Тема: Wardriving: Взлом WEP
Показать сообщение отдельно

  #4  
Старый 13.01.2007, 22:50
m0le[x]
Познавший АНТИЧАТ
Регистрация: 25.10.2006
Сообщений: 1,375
Провел на форуме:
7006470

Репутация: 1769


Отправить сообщение для m0le[x] с помощью ICQ
По умолчанию
Часть4

Деаутентификация при помощи Void11

Как показывает практика, счётчик векторов инициализации при обычной работе сети растёт не так быстро, как этого хотелось бы. При такой скорости может потребоваться несколько часов или даже дней для сбора достаточного количества данных. К счастью, в нашем распоряжении есть инструменты для ускорения этого процесса.

Самый простой способ увеличения количества нужных нам пакетов - загрузить атакуемую сеть. Добиться этого можно, например, скачиванием большого файла на атакуемом компьютере. На компьютере "Auditor-A" обратите внимание на счётчик векторов инициализации без трафика, после чего на атакуемом компьютере запустите копирование большого файла по беспроводной сети.

Можно сделать и иначе: путём непрерывных ping-запросов. В Windows для этого нужно в командной строке выполнить следующую команду:

ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT

где "ADDRESS_OF_ANOTHER_LAN_CLIENT" нужно заменить IP-адресом точки доступа, маршрутизатора или другого клиента в сети.

Благодаря любому из этих методов счётчик векторов инициализации будет расти существенно быстрее. Однако для ускорения счётчика мы использовали прямой доступ к сети, так что подобный способ хорош только для иллюстрации следующего факта: чем больше в сети трафика, тем больше векторов инициализации. Для реальных же условий нужен метод, который позволит генерировать трафик, имея только полученную при помощи Kismet информацию.

Здесь нам поможет Void11. Void11 используется для деаутентификации беспроводных клиентов от точки доступа, другим словами, для отключения клиентов от точки доступа. После такого отключения беспроводной клиент будет автоматически пытаться подключиться к точке доступа (повторить ассоциацию). При каждом повторном подключении будет создаваться трафик. Такую атаку часто называют атакой деаутентификации, атакой отключения или "deauth attack".

Ниже представлена соответствующая иллюстрация.


Рис. 26. Используем Void11.

Здесь на помощь приходит второй ноутбук "Auditor-B". Он также запускается с установленным беспроводным адаптером, через загрузку CD Auditor. После запуска Auditor вызываем оболочку и в ней выполняем следующие команды:


Запуск Void11 - атака деаутентификации
switch-to-hostap
cardctl eject
cardctl insert
iwconfig wlan0 channel THECHANNELNUM
iwpriv wlan0 hostapd 1
iwconfig wlan0 mode master
void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0

Примечание. Вместо THECHANNELNUM нужно указать номер канала атакуемой сети, вместо MACOFSTATION и MACOFAP - MAC-адреса клиента и точки доступа.

void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29 wlan0

Совет. Во время работы Void11 может появиться ошибка invalid argument error. О ней не следует беспокоиться, поскольку Void11 всё же работает, позже мы это увидим.

Как происходит деаутентификация?

Во время работы Void11 на "Auditor-B" посмотрим, что происходит на атакуемом клиенте. При атаке на компьютере-жертве внезапно появляются "тормоза", затем сеть полностью "зависает". Через несколько секунд после этого атакуемый компьютер полностью отключается от сети.

Для того чтобы увидеть весь процесс вживую, можно запустить ping с атакуемого компьютера на точку доступа. На Рис. 27 и 28 показаны скриншоты до и во время атаки.


Рис. 27. Успешные команды ping до атаки Void11.

На Рис. 28 показано, что ping не будет получать эхо-ответов, когда работает Void11. Если остановить Void11 на "Auditor-B" (Control-C), то эхо-ответы через несколько секунд возобновятся.




Рис. 28. Команды ping "умирают" после запуска Void11.

Кроме того, можно взглянуть на окно клиентской утилиты, в котором обычно отображается статус подключения. На Рис. 29 и 30 показана встроенная в Windows ХP клиентская утилита. До начала атаки Void11 всё находится в норме, Windows показывает, что клиент подключён к точке доступа (Рис. 29).


Рис. 29. Мы подключёны к сети.

После запуска Void11 статус подключения изменится на "отключёно" (Рис. 30). Через несколько секунд после остановки Void11 на "Auditor-B" атакуемый компьютер переподключится к точке доступа.


Рис. 30. А теперь - уже нет.

Вернёмся к ноутбуку "Auditor-A", который всё это время занимался перехватом пакетов (Airodump). При работе Void11 счётчик векторов инициализации Airodump за несколько секунд должен увеличивать свои показания на 100-200. Это происходит благодаря трафику, генерируемому атакуемым клиентом при постоянных попытках подключиться к точке доступа.



Подмена пакетов с использованием Aireplay

Хотя объём трафика при атаке деаутентификации увеличивается, этого всё же недостаточно для того, чтобы заметно ускорить процесс сбора векторов инициализации IV. Кстати, это достаточно грубый метод, который может серьёзно помешать работе беспроводных сетей. Для более эффективной генерации трафика нужно использовать другой подход под названием replay attack.

Для осуществления атаки нужно перехватить нормальный пакет, высланный атакуемым клиентом, а затем постоянно передавать его (подменив атакуемого клиента нашим ноутбуком), причём чаще, чем обычно. Поскольку точка доступа не подозревает подмены (ей кажется, что пакет идёт от авторизованного клиента), то такая атака не мешает нормальной работе сети и, в то же время, позволяет, "не светясь", быстро набрать нужное количество векторов инициализации.

