Professional Documents
Culture Documents
documentación aircrack
¿Qué es aircrack ?
Aircrack está incluído en el Troppix LiveCD, que incluye los controladores { Prism2 / PrismGT / Realtek /
Atheros / Ralink } parcheados para la inyección de paquetes, así como los controladores acx100 e ipw2200
(Centrino b/g) .
Para usar aircrack, arrastra el/los archivo(s) de captura .cap o .ivs sobre aircrack.exe. Si quieres pasarle
opciones al programa deberás abrir una consola de comandos (cmd.exe) e introducirlas manualmente;
también hay una GUI para aircrack, desarrollada por hexanium.
C:\TEMP> aircrack.exe -n 64 -f 8 out1.cap out2.cap
La idea básica es capturar tanto tráfico encriptado como sea posible usando airodump. Cada
packete de datos WEP tiene asociado un Vector de Inicialización (IV) de 3-bytes: después de
recoger un número suficiente de paquetes de datos, ejecuta aircrack sobre el archivo de captura
resultante. Entonces aircrack ejecutará un conjunto de ataques de tipo estadístico desarrollados
por un talentoso hacker llamado KoreK.
En resumen, sólo por que parezca que te conectas de forma satisfactoria al AP ¡no significa que tu
clave WEP sea la correcta! Para comprobar tu clave WEP, procura desencriptar un archivo de
captura con el programa airdecap.
El crackeo WEP no es una ciencia exacta. El número de IVs necesarios depende de la longitud de
la clave WEP, y también de la suerte. Normalmente, una clave WEP de 40-bit puede ser crackeada
con 300.000 IVs, y una de 104-bit con 1.000.000 de IVs; teniendo mala suerte se pueden
necesitar dos millones de IVs, o más.
…bravehost.com/aircrack_doc_es.htm 1/12
13/10/2010 documentación aircrack
No hay ninguna manera de saber la longitud de la clave WEP: esta información está oculta y
nunca es anunciada, guardada bien en packetes de gestión, bien en paquetes de datos; como
consecuencia, airodump no puede reportar la longitud de la clave WEP. Por ese motivo, se
recomienda ejecutar aircrack dos veces: cuando tienes 250.000 IVs, inicias aircrack con "-n 64"
para crackear la WEP de 40-bit. Si no la sacas, vuelves a iniciar aircrack (sin la opción -n) para
crackear la WEP de 104-bit.
Posibles motivos:
Los beacons sólo son "paquetes anuncio" sin encriptar. No sirven para el crackeo WEP.
Shit happens.
Antes de nada, busca en Google para averiguar cuál es el chipset de tu tarjeta. Por ejemplo, si
tienes una Linksys WPC54G busca por "wpc54g chipset linux".
Los controladores de Windows arriba mencionados no reconocen algunas tarjetas, incluso teniendo
el chipset correcto. En este caso, abre el administrador de dispositivos, selecciona tu tarjeta,
"Actualizar el controlador", selecciona "Instalar desde una ubicación conocida", selecciona "No
buscar, seleccionaré el controlador a instalar", haz click en "Utilizar disco", introduce la ruta donde
ha sido descomprimido el archivo, deselecciona "Mostrar hardware compatible", y elige el
controlador.
Primer paso, asegúrate de que no estás usando el controlador orinoco. Si el nombre de interfaz es
wlan0, entonces el controlador es HostAP o wlan-ng. Si el nombre de la interfaz es eth0 o eth1,
entonces el controlador es orinoco y debes deshabilitarlo (usa cardctl para averiguar el
identificador de tu tarjeta, entonces edita /etc/pcmcia/config, reemplaza orinoco_cs por hostap_cs
y reinicia cardmgr).
También puede ser un problema de firmware. Los firmwares antiguos presentan problemas con el
test mode 0x0A (usado por los parches para la inyección con HostAP / wlan-ng), por tanto
asegúrate de que el tuyo está al día -- mira las instrucciones más abajo. La versión recomendada
de firmware para la estación es la 1.7.4. Si no funciona bien (kismet o airodump estallan tras
capturar un par de paquetes), prueba con la STA 1.5.6 (o bien s1010506.hex para las tarjetas
Prism2 más antiguas, o sf010506.hex para las más nuevas).
