Переходим к практике

На этом этапе вам уже известны основные подходы к взлому WEP, а также есть настроенная сеть для проведения экспериментов и атакующие системы - для перехвата и для взлома. Также мы показали, что такое Auditor и Kismet, и как ими пользоваться для поиска беспроводных сетей.

Ниже мы опишем, как использовать средства Auditor CD для перехвата трафика и взлома ключей шифрования WEP. Также мы рассмотрим, как выполнить атаки деаутентификации и повторения пакетов для увеличения беспроводного трафика, что позволяет сократить время на сбор необходимого для взлома WEP количества пакетов.

Но сначала остановимся на нескольких моментах, знание которых позволит сэкономить время и усилия читателей.
Как мы уже ранее упоминали, для взлома необходимы знания основ сетевых технологий.
Следует использовать только рекомендуемое оборудование (указанное выше).
Предполагается, что к беспроводной точке доступа подключён хотя бы один клиент, если клиентов нет, то ничего не удастся.
Мы использовали версию Auditor, выпущенную в апреле 2005. В других версиях могут быть отличия. Кроме того, некоторые из команд, характерны только для скриптов Auditor, но не для дистрибутивов Linux (это можно исправить).
Доступ к чужим сетям без разрешения владельца сети незаконен! Tom's Hardware Guide и автор не несут ответственности за незаконное использование этого материала!

Отметим, что для взлома WEP можно обойтись и одним компьютером. Мы решили использовать два для того, чтобы более наглядно показать процесс и избежать сложностей, которые возникают при использовании только одного компьютера.


Мы использовали четыре основных инструмента: Airodump, Void11, Aireplay и Aircrack, которые можно найти на диске Auditor Security Collection.
Airodump перехватывает и сохраняет пакеты беспроводной сети.
Void11 деаутентифицирует компьютеры от точки доступа, провоцируя тем самым переподключение и запрос ARP.
Aireplay перехватывает пакет ARP и посылает его на точку доступа от своего имени так, что точка доступа принимает его за пакет от разрешённого клиента.
И, наконец, Aircrack обрабатывает файлы с перехваченными airodump-пакетами и получает ключ WEP.

Сканирование при помощи Kismet (выше) дало необходимую информацию, которую стоило записать:
MAC-адрес точки доступа;
MAC-адрес атакуемого компьютера;
использование WEP;
используемый частотный канал.

Ниже мы будем называть наши компьютеры "Auditor-А" и "Auditor-В", а атакуемый компьютер - "жертва". Приступим.

Подготовка к атаке

На практике взлому беспроводной сети обычно предшествует сбор необходимой информации о ней (MAC-адреса точки доступа и компьютера, а также частотный канал). На самом деле, если вы ничего не знаете об атакуемой сети, то такую атаку можно назвать атакой вслепую, в противном случае атака будет подготовленной, но не такой интересной. Мы предположим, что ничего не знаем об атакуемой сети, и опишем, как получить необходимую информацию.

Определение MAC-адреса точки доступа при помощи Kismet


Рис. 21. Работаем с Kismet.

Определить MAC-адрес точки доступа проще простого, для этого можно воспользоваться как Kismet, так и Netstumbler. Запускаем "Auditor-A" с установленным заранее беспроводным адаптером и диском Auditor. Находим и запускаем Kismet, как это сделать, мы показывали ранее, и наблюдаем список точек доступа. Нажимаем "s", затем "c", чтобы отсортировать точки доступа по каналу, затем, используя клавиши управления курсором, перемещаем выделенную строку к необходимой точке доступа, выбрав соответствующий SSID. После этого нажимаем клавишу "Enter". Утилита выдаст подробную информацию (Рис. 22), где можно будет найти SSID точки доступа, MAC-адрес и частотный канал. Готово! От атаки вслепую перешли к атаке с наличием всей необходимой для начала взлома WEP информации.


Рис. 22. Kismet с лёгкостью нашёл SSID, канал и MAC-адрес.

Совет. Некоторые "профессионалы по безопасности" предлагают скрывать SSID, другими словами, отключать широковещание SSID. Такой трюк поможет от сканирования при помощи Netstumbler, но Kismet легко определяет даже "скрытые" SSID. Kismet перехватывает больше информации, чем Netstumbler, что позволяет ему определить SSID точки доступа из трафика между точкой доступа и клиентами.

