, к которой вы должны применить мой патч RT2500 для необходимых функций. Просто скачайте оба файла, перейдите в этот каталог и следуйте этим инструкциям:
Подсказка Linux> tar -xzf rt2500-1.1.0-b3.tar.gz
Подсказка Linux> patch -cp0 <rawrt2500_and_others.patch
Подсказка Linux> cd rt2500-1.1.0-b3 / Module
Подсказка Linux> make
Если вы хотите установить этот драйвер в качестве драйвера RT2500 по умолчанию, тогда (как root):
Подсказка Linux> сделать установку
Возможно, вы предпочтете не устанавливать этот драйвер по умолчанию, если он не последней версии. На самом деле необходимые функции могли уже быть реализованы в более поздней версии драйвера. Таким образом, вы можете попробовать загрузить последний дистрибутив, не патчить его, не компилировать и не устанавливать. Затем проверьте активную трещину WEP, как описано ниже, чтобы убедиться, что она работает. В противном случае загрузите версию, указанную выше, исправьте ее, скомпилируйте, но не устанавливайте. Вместо этого скопируйте модуль rt2500.ko или rt2500.o (в зависимости от версии ядра) из rt2500-1.1.0-b3 / Module в рабочий каталог, где вы запустите указанные ниже инструменты. Таким образом, при активном взломе WEP будет использоваться старый исправленный, но успешно протестированный драйвер, а при нормальной работе Linux будет использоваться новый установленный вами драйвер.
(Обновление: последние устаревшие драйверы для RT2500, RT2570 и RT73 (и, возможно, для других наборов микросхем Ralink) реализуют все необходимые функции.)
Общая процедура
Следующим шагом будет установка Aircrack (=> Aircrack-ng, но его параметры командной строки могут быть несовместимы с предыдущими версиями, поэтому вам может потребоваться изменить некоторые вещи в сценарии) в пути выполнения, если вы хотите, чтобы AirMonitor автоматически находил WEP ключ. Наконец, вам просто нужно начать атаку. Просто скачайте следующие инструменты:
- AirMonitor (установить бит выполнения после загрузки)
- AirSend
- WeakCap
(Обновление: для ускорения атаки в некоторых случаях вам также понадобятся следующие файлы: WLAN Brute Active, WLAN Brute Passive, скрипт airmon, установка бита выполнения после загрузки для трех скриптов, пакет грубой силы и патч для последнего доступная версия Aircrack, 2.41.)
Скомпилируйте два файла C (см. Инструкции в источнике) и отредактируйте сценарий csh, чтобы настроить его с вашими конкретными данными (см. Инструкции в источнике). ( Обновление:Конфигурация скрипта теперь также возможна с помощью аргументов командной строки, выполните с '-h', чтобы увидеть параметры). В основном вам нужно настроить ESSID, MAC и канал точки доступа, которую вы хотите взломать. Если вы запустите AirMonitor без настройки ESSID, он покажет список видимых точек доступа. При желании вы можете настроить путь выходных данных (если недостаточно свободного места на диске в текущем каталоге), MAC, который вы хотите установить для своего интерфейса (это позволяет скрыть вашу личность и обойти любой MAC-фильтр в точке доступа) и режим захвата (слабый или полный). Первый режим будет захватывать только слабые IV-пакеты, рекомендуется, если у вас мало места на диске, но он не будет работать с современными точками доступа, которые пропускают слабые IV (или большинство из них). В этом случае вам нужно будет настроить полный режим (вы потребуется несколько сотен мегабайт свободного дискового пространства). Наконец, вы можете настроить некоторые технические данные, если автоматическое определение не работает, например имя модуля (acx, acx_pci, rt2500, rt2570 или rt73), имя беспроводного интерфейса и каталог прошивки в случае набора микросхем ACX111.