Como nota aclaratoria, test mode 0x0A es algo inestable con wlan-ng. Si la tarjeta parece
atrancarse, tendrás que resetearla, o usar HostAP en su lugar. La inyección sobre dispositivos USB
Prism2 está actualmente rota con wlan-ng.
Nota: Aquí pueden encontrar un controlador para Prism2 bajo Windows XP para tarjetas con
soporte para WPA/TKIP : http://100h.org/wlan/winxp/wpc11v3.0_wpa_dr.exe.
Hay algunos problemas con algunas versiones de la rama 2.6 de Linux (especialmente anteriores
al 2.6.11) que provocarán un kernel panic al inyectar con madwifi. También, en muchos kernels 2.6
el soporte para RTC mejorado está simplemente roto. Por tanto, está altamente recomendado
utilizar un Linux 2.6.11.x o más nuevo.
La forma más simple es actualizar mediante WinUpdate - para esto es necesario tener instalado
el controlador WPC11 v2.5. Ambos se pueden obtener de: http://100h.org/wlan/linux/prism2/.
También se puede actualizar el firmware con el HostAP parcheado (mira más abajo las
instrucciones sobre cómo parchear e instalar HostAP). Alternativamente, puedes arrancar el
Troppix Live CD (el cuál contiene un controlador hostap ya parcheado y la utilidad prism2_srec).
Ahora que el HostAP está cargado, puedes comprobar el firmware de tu primario y de la estación
con este comando:
# dmesg | grep wifi
hostap_cs: Registered netdevice wifi0
wifi0: NIC: id=0x800c v1.0.0
wifi0: PRI: id=0x15 v1.1.1 (primary firmware is 1.1.1)
wifi0: STA: id=0x1f v1.7.4 (station firmware is 1.7.4)
wifi0: registered netdevice wlan0
Si el id de NIC se encuentra entre 0x8002 y 0x8008, en ese caso tienes una Prism2 antigua y
DEBES usar firmware STA en su versión 1.5.6 (s1010506.hex). De lo contrario, deberías usar PRI
1.1.1 / STA 1.7.4 que es la versión de firmware más estable para las tarjetas Prism2 más nuevas.
NO uses firmware 1.7.1 o 1.8.x, la gente ha reportado problemas usándolos.
Algunas tarjetas Prism2 han sido restringidas a un cierto conjunto de canales debido a
regulaciones nacionales.Puedes activar los 14 canales con los siguientes comandos:
./prism2_srec wlan0 -D > pda; cp pda pda.bak
Edit pda and put 3FFF at offset 0104 (line 24)
Por último, descarga el firmware y flashea tu tarjeta. Si el id de NIC está entre 0x8002 y 0x8008:
wget http://100h.org/wlan/linux/prism2/s1010506.hex
./prism2_srec -v -f wlan0 s1010506.hex -P pda
De lo contrario:
…bravehost.com/aircrack_doc_es.htm 3/12
13/10/2010 documentación aircrack
wget http://100h.org/wlan/linux/prism2/pk010101.hex
wget http://100h.org/wlan/linux/prism2/sf010704.hex
./prism2_srec -v -f wlan0 pk010101.hex sf010704.hex -P pda
El mejor chipset a día de hoy es Atheros; está muy bien soportado por ambos Windows y Linux. El
último parche madwifi hace posible inyectar en bruto paquetes 802.11 tanto en modo
Infraestructura (Managed) como Monitor a velocidades b/g.
Ralink hace buenos chipsets, y ha sido muy cooperativo con la comunidad open-source para
desarrollar controladores GPL. Ahora la inyección de paquetes está completamente soportada bajo
Linux con tarjetas PCI/PCMCIA RT2500, y también funciona en dispositivos USB RT2570.
Soporte
Soporte
Card name Type Chipset Antenna Precio en
en Linux
Windows
MSI PC54G2 PCI Ralink RP-SMA E30 No Sí
MSI CB54G2 CardBus Ralink Interna E30 No Sí
Linksys
PCI Ralink RP-SMA E40 No Sí
WMP54G v4
Linksys
USB Ralink Interna E40 No Sí
WUSB54G v4
D-Link DWL-
USB Ralink Interna E45 No Sí
G122
Netgear PrismGT
USB Interna E40 airodump No
WG111 SoftMAC
Netgear CommView
PCI Atheros RP-SMA E50 Sí
WG311T WiFi
Netgear
CardBus Atheros Interna E50 airodump Sí
WG511T
Netgear
CardBus Atheros Interna E100 airodump Sí
WAG511
Proxim 8470- MC +
CardBus Atheros E110 airodump Sí
WD Int.
