Foro Comunidad Aircrack.es - Seguridad Wireless - Ver Mensaje Individual - Guía completa Aircrack-ng

hidden · 05-feb-2010, 12:43

Ahora os estaréis preguntando que son cada uno de los campos que nos salen. Pues bien, para esto me remito a la página oficial de aircrack y os los copio tal cual están:

BSSID-->Dirección MAC del punto de acceso.
PWR---->Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de señal.
Beacons Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.
# Data-->Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes de datos de difusión general.
CH------->Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia.
MB------->Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g.
ENC----->Algoritmo de encriptación en uso. OPN = sin encriptación, "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están presentes.
ESSID--->Conocida como "SSID", puede estar vacía si el ocultamiento de SSID está activo. En este caso airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación.
STATION->Dirección MAC de cada estación asociada. En la captura de más arriban no se han detectado clientes.

[AIREPLAY-NG]

El aireplay es el programa que va a inyectar paquetes 802.11. Aireplay-ng implementa 6 ataques diferentes:

-Ataque 0: Ataque de deautenticación.
-Ataque 1: Ataque de autenticación falsa.
-Ataque 2: Reenvío interactivo de paquetes.
-Ataque 3: Reinyección de petición ARP
-Ataque 4: Ataque "chopchop" de Korek.
-Ataque 5: Ataque de framentación.

Vamos a ver los ataques uno por uno.

ATAQUE 0: DEAUTENTICACIÓN

El ataque 0 de deautenticación, tiene como objetivo, deautenticar al cliente conectado al AP. La sintaxis de este ataque es la siguiente:

Código:

aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz

Paso a explicar lo que hemos puesto:

-0: Indica que vamos a hacer el ataque "0" o de deautenticación de cliente.
N: Es un número. Con él indicaremos cuantos paquetes de deautenticación enviaremos.
-a XX:XX:XX:XX:XX:XX: "-a" indica el AP y XX:XX:XX:XX:XX:XX es el BSSID o la dirección MAC del AP.
-c YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la MAC del cliente asociado al AP.
interfaz: es la interfaz de nuestra tarjeta. Para saberla recordad el capítulo anterior (iwconfig).

Ataque DoS (Denegación de Servicio):

Muchos de vosotros ya sabéis lo que es un ataque de Denegación de Servicio, si no lo sabes entra aquí DENEGACIÓN DE SERVICIO que te lo explica muy bien. De lo que estoy seguro, es de que muchos de vosotros ni siquiera sabíais que se podían hacer ataques DoS a clientes asociados a puntos de acceso (AP). Pongamos un BSSID (00:89:4F:D2:15:A3), un cliente asociado con MAC (00:14:D8:7F:B1:96) y una tarjeta con chipset Zydas. El ataque sería así:

Código:

aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1

Lo que estaríamos haciendo es crear un bucle infinito de paquetes de deautenticación, con lo que impediríamos el cliente conectarse al AP. También podemos hacer un DoS generalizado, de tal forma que solo ataquemos al AP. Con esto impediríamos la conexión a todos los clientes que quisieran asociarse al AP. Esto se haría mediante el siguiente comando:

Código:

aireplay-ng -0 0 -a 00:89:4F:D2:15:A3  eth1

Como véis, sólo hemos puesto la MAC del router. Esto impediría conectarse a cualquiera. Esto es una captura de pantalla del ataque:

Captura del Handshake (Saludo) WPA:

Lo primero de todo, definimos Handshake. Cada vez que un cliente se conecta a una red con cifrado WPA, envía un paquete-saludo, o Handshake al AP al que se va a conectar. Este paquete-saludo contiene la contraseña encriptada. Para capturarlo, tratariamos de desconectar al cliente y estar al acecho para capturar ese Handshake. Mas tarde, intentaríamos crackear ese Handshake para obtener la contraseña. Veámoslo en el siguiente ejemplo:

Código:

airodump-ng --write chipichape --channel 6  eth1
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1
aircrack-ng -w  /ruta/al/diccionario chipichape-01.cap

Paso a continuación a describir cada comando:

airodump-ng --write chipichape --channel 6 eth1------>Este comando pondría el airodump-ng a la escucha en el canal 6 y escribiría en un archivo llamado chipichape-01.cap los resultados de los paquetes obtenidos.

aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviaría 20 paquetes de deauntenticación. Si tras hacer esto no hemos conseguido deautenticar al cliente, ponemos más.

aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este comando crackearía, o al menos lo intentaría con ayuda de un diccionario, el archivo chop-01.cap con la clave encriptada WPA y con la ayuda de un diccionario. No os hagáis ilusiones, porque no es tan fácil crackear las redes WPA. Si no tenéis diccionarios os pongo unos links donde podréis encontrar:

COTSE-Word Lists
COTSE-Word Lists
SUNET's Index of /pub/security/tools/net/Openwall/wordlists

A continuación una demostración con imágenes del proceso. En ellas podemos ver como nos pide un diccionario para poder crackear la clave.