(Обновление: Теперь есть два новых варианта ускорения атаки. Один из них - включить определенную атаку для маршрутизаторов с ESSID в форме WLAN_XX, где XX - двузначное шестнадцатеричное число. Эти маршрутизаторы обычно имеют предсказуемый ключ WEP по умолчанию, который можно расшифровать с помощью только одного захваченного пакета данных. Эта опция включена по умолчанию, и если выбранный ESSID не относится к этому типу, опция автоматически отключается. Если атакуемая точка доступа относится к этому типу, но не использует предсказуемый ключ по умолчанию, то опция автоматически отключается, и атака продолжается, как и для любого другого типа маршрутизатора. Вторая новая опция предназначена для атаки AP без трафика. Насколько я знаю, это единственный инструмент, который может это сделать. Эта атака заключается в отправке специальных пакетов, чтобы попытаться заставить AP ответить действительным пакетом данных WEP, что как только он будет захвачен, он позволит продолжить обычную атаку. Работает только с адаптерами с чипсетами Ralink. В зависимости от типа маршрутизатора точки доступа атака может быть успешной в течение нескольких секунд, может занять часы или дни или может не сработать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP»
или может занять часы или дни, а может не работать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP» или может занять часы или дни, а может не работать вообще. В любом случае вы ничего не потеряете, потому что, как только в сети появится нормальный трафик, атака продолжится как обычно. Однако этот параметр по умолчанию отключен, потому что он очень агрессивен, тем не менее, обратите внимание, что когда пакет захватывается и начинается активная атака, она в любом случае становится агрессивной, вот что такое «активный взлом WEP» AirSend - это программа, отвечающая за активную часть атаки, она воспроизводит пакеты из файла pcap, который вы указываете в качестве параметра. В файле может быть более одного пакета. Вы можете контролировать, сколько раз файл будет воспроизводиться (с параметром -c, 0 означает повторное воспроизведение навсегда) и с какой скоростью (с параметром -d, который устанавливает количество микросекунд ожидания между последовательными пакетами, отрицательное значение означает, что как можно быстрее; обратите внимание, что значения ниже миллисекунды бесполезны, потому что ядро планирует отложить процесс и не возобновит его до, как правило, несколько миллисекунд позже, поскольку это не приложение реального времени). Предусмотрены некоторые другие варианты для подделки заголовка 802.11 (поля FC, A1, A2 и A3), и поэтому, например, любой пакет может быть воспроизведен как широковещательный, идущий от клиента к точке доступа, даже если на самом деле это был одноадресный пакет, идущий от точки доступа к клиенту; Однако полезная нагрузка WEP будет вполне допустимой.
WeakCap предоставляется на тот случай, если вам не хватает диска (это был мой случай), поэтому общее дисковое пространство, необходимое для успешного взлома WEP, составляет всего несколько мегабайт. Однако потребуется больше времени, чтобы собрать достаточно пакетов для поиска ключа WEP. Обратите внимание, что это бесполезно, если точка доступа пропускает слабые IV, что часто встречается в новом оборудовании.
AirMonitor позаботится об инициализации и настройке беспроводного адаптера, соберет все компоненты вместе для выполнения активной атаки, и, что наиболее важно, он будет контролировать свободное дисковое пространство и исправность карты. Время от времени моя карта ACX111 перестает собирать пакеты при выполнении атаки, я не знаю, проблема ли это в драйвере, адаптере, другом элементе или просто атака слишком сильна. Это исправляется перезагрузкой драйвера, поэтому сценарий проверяет это условие и, если обнаружено, повторно инициализирует карту, чтобы продолжить атаку. AirMonitor также запустит Aircrack, когда будет собрано достаточно данных, и перезапустит его каждый раз, когда будет захвачен значительный объем новых данных. Когда ключ найден, он отображается на экране (и сохраняется в файле), и атака останавливается.
Атака
Когда у вас все настроено, атака просто запускается путем выполнения скрипта AirMonitor от имени пользователя root. Он позаботится о запуске остальных необходимых программ. В выходном каталоге появится временный файл pcap, в котором хранятся перехваченные пакеты. Каждый раз, когда карта зависает, содержимое этого файла добавляется к другому файлу pcap с именем ESSID атакуемой точки доступа.
Атака выполняется на максимальной скорости, чтобы собрать как можно больше пакетов. Поэтому точка доступа и даже клиенты могут испытывать смертельное снижение производительности, поэтому рекомендуется запускать атаку, когда никто не использует сеть, по крайней мере, в интерактивном режиме. Я достиг скорости более тысячи пакетов в секунду, но плохое покрытие беспроводной сети пропорционально уменьшит эту скорость; Хорошая антенна, особенно если она очень направленная, может значительно повысить скорость.
AirMonitor будет работать до тех пор, пока ключ WEP не будет найден автоматически запущенным процессом Aircrack. Работая со скоростью 1000 пакетов / с, вы можете собрать 3,6 миллиона пакетов в час, поэтому ключ WEP можно найти менее чем за 5 минут атаки (фактическое время зависит от скорости пакетов, самого ключа, длины ключа и статистических данных). колебания). Это верно, если точка доступа действительно использует слабые IV, в противном случае может потребоваться несколько часов непрерывной атаки (хотя она может быть разделена на разные периоды), чтобы собрать достаточно пакетов, чтобы Aircrack мог найти ключ WEP.