Nota: hay algunos modelos más baratos con nombre parecido (WG511, WG311, DWL-650+ y DWL-
G520+); esas tarjetas no están basadas en Atheros . Además, el controlador Peek no soporta
las tarjetas Atheros recientes, por lo que deberás usar CommView WiFi en su lugar.
Antes de nada, asegúrate de que tu tarjeta es compatible (mira la tabla de más arriba) y de que
tienes instalado el controlador adecuado. También debes descargar peek.dll y peek5.sys y
ponerlos en el mismo directorio que airodump.exe.
El número identificador de la interfaz de red, que debe ser elegido de la lista mostrada por
airodump.
El tipo de interfaz de red ('o' para HermesI y Realtek, 'a' para Aironet y Atheros).
El número de canal, entre 1 y 14. También puedes especificar 0 para altenar entre todos los
canales.
El prefijo de salida. Por ejemplo, si el prefijo es "foo", entonces airodump creará foo.cap
(paquetes capturados) y foo.txt (estadísticas CSV). Si foo.cap existe, airodump continuará la
captura añadiéndole los paquetes.
La opción "sólo IVs". Debe ser 1 si sólamente quieres guardar los IVs de los paquetes de
datos WEP. Esto ahorra espacio, pero el archivo resultante (foo.ivs) sólo será útil para el
crackeo WEP.
Para parar de capturar paquetes presiona Ctrl-C. Puede que te salga una pantalla azul, debido a
un bug en el controlador PEEK por no salir limpiamente de modo monitor. También puede que el
archivo resultante de la captura está vacío. La causa de este bug es desconocida.
Ambas fuentes, de airodump y aireplay son específicas de linux. No hay planes de portarlas a
otros sistemas operativos.
…bravehost.com/aircrack_doc_es.htm 4/12
13/10/2010 documentación aircrack
Antes de ejecutar airodump, debes iniciar el script airmon.sh para listar las interfaces
inalámbricas detectadas.
uso: airodump <interfaz o archivo pcap>
<prefijo de salida> [canal] [opción IVs]
Especifica 0 como canal para oscilar entre los canales de la banda de los 2.4 GHz.
Pasa la opción de los IVs a 1 para guardar sólo los IVs capturados - el archivo
resultante sólo vale para el crackeo WEP.
Puedes convertir un archivo .cap / .dump a formato .ivs con el programa pcap2ivs (linux sólo).
Esto ocurre cuando tu controlador no desecha los paquetes corruptos (los que tienen CRC
inválido). Si es un Centrino b, simplemente no tiene arreglo; ve y compra una tarjeta mejor. Si es
una Prism2, prueba a actualizar el firmware.
airodump mostrará una lista con los puntos de acceso detectados, y también una lista de clientes
conectados o estaciones ("stations"). Aquí hay un ejemplo de una captura de pantalla usando una
tarjeta Prism2 con HostAP:
Field Description
BSSID Dirección MAC del punto de acceso.
Nivel de señal reportado por la tarjeta. Su significado depende del controlador,
PWR pero conforme te acercas al punto de acceso o a la estación la señal aumenta.
Si PWR == -1, el controlador no soporta reportar el nivel de señal.
Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía
Beacons unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que
normalmente pueden ser recogidos desde muy lejos.
Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs),
# Data
incluyendo paquetes de datos de difusión general.
Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se
CH capturan paquetes de datos de otros canales aunque no se esté alternando
entre canales debido a las interferencias de radiofrecuencia.
Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de
MB 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son
802.11g.
Algoritmo de encriptación en uso. OPN = sin encriptación, "WEP?" = WEP o
mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la
ENC
interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están
presentes.
Conocida como "SSID", puede estar vacía si el ocultamiento de SSID está
ESSID activo. En este caso airodump tratará de recuperar el SSID de las respuestas a
escaneos y las peticiones de asociación.
Dirección MAC de cada estación asociada. En la captura de más arriba se han
STATION
detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).
Puedes usar el programa mergecap (parte del paquete ethereal-common o la distribución win32):
mergecap -w out.cap test1.cap test2.cap test3.cap
Bajo Linux, simplemente prepara la tarjeta para modo Monitor con el script airmon.sh. Bajo
Windows, Ethereal NO PUEDE capturar paquetes 802.11 .
