Gruss Ninja2000
So jetzt aber hier:
Aircrack-Tutorial/WEP gesichertes WLAN knacken (Fragmentation Attack)
Da Torsten Feld zum WD-Forum und zur Aircrack-Seite gelinkt hat bin ich mir sicher er hat nichts dagegen wenn ich sein HowTo hier reinkopiere. Den Link zu Seiner Seite findet Ihr weiter unten...
[Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)
Um zeigen zu können, wie unsicher WEP ist und wie schnell man an den Schlüssel kommt, habe ich meinen AccessPoint auf 128-Bit WEP umgestellt. Anschließend bin ich wie in der Anleitung unten beschrieben vorgegangen. Dauer des Vorgangs ca. 15 Minuten.
Informationen:
• BSSID des AP: 00:12:BF:46:68:BD
• ESSID des AP: N3ur0m4nc3r
• Kanal des AP: 01
• MAC des WLAN-Adapters: 00:C0:CA:19:FF:86
WLAN-Adapter muss Packetinjection und Monitor Mode unterstützen. Als Betriebssytem habe ich Backtrack 3 verwendet, welches ich unter VMware installiert habe.
Beim Parameter 'bssid' bei 'airodump' müssen zwei '-' vorangestellt werden.
Bevor man anfängt, sollten natürlich die benötigten Treiber installiert und geladen sein. U.U. ist es erforderlich diese Treiber zu patchen, um bestimmte Funktionalitäten der Hardware nutzen zu können. Hierauf werde ich jetzt aber nicht weiter eingehen. Um Daten aus der Luft sniffen zu können, ist es erforderlich den Adapter in den Monitor Mode zu setzen. Dabei kann gleich schon der Kanal (in diesem Fall 1) angegeben werden.
airmon-ng start wlan0 1
Anschließend muss sich der Adapter mit dem AP verbinden, um eine Kommunikation zu ermöglichen. Ich habe die Parameter für aireplay so gewählt, dass sich der Adapter alle 6000 Sekunden neu bei dem AP anmeldet und alle 10 Sekunden 'Keep-Alive-Pakete' sendet, damit die Verbindung gehalten wird.
Damit jeweils nur ein 'Keep-Alive-Paket' gesendet wird, ist hier der Parameter '-o 1' empfehlenswert.
Die Optionen '-e' und '-a' geben die ESSID und BSSID an.
aireplay -1 6000 -q 10 -o 1 -e N3ur0m4nc3r -a 00:12:BF:46:68:BD wlan0
Bei der Fragmentierungs Attacke geht es darum, eine Datei zu bekommen, welche den keystream enthält. Mit dieser ist es einem zwar nicht möglich, den WEP-Schlüssel direkt zu bestimmen oder die gesendeten Pakete zu entschlüsseln, jedoch können damit Pakete generiert werden, die für die spätere Injektion benötigt werden.
Der Parameter '-5' gibt an, dass es sich um einen 'Fragmentation Attack' handelt, '-b' gibt die BSSID an und 'wlan0' das benutzte Interface.
Mittels '-h' wird die Quell-MAC in den Paketen gesetzt. Diese sollte die gleiche sein, wie die, die im Schritt zuvor verwendet wurde. Verwendet man die Option '-h' nicht, wird automatisch die MAC-Adresse des verwendeten WLAN-Adapters genutzt.
aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0
Wie auf dem Bild zu erkennen haben ich nun eine Datei 'fragment-0331-104558.xor' erhalten, welche den keystream enthält. Mit dieser Datei und dem Programm 'packetforge-ng' ist es möglich, ein ARP-Paket zu erstellen, mit welchem ich 'injecten' und somit schneller die benötigten IVs sammeln kann.
• -0 zeigt an, dass ich ein ARP-Paket generieren möchte
• -a gibt die BSSID an
• -k und -l die Quell- und Ziel-IP (die meisten APs reagieren auf die Broadcasts)
• -y ist der Pfad zur xor Datei bzw. eben die Datei selbst
• -w gibt den Dateinamen an, unter welchem das generierte Paket gespeichert wird
• -h ist die MAC meines WLAN-Adapters
packetforge-ng -0 -a 00:12:BF:46:68:BD -k 255.255.255.255 -l 255.255.255.255 -y fragment-0331-104558.xor -w arp-request -h 00:C0:CA:19:FF:86
Nun wird 'airodump' gestartet, um die Pakete mitlesen zu können, die durch meine 'Injection' generiert werden.
• -c legt den Kanal fest, auf welchem gelauscht wird
• --bssid erklärt sich wohl von selbst
• -w gibt die Datei an, in welcher die Pakete gespeichert werden
airodump-ng -c 1 --bssid 00:12:BF:46:68:BD -w capture wlan0
Jetzt starte ich das 'Injecten' mittels 'aireplay-ng'
aireplay-ng -2 -r arp-request wlan0
Nach einigen Minuten sollten genug Pakete gesammelt worden sein, um einen Angriff mittels 'aircrack-ng' auf den Schlüssel zu starten.
• -a 1 gibt an, dass WEP-Schlüssel geknackt werden soll
• -e ESSID des APs
• -b BSSID des APs
und die Angabe der einzulesenden Dateien
aircrack-ng -a 1 -e N3ur0m4nc3r -b 00:12:BF:46:68:BD *.cap
Ich habe bei einer 'Injection'-Rate von ca. 60 Paketen pro Sekunde nach ca. 10 Minuten >50.000 Pakete gehabt, so dass 'aircrack-ng' mit der relativ neuen PTW-Attacke erfolgreich war.
Spätestens jetzt sollte jeden klar sein, wie leicht WEP angreifbar ist und warum man lieber auf WPA oder besser noch WPA2 umsteigen sollte.
Quelle: feldstudie.net/2008/03/31/tuto…ken-fragmentation-attack/