AirMonitor можно прервать в любое время с помощью ctrl-c, но при этом могут остаться некоторые запущенные процессы и временные файлы. Наилучший момент для остановки - это ожидание соединения с AP (вывод на экране объявляет об этом условии и сообщает о том, что это лучший момент для прерывания сценария). Однако при перезапуске AirMonitor все настроено правильно, и данные не теряются. Итак, лучший способ остановить AirMonitor в желаемое время - нажать ctrl-c, перезапустить его и снова прервать, когда он ожидает ассоциации. Таким образом, все файлы закрываются должным образом, и никакие процессы не остаются запущенными, кроме Aircrack, вы должны остановить его вручную, иначе он будет работать до тех пор, пока ключ не будет найден или не удастся его найти.
Активный взлом WEP для чайников
Если вы скажете «хорошо, но я не решаюсь устанавливать Linux и делать все остальное», этот раздел для вас. Вот инструкции и предварительно скомпилированные двоичные файлы, так что вам практически не нужны знания Linux. Сначала загрузите образ компакт-диска Knoppix 3.9 (лучше поищите ближайшее зеркало) и запишите его на 80-минутный компакт-диск, затем загрузите этот пакет и распаковать его на дискету, USB-накопитель или в каталог раздела жесткого диска. Используйте текстовый редактор для настройки переменных в начале файла airmonitor.csh, как описано выше, или используйте аргументы командной строки. Если вы используете карту ACX111, не забывайте, что файл прошивки должен быть доступен для Knoppix. Если вы не устанавливали драйвер карты в раздел Windows, скопируйте его в рабочий каталог. Файл прошивки можно найти на носителе с драйвером производителя или, если вы установили драйвер в раздел Windows, обычно в c: / windows / system32 / drivers и обычно называется TIACX111.BIN, FwRad * .bin или FW * .bin ( подробности см. в разделе «Прошивки для карт ACX111» документации по драйверу ACX ). Вы также можете скачать его здесь, но переименуйте его в TIACX111.BIN.
Теперь поместите компакт-диск Knoppix в устройство чтения компакт-дисков и загрузите с него компьютер. В случае возникновения проблемы см. Справку Knoppix по ее устранению. После загрузки Linux нажмите Ctrl-Alt-F1, чтобы получить корневую оболочку и смонтировать носитель, на котором вы разместили инструменты. Это достигается с помощью таких команд, как «mount / mnt / fd0», «mount / mnt / sda» или «mount / mnt / hda1» для дискеты, USB-накопителя или раздела жесткого диска соответственно. Фактическое устройство может зависеть от вашей конкретной настройки, выполните команду «ls / mnt», чтобы увидеть список устройств, доступных для Knoppix. Затем перейдите в каталог с помощью команды типа «cd / mnt / fd0», «cd / mnt / sda», «cd / mnt / hda1» или аналогичной в зависимости от вашей конфигурации. Наконец, введите "./airmonitor.csh", чтобы начать атаку и собрать пакеты, убедитесь, что в каталоге данных достаточно свободного места.
Активный взлом WEP для крайних чайников (или для ленивых ;-)
(Рекомендуемый выбор для экспертов не по Linux!)
Хорошо, я действительно сделал всю работу за вас, так что просто скачайте мой подготовленный образ компакт-диска Knoppix объемом 700 МБ, который включает в себя все, что требуется, и все готово к запуску. Затем вам просто нужно загрузиться с этого компакт-диска (обратите внимание, чтобы выбрать правильную раскладку клавиатуры при загрузке, по умолчанию используется испанская раскладка). Этот образ по умолчанию загружается в текстовом режиме, но вы можете загрузиться в графическом режиме, если хотите (загрузка занимает больше времени и использует больше ресурсов). Когда у вас появится приглашение оболочки root, введите команду «. / Cdrom / CheapHighTech / bin / setup». Затем выполните "airmonitor.csh" без параметров, чтобы увидеть, обнаружена ли ваша карта Wi-Fi, и показать точки доступа. Обратите внимание на обязательные параметры точки доступа, которую вы хотите атаковать (ESSID, MAC и канал), и выполните сценарий с этими параметрами, например: «airmonitor.csh <ESSID> <MAC> <channel>», обычно этого достаточно. Доступны и другие аргументы командной строки, запустите "airmonitor.csh -h", чтобы увидеть их все. Загляните внутрь сценария, чтобы получить краткое описание каждого параметра. Обратите внимание, что в этом режиме все данные записываются в память, обычно это нормально для новых систем, но в старых системах может не хватить памяти. Если компьютер зависает или перезагружается, все записанные данные теряются. Вы можете преодолеть эти предостережения, используя жесткий диск, USB-накопитель и т. Д. И выбрав его с помощью соответствующего аргумента командной строки.
