Documentation

Description

It focuses on different areas of WiFi security:

• Monitoring: Packet capture and export of data to text files for further processing by third party tools
• Attacking: Replay attacks, deauthentication, fake access points and others via packet injection
• Testing: Checking WiFi cards and driver capabilities (capture and injection)
• Cracking: WEP and WPA PSK (WPA 1 and 2)

All tools are command line which allows for heavy scripting. A lot of GUIs have taken advantage of this feature. It works primarily Linux but also Windows, OS X, FreeBSD, OpenBSD, NetBSD, as well as Solaris and even eComStation 2.

Fresh news

This release brings a ton of improvements. Along with bug fixes and improvements for a lot of tools, we have huge improvements under the hood thanks to code cleanup, deduplication, and reorganization of the source code. We also improved our buildbot, and addedd integration tests.

The most notable changes are in Airodump-ng, it now sees WPA3 and OWE. Its rates now takes into account 802.11n/ac and aren’t limited to 54Mbit anymore. It has PMKID detection, and some basic UTF-8 among other things.

Many more details can be found in our blog post.

Fourth and last release of the year. It is smaller than the previous one but we did want to release the fixes and improvements before the holidays so it will be available for Shmoocon next month in your favorite distro. Small issues were found in 1.5 and then in 1.5.1, which is why we ended up with 1.5.2.

It brings fixes, a new feature and lots of improvements. More details in our blog post.

Under the spotlights

If you are having issues injecting or if you are receiving an error message talking about channel -1 or fixed channel in airodump-ng (top right of the screen) or aireplay-ng, kill the network managers using airmon-ng check kill before putting the wireless card in monitor mode.

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

Aireplay-ng

Описание Aireplay-ng

Aireplay-ng используется для инъекции (инжекта) фреймов.

Главная функция — это генерировать трафик для последующего использования в aircrack-ng для взлома WEP и WPA-PSK ключей. Существуют различные атаки, которые могут повлечь деаутентификацию (говоря проще, разъединение пользователей) в целях захвата данный рукопожатия WPA, фальшивой аутентификации, интерактивного повтора пакетов, вручную сконструированных ARP запросов в инъекциях и обратной закачки ARP запросов. С инструментом packetforge-ng возможно создавать произвольный фреймы.

Использование атак

На текущей момент реализовано несколько различных атак:

• Атака 0: Деаутентификация
• Атака 1: Фальшивая аутентификация
• Атака 2: Интерактивный повтор пакетов
• Атака 3: Атака повторной отправки запросов ARP
• Атака 4: Атака KoreK chopchop
• Атака 5: Фрагментированная атака
• Атака 6: Атака кафе-латтэ (Cafe-latte)
• Атака 7: Ориентированная на клиента фрагментированная атака
• Атака 8: Режим миграции WPA
• Атака 9: Тест инъекции

Автор: Thomas d’Otreppe, Первоначальная работа: Christophe Devine

Справка по Aireplay-ng

Опции повторного воспроизведения (инъекции):

Опции атаки Фальшивая деаутентификация:

Опции атаки повторной отправки запросов ARP:

Опции фрагментированной атаки:

Опции тестирования инжекта:

Режимы атаки (также можно использовать цифры):

Руководство по Aireplay-ng

ОПЦИИ:

-H, —help

Показать сообщение помощи.

Опции фильтра:

-b

MAC адрес точки доступа.

-d

MAC адрес пункта назначения.

-s

MAC адрес источника.

-m

Минимальная длина пакета.

-n

Максимальная длина пакета.

-u

Управление фреймом, поле type.

-v

Управление фреймом, поле subtype.

-t

Управление фреймом, «To» DS бит (0 или 1).

-f

Управление фреймом, «From» DS бит (0 или 1).

-w

Управление фреймом, WEP бит (0 или 1).

-D

Отключить выявление ТД.

Опции повторного воспроизведения:

-x

Количество пакетов в секунду.

-p

Установить слово контрольного фрейма (шестнадцатиричное).

-a

Установить MAC адрес точки доступа.

-c

Установить MAC адрес пункта назначения.

-h

Установить MAC адрес источника.

-g

Изменить размер кольцевого буфера (по умолчанию: 8 пакетов). Минимум — 1.

-F

Выбрать первый подходящий пакет.

Атака фальшивая аутентификация:

-e

Установить целевую SSID. Для SSID, содержащей специальные символы, смотри http://www.aircrack-ng.org/doku.php?id=faq#how_to_use_spaces_double_quote_and_sin‐gle_quote_etc._in_ap_names

-o

Атака фальшивая аутентификация: Установить количество пакетов для каждой попытке аутентификации и ассоциации (По умолчанию: 1). 0 означает автоматически.