1.- Ejecutamos el comando:

Código:

airodump-ng --write chipichape --channel 6  eth1

Nos saldrá esta imagen:

2.- Ejecutamos el comando:

Código:

aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1

05-feb-2010, 12:43	#2 (permalink)
hidden Moderador Fecha de Ingreso: 28-octubre-2009 Ubicación: Spain, Madrid Mensajes: 75	Guía completa Aircrack-ng parte 2 Ahora os estaréis preguntando que son cada uno de los campos que nos salen. Pues bien, para esto me remito a la página oficial de aircrack y os los copio tal cual están: BSSID-->Dirección MAC del punto de acceso. PWR---->Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de señal. Beacons Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos. # Data-->Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes de datos de difusión general. CH------->Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia. MB------->Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g. ENC----->Algoritmo de encriptación en uso. OPN = sin encriptación, "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están presentes. ESSID--->Conocida como "SSID", puede estar vacía si el ocultamiento de SSID está activo. En este caso airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación. STATION->Dirección MAC de cada estación asociada. En la captura de más arriban no se han detectado clientes. [AIREPLAY-NG] El aireplay es el programa que va a inyectar paquetes 802.11. Aireplay-ng implementa 6 ataques diferentes: -Ataque 0: Ataque de deautenticación. -Ataque 1: Ataque de autenticación falsa. -Ataque 2: Reenvío interactivo de paquetes. -Ataque 3: Reinyección de petición ARP -Ataque 4: Ataque "chopchop" de Korek. -Ataque 5: Ataque de framentación. Vamos a ver los ataques uno por uno. ATAQUE 0: DEAUTENTICACIÓN El ataque 0 de deautenticación, tiene como objetivo, deautenticar al cliente conectado al AP. La sintaxis de este ataque es la siguiente: Código: aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz Paso a explicar lo que hemos puesto: -0: Indica que vamos a hacer el ataque "0" o de deautenticación de cliente. N: Es un número. Con él indicaremos cuantos paquetes de deautenticación enviaremos. -a XX:XX:XX:XX:XX:XX: "-a" indica el AP y XX:XX:XX:XX:XX:XX es el BSSID o la dirección MAC del AP. -c YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la MAC del cliente asociado al AP. interfaz: es la interfaz de nuestra tarjeta. Para saberla recordad el capítulo anterior (iwconfig). Ataque DoS (Denegación de Servicio): Muchos de vosotros ya sabéis lo que es un ataque de Denegación de Servicio, si no lo sabes entra aquí DENEGACIÓN DE SERVICIO que te lo explica muy bien. De lo que estoy seguro, es de que muchos de vosotros ni siquiera sabíais que se podían hacer ataques DoS a clientes asociados a puntos de acceso (AP). Pongamos un BSSID (00:89:4F:D2:15:A3), un cliente asociado con MAC (00:14:D8:7F:B1:96) y una tarjeta con chipset Zydas. El ataque sería así: Código: aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 Lo que estaríamos haciendo es crear un bucle infinito de paquetes de deautenticación, con lo que impediríamos el cliente conectarse al AP. También podemos hacer un DoS generalizado, de tal forma que solo ataquemos al AP. Con esto impediríamos la conexión a todos los clientes que quisieran asociarse al AP. Esto se haría mediante el siguiente comando: Código: aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1 Como véis, sólo hemos puesto la MAC del router. Esto impediría conectarse a cualquiera. Esto es una captura de pantalla del ataque: Captura del Handshake (Saludo) WPA: Lo primero de todo, definimos Handshake. Cada vez que un cliente se conecta a una red con cifrado WPA, envía un paquete-saludo, o Handshake al AP al que se va a conectar. Este paquete-saludo contiene la contraseña encriptada. Para capturarlo, tratariamos de desconectar al cliente y estar al acecho para capturar ese Handshake. Mas tarde, intentaríamos crackear ese Handshake para obtener la contraseña. Veámoslo en el siguiente ejemplo: Código: airodump-ng --write chipichape --channel 6 eth1 aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 aircrack-ng -w /ruta/al/diccionario chipichape-01.cap Paso a continuación a describir cada comando: airodump-ng --write chipichape --channel 6 eth1------>Este comando pondría el airodump-ng a la escucha en el canal 6 y escribiría en un archivo llamado chipichape-01.cap los resultados de los paquetes obtenidos. aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviaría 20 paquetes de deauntenticación. Si tras hacer esto no hemos conseguido deautenticar al cliente, ponemos más. aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este comando crackearía, o al menos lo intentaría con ayuda de un diccionario, el archivo chop-01.cap con la clave encriptada WPA y con la ayuda de un diccionario. No os hagáis ilusiones, porque no es tan fácil crackear las redes WPA. Si no tenéis diccionarios os pongo unos links donde podréis encontrar: COTSE-Word Lists COTSE-Word Lists SUNET's Index of /pub/security/tools/net/Openwall/wordlists A continuación una demostración con imágenes del proceso. En ellas podemos ver como nos pide un diccionario para poder crackear la clave. 1.- Ejecutamos el comando: Código: airodump-ng --write chipichape --channel 6 eth1 Nos saldrá esta imagen: 2.- Ejecutamos el comando: Código: aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1 __________________ Normas del Foro: http://www.aircrack.es/foro/el-cafe/...e.html#post624 Última edición por hidden; 05-feb-2010 a las 18:45
is Offline