…bravehost.com/aircrack_doc_es.htm 5/12
13/10/2010 documentación aircrack
Sí. Ve a Editar -> Preferencias -> Protocolos -> IEEE 802.11, selecciona 1 en la "WEP key count" e
introduce tu clave WEP debajo.
Esta operación sólamente es posible bajo Linux. Por ejemplo, si tienes una tarjeta Atheros:
ifconfig ath0 down
ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up
Puedes especificar múltiples archivos de entrada (tanto en formato .cap como .ivs). También
puedes ejectutar airodump y aircrack al mismo tiempo: aircrack se auto-actualizará cuando haya
nuevos IVs disponibles.
Debes capturar hasta que se produzca un "saludo" (handshake) entre un cliente inalámbrico y el
punto de acceso. Para forzar al cliente a reautenticarse puedes iniciar un ataque de
deautenticación con aireplay. También es necesario un buen diccionario; ver
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/
Para tu información. No es posible pre-computar grandes tablas de Pairwise Master Keys como
hace rainbowcrack, puesto que la contraseña está entremezclada con el ESSID.
Es extremadamente improbable que WPA sea crackeado del modo que lo ha sido WEP.
…bravehost.com/aircrack_doc_es.htm 6/12
13/10/2010 documentación aircrack
El mayor problema de WEP es que la clave compartida está adjunta en el IV; el resultado está
vinculado directamente con el RC4. Esta construcción simple superpuesta es propensa a un
estaque de tipo estadístico, ya que los primeros bytes del texto cifrado están fuertemente
correspondidos con la clave compartida (ver el papel de Andrew Roos). Existen básicamente dos
contramedidas a este ataque: 1. mezclar el IV y la clave compartida usando una función para la
codificación o 2. descartar los primeros 256 bytes de la salida del RC4.
Por ahora, TKIP es razonablemente seguro por sí solo viviendo un tiempo prestado ya
que se apoya en el mismo algoritmo RC4 en el que se apoyó WEP.
Realmente, TKIP (WPA1) no es vulnerable: para cada paquete, el IV de 48-bit está mezclado con
la clave temporal pairwise de 128-bit para crear una clave RC4 de 104-bit, por lo que no hay
ninguna correlación de tipo estadístico . Es más, WPA proporciona contramedidas ante ataques
activos (reinyección de tráfico), incluye un mensaje de integridad de código más fuerte (michael),
y tiene un protocolo de autenticacaión muy robusto ("saludo" de 4 fases). La única vulnerabilidad
a tener en cuenta es el ataque con diccionario, que falla si la contraseña es lo suficientemente
robusta.
WPA2 (aka 802.11i) es exactamente lo mismo que WPA1, excepto que usa CCMP (////AES in
counter mode////) en lugar de RC4 y HMAC-SHA1 en lugar de HMAC-MD5 para el EAPOL MIC. Como
apunte final, WPA2 es un poco mejor que WPA1, pero ninguno de los dos será crackeado en un
futuro cercano.
Posibles motivos:
Mala suerte: necesitas capturar más IVs. normalmente, una WEP de 104-bit puede ser
crackeada con aproximadamente un millón de IVs, aunque a veces se necesitan más IVs.
Si todos los votos (votes) parecen iguales, o si hay muchos votos negativos, entonces el
archivo con la captura está corrupto, o la clave no es estática (¿se está usando EAP/802.1X
?).
Un falso positivo evitó que se obtuviera la clave. Prueba a desactivar cada ataque korek (-k 1
.. 17), sube el nivel de fuerza bruta (-f) o prueba con el ataque inverso experimental único (-
y).
ejemplos:
Puedes usar el programa WZCOOK que recupera las claves WEP de la utilidad de XP Wireless Zero
Configuration. Éste es un software experimental, por lo que puede que funcione y puede que no,
dependiendo del nivel de service pack que tengas.