-q

Атака фальшивая аутентификация: Установить время между временем жизни пакетов в режиме фальшивой аутентификации.

-Q

Атака фальшивая аутентификация: Отправлять запросы о повторном переподключении вместо выполнения полной аутентификации и ассоциации после каждого периода задержки.

Атака фальшивая аутентификация: Определить поток ключей для фальшивого общего ключа аутентификации.

-T n

Атака фальшивая аутентификация: Выйти если фальшивая аутентификация провалилась ‘n’ раз.

Атака воспроизведения ARP :

-j

Инъекция пакетов FromDS.

-k

Фрагментированная атака: Установить пункт назначения IP во фрагментах.

-l

Фрагментированная атака: Установить источник IP во фрагментах.

-B

Опция тестирования: Тест битрейта.

Опции источника:

-i

Захватывать пакеты с этого интерфейса.

-r

Извлечь пакеты из этого pcap файла.

Прочие опции:

-R

Отключить использование /dev/rtc.

—ignore-negative-one

Если интерфейс канала не может быть определён, игнорировать несоответствие, нужно для непропатченного cfg80211

РЕЖИМЫ АТАКИ:

-0 , —deauth=

Эта атака отправляет пакеты деаутентификации одному или более клиентами, которые в настоящий момент связаны с определённой точкой доступа. Деаутентификация клиентов может быть сделана по ряду причин: Восстановление скрытого ESSID. Этот ESSID не показывается в вещании. Другая причина для этого — это «маскировка» или Захват рукопожатия WPA/WPA2 путём принудительной повторной аутентификации клиентов или Генерация ARP запросов (Windows клиенты иногда очищают их ARP кэш после рассоединения). Конечно, эта атака совершенно бесполезна если нет подключённых к беспроводной сети клиентов или при фальшивой аутентификации. Подробности: Деаутентификация клиентов беспроводной сети в Kali Linux.

-1 , —fakeauth=

Эта атака фальшивой аутентификации позволяет вам выполнить два типа WEP аутентификации (Открытая система и Общий ключ) плюс ассоциироваться с точкой доступа (ТД). Это полезно только когда вам нужен ассоциированный MAC адрес в различных атаках aireplay-ng, а ассоциированных клиентов в данный момент нет. Следует отметить, что атака фальшивой аутентификации НЕ генерирует какие-либо ARP пакеты. Фальшивая аутентификация не может быть использована для аутентификации/ассоциации с WPA/WPA2 точками доступа.

-2, —interactive

Эта атака позволяет вам выбрать определённый пакет для воспроизведения (инъекции). Атака может получить пакеты для воспроизведения из двух источников. Первым является живой поток пакетов с вашей беспроводной карты. Вторым является файл pcap. Многие упускают из виду такую функцию aireplay-ng как чтение из файла. Она позволяет вам прочитать пакеты из захваченный сессий или нередко из различных сгенерированных для атак файлов pcap для простого повторного использования. Популярное использование — это чтение файла, который вы создали с помощью packetforge-ng.

-3, —arpreplay

Классическая атака повторного воспроизведения ARP запроса — это наиболее эффективный способ сгенерировать новые векторы инициализации (IVs), и работает он очень надёжно. Программа ищет ARP пакеты, затем пересылает их обратно к точке доступа. Это, в свою очередь, приводит точку доступа к повторению ARP пакета с новыми IV. Программа пересылает тот же ARP пакет снова и снова. При этом каждый ARP пакет, повторённый точкой доступ, имеет новые IVs. Это всё новые IVs, которые позволяют вам определить WEP ключ.

-4, —chopchop

Эта атака, в случае успеха, может расшифровать пакет данных WEP не зная ключа. Это может работать даже в отношении динамического WEP. Эта атака не восстанавливает сам WEP ключ, но лишь раскрывает простой текст. Тем не менее, некоторые точки доступа не уязвимы к этой атаке. Некоторые поначалу кажутся уязвимыми, но на самом деле отбрасывают пакеты данных короче чем 60 байт. Если точка доступа отбразывает пакеты корочем чем 42 байта, aireplay пытается предположить оставшиеся пропущенные данные, т. к. заголовок является предсказуемым. Если захвачен IP пакет, дополнительно проверяется контрольная сумма заголовка на корректность после угадывания недостающей его части. Эта атака требует по крайней мере один WEP пакет.