Находим MAC-адрес клиента

Чтобы приступить к взлому WEP, осталось узнать только MAC-адрес беспроводного клиента, подключённого к точке доступа взламываемой сети. Вернёмся в Kismet и нажмём на клавишу "q", чтобы выйти из детализованного меню. Выбираем нужную точку доступа (скорее всего, она уже выбрана). Нажимаем "shift-C" и видим список клиентов. MAC-адреса указаны в левой части экрана (Рис. 23).


Рис. 23. MAC-адрес клиента, найденный Kismet.

Если MAC-адреса "жертвы" нет, возможно, компьютер выключен или не подключён к точке доступа (нужно включить компьютер, загрузить Windows, подключиться к точке доступа и обратиться к сети). Примерно через 10-30 секунд Kismet отобразит его MAC-адрес. Предусмотрительные хакеры, вероятно, запишут MAC-адреса всех клиентов, чтобы не повторять сканирование сети, если выбранного клиента нет, а начинать непосредственно взлом WEP.

Захват пакетов с помощью Airodump


Рис. 24. Используем Airodump.

Несмотря на то, что скорость работы Aircrack выше всяких похвал, для взлома WEP-ключа всё равно потребуется достаточно много "интересных" пакетов. Как мы уже упоминали ранее, перехватом пакетов занимается Airodump, который записывает все перехваченные пакеты в файл для дальнейшего разбора Aircrack. Посмотрим весь процесс поближе.

Можно использовать любой из компьютеров, мы будем работать с "Auditor-A". Открываем оболочку и выполняем следующие команды:


Запуск Airodump
iwconfig wlan0 mode monitor
iwconfig wlan0 channel THECHANNELNUM
cd /ramdisk
airodump wlan0 cap

Примечания.
THECHANNELNUM нужно заменить на номер канала атакуемой сети.
/ramdisk - каталог, в котором будет храниться перехваченный трафик.

Если в зоне тестирования присутствуют несколько точек доступа, то можно ограничить запись трафика по MAC-адресу атакуемой точки доступа, для этого нужно в конце строки запуска Airodump добавить MAC-адрес, примерно так, как показано ниже:

airodump wlan0 cap1 MACADDRESSOFAP

Такая команда ограничит записываемый трафик по указанному МАС-адресу точки доступа.

Для завершения работы Airodump достаточно нажать "Control-C". Команда "ls -l" отображает содержимое каталога. Обращать внимание следует на размер файлов с расширением ".cap", в которых сохраняются перехваченные пакеты. Если всё прошло должным образом, то уже после нескольких секунд работы размер этих файлов должен составлять несколько килобайт. Отметим, что при повторном запуске Airodump с теми же параметрами, новые данные будут добавляться к старым. Следует задуматься о разных именах файлов, например, cap1, cap2 и так далее.

[COLOR=RoyalBlue][B][SIZE=2]Сбор IV (векторов инициализации) при помощи Airodump


Рис. 25. Счётчик IV будет увеличиваться.

Во время работы Airodump MAC-адрес атакуемой точки доступа будет отображаться в левой колонке под заголовком BSSID. Значения количества пакетов (Packet count) и векторов инициализации (IV count) в это время будет расти. Это происходит даже в незагруженной сети Windows. Таким образом, количество векторов инициализации будет постепенно увеличиваться. Если во время сканирования на атакуемом компьютере попробовать, например, просматривать web-страницы, то можно будет заметить, что при передаче данных счётчик векторов инициализации достаточно быстро ускоряется.

На самом деле показания счётчика пакетов нам вовсе не интересны, поскольку это никак не связано со взломом WEP - большинство пакетов являются объявлениями точки доступа. (Большинство точек доступа передают такие пакеты с частотой порядка 10 пакетов/с по умолчанию, это можно увидеть по счётчику Airodump). Гораздо интереснее показания счётчика IV, поскольку для успешного взлома WEP с длиной ключа 64 бита потребуется от 50 000 до 200 000 векторов инициализации, а для успешного взлома 128-битного WEP - от 200 000 до 700 000!