WZCOOK mostrará el PMK (Pairwise Master Key), un valor de 256-bit que es el resultado de
codificar 8192 veces la contraseña junto con el ESSID y la longitud del ESSID. La contraseña en sí
no se puede recuperar -- de todos modos, basta con conocer el PMK para conectar con una red
inalámbrica protegida mediante WPA con wpa_supplicant (ver el Windows README). Tu archivo de
configuración wpa_supplicant.conf debería quedar así:
network={
ssid="mi_essid"
pmk=5c9597f3c8245907ea71a89d[...]9d39d08e
}
Hasta ahora, aireplay sólo soporta la inyección con Prism2, PrismGT (FullMAC), Atheros, RTL8180 y
Ralink. La inyección con Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell y Broadcom no
está soportada debido a limitaciones en firmware y/o controlador.
…bravehost.com/aircrack_doc_es.htm 7/12
13/10/2010 documentación aircrack
La inyección con Prism2 y Atheros es aún bastante experimental; si tu tarjeta parece colgarse (sin
paquetes capturados o inyectados), desactiva la interfaz, vuelve a cargar los controladores y
reinserta la tarjeta. Considera también actualizar el firmware (si es Prism2).
Todos los controladores deben ser parcheados para de ese modo soportar la inyección en modo
Monitor. Necesitarás las cabeceras linux (linux headers) que coincidan con el kernel que estés
usando; si no, tendrás que descargar las funentes de linux y compilar un kernel personalizado.
Si tienes problemas en lo referido a parcheado y compilación, puede que quieras usar el Troppix
LiveCD, el cuál incluye controladores parcheados para los dispositivos.
Nota 2: el parche 20051008 debería funcionar también con versiones más recientes del CVS
de madwifi.
Nota 4: con el madwifi actual, ya no será necesario ejecutar "iwpriv ath0 mode 2", ya que
el controlador permite la inyección en modo 0 usando la nueva interfaz athXraw.
Ahora es posible establecer el ritmo de transmisión (rate) con madwifi (y también con
rt2570). El valor recomendado es 5.5 Mbps, pero puedes reducirlo o incrementarlo en función
de la distancia a la que se encuentre el AP. Por ejemplo:
iwconfig ath0 rate 24M
Durante los ataques 2, 3 y 4, cambiar el número de paquetes por segundo enviados por
aireplay (opción -x) a veces ayuda a obtener mejores resultados; el predeterminado es 500
pps.
cd /usr/src
wget http://100h.org/wlan/linux/prismgt/prism54-svn-20050724.tgz
wget http://100h.org/wlan/linux/patches/prism54-svn-20050724.patch
tar -xvzf prism54-svn-20050724.tgz
cd prism54-svn-20050724
patch -Np1 -i ../prism54-svn-20050724.patch
make modules && make install
wget http://100h.org/wlan/linux/prismgt/1.0.4.3.arm
mkdir -p /usr/lib/hotplug/firmware
mkdir -p /lib/firmware
cp 1.0.4.3.arm /usr/lib/hotplug/firmware/isl3890
mv 1.0.4.3.arm /lib/firmware/isl3890
…bravehost.com/aircrack_doc_es.htm 8/12
13/10/2010 documentación aircrack
depmod -a
cd /usr/src
wget http://100h.org/wlan/linux/prism2/hostap-controlador-0.4.5.tar.gz
wget http://100h.org/wlan/linux/patches/hostap-controlador-0.3.9.patch
tar -xvzf hostap-controlador-0.4.5.tar.gz
cd hostap-controlador-0.4.5
patch -Np1 -i ../hostap-controlador-0.3.9.patch
make && make install
mv -f /etc/pcmcia/wlan-ng.conf /etc/pcmcia/wlan-ng.conf~
/etc/init.d/pcmcia start
modprobe hostap_pci &>/dev/null
cd /usr/src
wget http://100h.org/wlan/linux/prism2/wlanng-0.2.1-pre26.tar.gz
wget http://100h.org/wlan/linux/patches/wlanng-0.2.1-pre26.patch
tar -xvzf wlanng-0.2.1-pre26.tar.gz
cd wlanng-0.2.1-pre26
patch -Np1 -i ../wlanng-0.2.1-pre26.patch
make config && make all && make install
mv /etc/pcmcia/hostap_cs.conf /etc/pcmcia/hostap_cs.conf~
/etc/init.d/pcmcia start
modprobe prism2_pci &>/dev/null
cd /usr/src
wget http://100h.org/wlan/linux/rtl8180/rtl8180-0.21.tar.gz
wget http://100h.org/wlan/linux/patches/rtl8180-0.21.patch
tar -xvzf rtl8180-0.21.tar.gz
cd rtl8180-0.21
patch -Np1 -i ../rtl8180-0.21.patch
make && make install
depmod -a
modprobe r8180
cd /usr/src
wget http://100h.org/wlan/linux/ralink/rt2500-cvs-20051112.tgz
tar -xvzf rt2500-cvs-20051112.tgz
cd rt2500-cvs-20051112
cd Module
make && make install
modprobe rt2500
Asegúrate de cargar el controlador con modprobe (no insmod) y de poner la tarjeta en modo
Monitor antes de levantar la interfaz.
