Взлом wifi сетей, или воздушная тревога

Итак, вы решились научится ломать wifi сети. Это не мои проблемы, и не мне их расхлебывать, мое дело рассказать как это делается.

Для работы нам понадобится компьютер с линуксом, желательно нетбук (понеприметней) и вайфай карта с поддержкой режима монитора и иньекции пакетов. Такими картами являются, например, карты, поддерживаемые модулям rt2×00, b43, madwifi-ng, prism2, intelwifi…

Окей, будем считать что это у нас есть. Через свой любимый пакетный менеджер ставим пакет aircrack-ng. Этим мы ломать и будем. Стоит так же поставить пакет kismet – его удобно использовать для сканирования сетей и просмотра списка клиентов. С PTW плагином в кисмете даже можно ломать сети, но это уже другая тема…

Немного углубимся в теорию. Так как в вайфае у нас данные витают в воздухе, эти данные можно перехватить. Существует два вида данных, летающих по воздуху – я называю их бекон и ивсы. Бекон нам не нужен, он бесполезен. А вот ивсы, или Data Packets, нам и нужны. Набрав нужное количество пакетов, мы вскроем ключ. А как быть, если в сети нет клиентов и обмен данными не ведется? Надо заставить точку доступа эти данные отдавать =)

В статье я буду использовать несколько постоянных. IFACE – имя сетевого интерфейса (вайфай). MON – имя сетевого интерфейса в режиме монитора, NET – имя ломаемой сети. Все команды, связанные с сетью, выполняем от рута. Поехали.

Для начала переводим интерфейс в режим монитора через airmon-ng start IFACE. Тут существует маленький нюанс. В режим монитора может перевестить как и сам исходный интерфейс, например wlan0, так и его виртуальный аналог. У меня, например, это mon0, а у atheros будет кажется ath0. Использовать в данном случае надо виртуальный.

Далее просканируем окружающий нас мир c помощью airodump-ng MON. Одна строка – одна сеть. Все что под разделителем – это клиенты. Все снабжено комментами и понятно. Вы можете так же выборочно сканировать один тип сети, добавив -t WEP, а можете один канал, добавив -c 6, например.

Стоит упомянуть об одном моменте, очень популярном и известном. Скрытое имя точки доступа. Тут нам понадобится клиент, подключенный к точке (их список внизу, имя мы не видим, но можем видеть MAC-адрес точки и клиента). Поэтому выполняем aireplay-ng -0 1 -b мак_точки_доступа -c mac_клиента MON, этим мы вышибем клиента из сети. Как только он авторизуется на точке повторно, мы поймаем имя точки сниффером. Вот и все.
Ладно, сеть мы нашли. Теперь закрываем сканер, запомнив канал на котором висит точка доступа, и запускаем его снова, на этот раз с фиксированным каналом и записью логов.
airdump-ng -c 6 -w out
Клиентов у нее не видно, а жаль. Прийдется использовать атаку p0861, которая срабатывает практически всегда. В атаках у нас используется утилита aireplay-ng. Но для начала надо авторизоваться на точке – вдруг нужный пакет проскочит.
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -e NET MON
Командой, указанной выше мы начинаем читать пакеты в целях найти один ивс, чтобы его начать передавать в точку доступа с целью генерации огромного траффика… и конечно нужных нам ивсов.
aireplay-ng -1 6000 -o 1 -q 10 -e NET MON
А тут мы пытаемся авторизоваться на точке доступа. Конечно не по настоящему, даже успешная авторизация нам тут ничего не даст. Почти. Она может дать нужный нам для создания иньекции ивс.
Остается только смотреть на вывод атаки p0841, пока нужный пакет не будет найден. Как только пакет будет найден, нажимаем y, и начинается процесс иньекции. Процесс фейковой авторизации при этом можно закрыть.
Чтобы проверить успешность атаки, переходим на окно airodump, вы ведь запустили его перед стартом инжекта, верно? Если в графе Data # мы видим число, которое растет с огромной скоростью, нам повезло. Инжект работает. Остается лишь набрать нужное нам количество пакетов. Для 40-битного ключа их нужно всего 20к, а вот для динамики и 128бит мало будет и 500к.
Собственно взлом ключа мы производим утилитой aircrack-ng, которая применяется к логу airodump’а. Помните мы указывали в аргументах -w out? Это значит что вывод сниффера сохраняется в файл out-XX.cap, где XX – порядковый номер лога. Так что просто запустим аиркряк командой aircrack-ng out*.cap, выберем нужную нам сеть, и будем смотреть за процессом брута ключа. Можно одновременно и собирать данные, и брутить ключ – одно другому не мешает. Если ключ найти не удастся, программа повторит подбор через следующие 5000 пакетов. В общем, ждите, когда программа выдаст гордое KEY FOUND!

Существуют и другие варианты, например протокол авторизации LEAP. Тут нам понадобится утилита asleap и список NT хэшей.
Или же шифрование WPA/WPA2. Нельзя взломать? Ха! Надо просто поймать WPA handshake, пакет, который передается при авторизации клиента на точке доступа. Его можно получить и искусственно, применив aireplay-ng -0 1 -b BSSID -c CLIENT MON – принудительно рассоединив клиента с точкой доступа и заставив переподключиться. Дальнейший брут надо делать при помощи coWPAtty и большого словаря, на основе которого мы сделаем rainbow table, ибо ключи в WPA хешируются аж 4096 раз и хэш зависит от длины имени точки доступа…

Ну вот и все по этой теме… Это один из порядка 20 способов взломать Wi-Fi, ибо у того же aireplay-ng 8 атак, и каждую можно изменить в зависимости от ситуации.