Теперь давайте прикинем план действий. Нам нужно перехватить пакет, переданный в результате атаки деаутентификации Void11, остановить эту атаку, а затем начать другую атаку, подменяя и передавая перехваченный пакет. Для последней атаки прекрасно подходят пакеты протокола разрешения адресов (Address Resolution Protocol, ARP), поскольку они достаточно малы (68 байт), имеют фиксированный и легко распознаваемый формат и передаются при каждой попытке переподключения.


Рис. 31. Настройка Aireplay.

Начнём атаку "с нуля" - перезагрузим "Auditor-A" и "Auditor-B". На Рис. 32 показаны их роли. Отметим, что на "Auditor-A" работает только Aireplay, то есть компьютер используется исключительно для стимулирования трафика (IV), для ускорения процесса взлома WEP. "Auditor-B" используется для атаки деаутентификации (Void11) и для перехвата трафика (Airodump), кроме того, на нём же происходит и анализ перехваченного трафика с помощью Aircrack, к которому мы вскоре вернёмся.


Рис. 32. Конфигурация для взлома WEP.

Сначала запустим Aireplay. Для этого на "Auditor-A" откроем командную строку (shell) и выполним следующее.


Команды для настройки Aireplay на обнаружение ARP-пакетов
switch-to-wlanng
cardctl eject
cardctl insert
monitor.wlan wlan0 THECHANNELNUM
cd /ramdisk
aireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff

Примечания.
switch-to-wlanng и monitor.wlan - стандартные скрипты, которые идут в комплекте Auditor CD для упрощения ввода команд.
Вместо THECHANNELNUM нужно использовать номер канала атакуемой сети.

Сначала вы не заметите ничего особенного: Aireplay начнёт обнаруживать пакеты, но нужных нам будет немного, так как мы задали фильтр (пакеты размером 68 байт с MAC-адресом назначения FF:FF:FF:FF:FF:FF - широковещательные).

На атакуемом клиенте для наглядности запустим клиентскую утилиту WLAN, чтобы было видно состояние подключения. На "Auditor-B" запустим атаку деаутентификации Void11, как это описывалось ранее. После запуска Void11 вы увидите, как атакуемый клиент отключится от точки доступа. Также вы заметите, что количество нужных пакетов в Aireplay станет быстрее увеличиваться.

На каком-то этапе Aireplay отобразит перехваченный пакет и предложит начать его подмену и повторную передачу (Рис. 33).


Рис. 33. Aireplay взял нужный пакет.

Для атаки нужен пакет, удовлетворяющий следующим критериям (они также показаны на Рис. 33):
FromDS - 0;
ToDS - 1;
BSSID - MAC-адрес атакуемой точки доступа;
Source MAC - MAC-адрес атакуемого компьютера;
Destination MAC - FF:FF:FF:FF:FF:FF.

Нажмите "n" (no) если пакет не удовлетворяет этим требованиям, тогда Aireplay продолжит работу. Когда необходимый пакет будет перехвачен, нужно нажать "y" (yes), чтобы Aireplay переключилась в режим передачи. Сразу после этого остановите на Auditor-B атаку деаутентификации Void11.

Советы.
--Перехват нужного пакета во время атаки деаутентификации может оказаться самой нетривиальной частью всего процесса взлома WEP. Как мы уже говорили, хотя при атаке деаутентификации количество трафика увеличивается, его всё равно мало из-за задержек. У клиента уходит определённое время на то, чтобы обнаружить отключение от точки доступа, и ещё больше времени - на повторный процесс подключения.
--Перехват может быть осложнён тем, что разные адаптеры, драйверы и операционные системы дают разные задержки. Void11 может легко "завалить" клиента пакетами деаутентификации так, что клиент не будет успевать завершать переподключение и передать нужный нам пакет.
--Иногда удача приходит с первым захваченным пакетом. Но в ряде случаев приходится долго ждать.
--Если Aireplay так и не отобразит ни одного нужного пакета среди нескольких тысяч перехваченных, возможно, Void11 "завалил" клиента пакетами, не давая времени на переподключение. Нужно попробовать остановить Void11 вручную ("control-C") и запустить снова. Можно попробовать добавить к строке запуска Void11 параметр -d (и задержку в миллисекундах) и поэкспериментировать с различными его значениями, чтобы клиент успевал переподключиться. Следует учесть, что некоторые клиенты WLAN после атаки деаутентификации "повисают", и им может потребоваться перезагрузка!
--Проблемы с перехватом пакетов ARP при атаке деаутентификации могут возникнуть и в том случае, если атакуемый клиент не проявляет активности. Конечно, такое вряд ли произойдёт в реальной сети, но вполне может затруднить атаку в нашей тестовой конфигурации. Если Aireplay не видит нужных пакетов, то запустите на атакуемом компьютере бесконечный запрос ping или начните копировать по сети какой-нибудь большой файл.
--И, наконец, если у вас никак не получается заставить Void11 работать, то для тестирования Aireplay можно применить небольшую хитрость. Пусть Aireplay продолжает работать на "Auditor-A", в это время нужно остановить Void11 на "Auditor-B". Затем вручную отключите компьютер-жертву от беспроводной сети. Для этого можно как воспользоваться утилитой WLAN, так и выключить компьютер вообще. Затем заново подключитесь к сети (или включите компьютер, если вы его выключили). Примерно в течение тридцати секунд после этого "Auditor-A" должен перехватить ARP-пакет от компьютера-жертвы, который подключается к беспроводной сети и запрашивает IP-адрес