…bravehost.com/aircrack_doc_es.htm 9/12
13/10/2010 documentación aircrack
cd /usr/src
wget http://100h.org/wlan/linux/ralink/rt2570-cvs-20051112.tgz
tar -xvzf rt2570-cvs-20051112.tgz
cd rt2570-cvs-20051112
cd Module
make && make install
modprobe rt2570
El controlador no compila.
Esto normalmente ocurre cuando las cabeceras no coinciden con el kernel que estás usando. En
esta situación simplemente recompila un kernel nuevo, instálalo y reinicia. Luego, prueba otra vez
a compilar el controlador.
Ver este HOWTO para más detalles sobre cómo compilar el kernel.
Si recibes el mensaje "ioctl(SIOCGIFINDEX) failed: No such device ", revisa que el nombre
de tu dispositivo es correcto y que no has olvidado un parámetro en la línea de comandos.
En los siguientes ejemplos, 00:13:10:30:24:9C es la dirección MAC del punto de acceso (en el
canal 6), y 00:09:5B:EB:C5:2B es la dirección MAC de un cliente inalámbrico.
Ataque 0: deautenticación
Este ataque es probablemente el más útil para recuperar un ESSID oculto (no difundido) y
para capturar "saludos" WPA forzando a los clientes a reautenticarse. También puede ser
usado para generar peticiones ARP en tanto que los clientes Windows a veces vacían su
cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible
si no hay clientes asociados.
Normalmente es más efectivo fijar como blanco una estación específica usando el
parámetro -c.
Algunos ejemplos:
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección
MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta
dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación
WEP "chopchop"). Es mejor preparar la tarjeta con la MAC usada (abajo, 00:11:22:33:44:55)
de modo que el controlador envíe ACKs de forma adecuada.
De todos modos si este ataque falla y hay ya un cliente asociado, es más efectivo usar
simplemente su dirección MAC (aquí, 00:09:5B:EB:C5:2B) para los ataques 3 y 4.
ifconfig ath0 down
ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up
…bravehost.com/aircrack_doc_es.htm 10/12
13/10/2010 documentación aircrack
Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en
modo Infraestructura (la clave WEP en sí misma no importa, en tanto que el AP acepte
autenticación abierta). Por lo que, en lugar de usar el ataque 1, puedes sólo asociarte e
inyectar / monitorizar a través de la interfaz athXraw:
ifconfig ath0 down hw ether 00:11:22:33:44:55
iwconfig ath0 mode Managed essid "el ssid" key AAAAAAAAAA
ifconfig ath0 up
sysctl -w dev.ath0.rawdev=1
ifconfig ath0raw up
airodump ath0raw out 6
Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet,
ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador.
Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona
resultados más efectivos que el ataque 3 (reinyección automática de ARP).
Podrías usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cuál
sólo funciona si el AP realmente reencripta los paquetes de datos WEP:
aireplay -2 -b 00:13:10:30:24:9C -n 100 -p 0841 \
-h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0
También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP
encriptacas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema
operativo):
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \
-m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0
El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs,
y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente asociado
(00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede
que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición
ARP; este ataque fallará si no hay tráfico.
Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior
usando el interruptor -r .
aireplay -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...
…bravehost.com/aircrack_doc_es.htm 11/12
13/10/2010 documentación aircrack
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la
clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí
misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los
puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer
vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al
menos un paquete de datos WEP.
Finalmente, me gustaría agradecer a la mucha, mucha gente que han contribuído con
aircrack... vosotros sabéis quiénes sois :-)
Report Content · Report Problem Ad · Web Hosting · Blog · Guestbooks · Message Forums · Mailing Lists
Easiest Website Builder ever!· Build your own toolbar · Free Talking Character · Email Marketing
powered by bravenet.com
…bravehost.com/aircrack_doc_es.htm 12/12