Резюме
Вот шаги для быстрого старта, если у вас есть беспроводной адаптер USB, PCI или CardBus на базе чипсетов ACX111, RT2560, RT2570 или RT73 и стандартный дистрибутив Linux, подробности можно найти в тексте выше:
- Загрузите, скомпилируйте и установите пакет Aircrack (=> Aircrack-ng ).
- Загрузите последний или проверенный пакет драйверов для ACX111 или RT2500 (или RT2570 или RT73) в зависимости от вашей беспроводной карты.
- Загрузите пакет Active WEP Crack.
- Распаковать оба файла.
- При необходимости установите патч драйвера.
- Скомпилируйте и установите или скопируйте модуль драйвера в рабочий каталог.
- Скомпилируйте инструменты Active WEP Crack.
- Настройте скрипт Active WEP Crack ( при необходимости не забудьте прошивку).
- Запустите активный WEP Crack.
Упрощенный вариант с использованием Knoppix:
- Загрузите образ компакт-диска Knoppix 3.9 (лучше поищите ближайшее зеркало).
- Загрузите пакет Active WEP Crack для Knoppix 3.9.
- Запишите образ и извлеките файлы пакета на носитель, монтируемый Linux.
- Настройте скрипт Active WEP Crack ( при необходимости не забудьте прошивку).
- Загрузитесь с компакт-диска и смонтируйте носитель с помощью инструментов.
- Запустите активный WEP Crack.
Еще более упрощенный вариант с использованием подготовленного мной Knoppix: (Рекомендуемый выбор для экспертов не по Linux!)
- Загрузите мой подготовленный образ компакт-диска Knoppix 3.9 объемом 700 МБ и запишите его (не обязательно при загрузке виртуальной машины, полезно только для адаптеров USB Ralink).
- Загрузитесь с этого компакт-диска (выберите раскладку клавиатуры и текстовый / графический интерфейс при загрузке с аргументами ядра).
- Запустите ". / Cdrom / CheapHighTech / bin / setup".
- Запустите airmonitor.csh.
- Выберите AP для атаки и используйте ее данные для запуска "airmonitor.csh <ESSID> <MAC> <channel>".
- Сиди и жди результата
Другой подход
Для полноты картины интересно упомянуть еще один способ взлома сети WEP. Он основан на атаке методом грубой силы, чтобы попытаться найти правильный ключ, просто проверив множество комбинаций. Лучший способ добиться этого - захватить пару пакетов WEP (на самом деле нужно только два пакета, чем меньше размер, тем лучше; вы можете использовать тот же метод, который описан выше для захвата широковещательного пакета) и запустить попытку автономного ключа процесс.
В принципе, метод грубой силы перебирает все возможные комбинации клавиш, чтобы найти правильный ключ WEP. Однако это не очень практично, потому что это может занять слишком много времени. Для самого слабого ключа WEP (40 бит) потребуется несколько месяцев на быстром ПК (может быть быстрее при использовании нескольких компьютеров параллельно), но для более сильного ключа (104 бит и выше) в мире недостаточно вычислительных мощностей, чтобы иметь Вероятный шанс найти ключ в разумные сроки.
Очень быстрый подход, практичный только для 40-битных ключей WEP, заключается в ограничении поиска ключами, состоящими только из 7-битных печатных символов ASCII (в случае, если ключ был установлен в режиме ASCII администратором сети) или десятичных цифр (в случае администратор вручную установил ключ в шестнадцатеричном режиме). Оба являются обычными случаями в плохо настроенных сетях с точки зрения безопасности. Ограничив таким образом поиск ключей, современный ПК может опробовать все комбинации менее чем за 24 часа в каждом из двух случаев. Я написал пару очень простых программ, чтобы попробовать эту атаку с помощью инструмента дешифрования, включенного в пакет AirSnort. Чтобы попробовать их, просто скачайте FindWEPkey HEX и ASCII версий, настройте вызов системных функций в соответствии с вашим случаем и скомпилируйте (подробности см. в источнике). Вам понадобится инструмент дешифрования AirSnort, скомпилированный и установленный в PATH выполнения.
В случае более сильных ключей WEP (104 бита и выше) или алгоритма WPA единственным жизнеспособным методом является атака по словарю, в которой список слов, чисел и их комбинаций используется последовательно, чтобы увидеть, есть ли какое-либо совпадение с плохо выбранным кодовая фраза или ключ. См. Aircrack (=> Aircrack-ng), coWPAtty и WPA Cracker.
Выводы
Как мы видели, очень легко и быстро взломать сеть, защищенную WEP, независимо от длины ключа WEP, низкого сетевого трафика или отсутствия слабых IV. Поэтому администраторы, желающие защитить свои сети, должны перейти на более сильный алгоритм, такой как WPA, но всегда заботиться о выборе надежных парольных фраз.