-5, —fragment

Эта атака, при успехе, может получить 1500 байт из PRGA (алгоритм псевдослучайной генерации). Эта атака не раскрывает сам WEP ключ, но лишь получает PRGA. Этот PRGA можно использовать для генерации пакета с packetforge-ng, который, в свою очередь, использовать для различных инъекционных атак. Требуется получить по крайней мере один пакет от точке доступа, чтобы инициировать эту атаку.

-6, —caffe-latte

В общих чертах, для того, чтобы атака сработала, атакующий должен быть в диапазоне ТД и подключённого клиента (фальшивого или реального). Атака Caffe Latte позволяет собрать достаточно пакетов для взлома WEP ключа без необходимости ТД, достаточно просто клиента в диапазоне.

-7, —cfrag

Эта атака превращает IP или ARP пакеты от клиента в ARP запросы в отношении клиента. Эта атака работает особенно хорошо в отношении сетей ad-hoc. Также она может использоваться в отношении клиентов softAP (программной точки доступа) и нормальных клиентов ТД.

-8, —migmode

Эта атака работает в отношении точек доступа Cisco Aironet, настроенных в WPA Migration Mode, который позволяет как клиентам WPA, так и WEP подключаться к точке доступа используя одинаковый Service Set Identifier (SSID). Программа прослушивает WEP-инкапсулированный широковещательный ARP пакет, меняет биты, чтобы переделать его в ARP, приходящий с MAC адреса атакующего, и переправляет к точке доступа. Это, в свою очередь, приводит к тому, что точка доступа повторяет ARP пакет с новым IV и также переправляет ARP ответ к атакующему с новым IV. Программа пересылает тот же ARP пакет снова и снова. При этом каждый ARP пакет, повторённый точкой доступа, имеет новый IV, и ARP ответ перенаправляется точкой доступа к атакующему. Все эти новые IV позволяют вам определить WEP ключ.

-9, —test

Фрагментация или Chopchop (отбивная котлета)

Показаны различия между фрагментированной атакой и Chopchop атакой

Фрагментация

• Обычно получает полную длину пакета из 1500 байт xor. Это означает, что впоследствии вы можете создать любой размер пакета. Даже в случаях, где собрано менее 1500 байтов, это достаточно, чтобы создать ARP запросы.
• Может работать там, где отбивная котлета (chopchop) не может.
• Метод крайне быстрый. При успехе он даёт крайне быстрый поток xor.

• Нужно больше информации для запуска этой атаки — например, информацию об IP адресе. Весьма часто её можно угадать. А ещё лучше то, что aireplay-ng предполагает IP источника и пункта назначения из 255.255.255.255, если ничего не указано. Это успешно наботает на большинстве, если не на всех ТД. Поэтому это очень незначительное «Против».
• Настройка для выполнения атаки в большей степени зависит от драйвера устройства. Например, Atheros не генерирует корректные пакеты, если беспроводная карта не настроена так, что имеет тот же мак адрес, который подвергается спуфингу.
• Вам нужно быть физически ближе к точке доступа, поскольку если какой-либо пакет теряется, то атака потерпит неудачу.
• Атака потерпит неудачу на точках доступа, которые не обрабатывают фрагментированные пакеты должным образом.

Chopchop

• Может работать там, где фрагментация не работает.
• Вам не нужно знать какую-либо информацию об IP.

• Может использоваться в отношении не каждой точки доступа.
• Максимум xor бит ограничено длинной пакета, который вы рубите. Хотя в теории вы могли бы получить 1500 байт xor потока, на практике вы редко (если вообще когда-нибудь) увидите 1500 байта беспроводных пакетов.
• Намного медленнее фрагментированная атаки

Примеры запуска Aireplay-ng

Перейти на канал 1 (iwconfig wlan0 channel 1), производить атаку Деаутентификация (-0), пока она не будет остановлена вручную (0) в отношении ТД с ВSSID 20:25:64:16:58:8C (-a 20:25:64:16:58:8C) с сетевого интерфейса wlan0 (wlan0):

Перейти на канал 1 (iwconfig wlan0 channel 1), произвести атаку Деаутентификация (-0), отправить пять пакетов разъединения (5) в отношении ТД с ESSID 20:25:64:16:58:8C (-e Mial) с сетевого интерфейса wlan0 (wlan0):

Вывод этих двух команд одинаковый:

Проверить, поддерживает ли беспроводная карта инъекции (инжект) (-9) на сетевом интерфейсе wlan0 (wlan0):

Установка Aireplay-ng

Программа предустановлена в Kali Linux.

Установка в другие операционные системы

Эта программа из пакета Aircrack-ng. Т.е. для её установки нужно установить Aircrack-ng.