En esta entrada voy a mostrar cómo sacar la clave de redes inalámbricas con seguridad wep y cifrado wep (Wired Equivalent Privacy), recuerden que es solo con fines educativos (ja!) y es responsabilidad de cada quien haga uso correcto de la información en esta página. También es posible sacar la clave de redes con seguridad wpa y wpa2, espero publicarlo después, pero en este hilo me enfocaré exclusivamente a las redes inalámbricas con seguridad wep y cifrado wep (la mayoría de las Infinitum y algunas de Cablevisión por ejemplo, me encuentro en México y estos son algunos provedores de internet y otros servicios); más adelante explicaré como saber el tipo de seguridad. Por cierto esto no es hackear, hackear (y un hacker) es otra cosa, aqui les dejo el link donde esta explicado detalladamente.
El ataque lo podemos resumir con palabras normales y simples en 3 pasos, pero obviamente de cada paso salen más y algunas variantes, pero básicamente seria:
1.- Capturar paquetes de la red que queremos obtener la clave
2.- Inyectar paquetes para que el ataque sea rápido y viable(de lo contrario nos tardaríamos meses)
3.- Sacar la clave de los paquetes obtenidos
Para empezar hay que hacer una gran observación respecto a Windows, es importante darse cuenta de que en este momento, Windows sólo se puede utilizar para escuchar el tráfico de red.
Windows no puede inyectar paquetes de datos. Esta es una limitación fundamental, por lo tanto no es viable hacerlo con Windows.
Pero hay una solución si tenemos Windows, borrar el disco completo y ponerle alguna distribución de Linux, jojo no es cierto, yo también utilizo Windows para algunas cosas, también publicaré algo relacionado respecto a las ventajas y desventajas de Linux vs Windows desde un punto de vista de "usuario de escritorio" o "usuario normal", y no la que estamos acostumbrados a escuchar desde el punto de vista de programadores, desarrolladores y usuarios avanzados, que son los que generalmente utilizamos Linux y para nosotros nos parece suficiente tener una terminal para escribir comandos sin interfaz gráfica, pero no toda la gente es así.
Bueno la solución es bajar alguna distribución y correrla en modo live , recomiendo Linux mint o Ubuntu, ya que son distribuciones amigables, y además son las distribuciones con mayor número de usuarios, así que es más fácil encontrar ayuda; también hay distribuciones que ya vienen con la suite de aircrack instalada (es el paquete que usaremos) e incluso con más herramientas para auditoria de redes inalámbricas como por ejemplo la distribución Backtrack.
La mayoría de los Linux vienen para poder correrlos en modo live, esto es correr el sistema operativo sin instalarlo de manera nativa, es decir no le va a pasar nada Windows ni al equipo una vez que saques el disco o pendrive de Linux, esto es para que puedas probarlo y si te gusta lo instales de manera nativa (en el disco duro en una partición) incluso junto con Windows o cualquier otro sistema operativo sin borrarte nada y también dejándote un menú de arranque para escoger con que sistema operativo quieres trabajar.
Regresando al tema: todos los comandos que aquí se describen deben de ser ejecutados como superusuario(root), para hacer esto abrimos una terminal y escribimos
su
lo cual nos pedirá nuestra contraseña, si estas usando una versión live, puedes inventar la contraseña.
Bueno lo primero que tenemos que hacer es instalar la suite de aircrack y macchanger (hay que tener conexión a internet para instalar los paquetes o usar una distribución que ya los traiga como Backtrack o Wifislax).
apt-get install aircrack-ng macchanger
Una vez instalados ya no es necesario tener internet en ningún momento para analizar la seguridad de cualquier red.
macchanger es para cambiar la dirección mac de tu tarjeta de red por una falsa. La dirección MAC (Media Access Control) es un identificador de 6 bytes único . Los primeros 3 bytes indican el fabricante y los últimos 3 nos indican el número de serie, se supone que una dirección mac es única en el mundo, entonces cambiaremos nuestra dirección por razones de seguridad, obviamente si la clave de la red es la de algún vecino pues no importa, ni siquiera se va a enterar, pero puede que estemos obteniendo la clave algún lugar más comprometedor como una empresa o institución, (con fines educativos :P).
También se puede cambiar la dirección mac sin instalar el paquete macchanger, con el comando:
ifconfig [interfaz] hw ether xx:xx:xx:xx:xx:xx
pero recomiendo instalar el paquete macchanger por razones de comodidad.
Para continuar tenemos que desactivar el asistente de conexiones inalámbricas, haciendo click derecho sobre el icono de la conexion.
Podemos hacer el ataque incluso conectados a internet pero entorpece la inyección de paquetes y tambien se entorpece nuestra conexion, así que mejor desactivamos el asistente. Lo que podemos hacer es estar conectados por cable sin problemas y tambien sin internet por supuesto.
Para poder empezar a escanear las redes inalámbricas a nuestro alrededor, primero debemos poner nuestra tarjeta en modo monitor:
airmon-ng start [interfaz]
airmon-ng es un paquete de la suite de aircrack, de aquí en adelante todo lo que termine en "-ng" es parte de los paquetes de aircrack. Interfaz es el nombre de la interfaz de red, (para algunos no es obvio), y si no sabemos cuál es la obtenemos con el comando.
iwconfig
se nos despliega una lista de interfaces y la inalámbrica es la que tiene datos, la otras interfaces dirán "no wireless extensions", generalmente es wlan0 como en mi caso pero puede haber variantes.
Entonces con airmon hemos puesto nuestra tarjeta de red en modo monitor (escuchar el tráfico aéreo) y nos crea una interface llamada mon0, de aquí en adelante usaremos esta interfaz (mon0).
Pero antes de proseguir, vamos a cambiar nuestra dirección MAC por una falsa, para esto primero tenemos que dar de baja nuestra interfaz:
ifconfig mon0 down
Una vez dada de baja la cambiamos con el comando:
macchanger -m [nueva dirección MAC] [interfaz]
por ejemplo:
macchanger -m 00:11:22:33:44:55 mon0
Siempre escojo esta dirección por razones de comodidad, pero podemos inventar la que sea (obviamente valida en formato hexadecimal).
Ahora vamos a escanear las redes que tenemos a nuestro alrededor con el paquete airodump (no es necesario dar de alta mon0 ya que airodump lo hace ).
airodump-ng mon0
Con esto se nos despliegan todas las redes que están a nuestro alcance y con todas las características necesarias, ahora explicare que significan cada uno de los campos.
BSSID: Dirección física del AP(Access Point), o sea la dirección mac del modem o router.
PWR: Es el nivel de señal, cuanto mayor sea el PWR más cerca estaremos del AP o del cliente.
Si el PWR es -1 para algunos clientes (stations) es porque los paquetes proceden del AP hacia el cliente pero las transmisiones del cliente se encuentran fuera del rango de cobertura de tu tarjeta. Lo que significa que solo escuchas la mitad de la comunicación. Si todos los clientes tienen PWR -1 significa que el driver no tiene la capacidad de detectar el nivel de señal.
RXQ: Calidad de recepción calculada a través del porcentaje de paquetes recibidos correctamente en los últimos 10 segundos.
Beacons: Número de paquetes anuncio enviados por el AP, este tipo de paquetes no tiene mucha importancia pero es un buen punto de referencia para ver si te está llegando buena señal del AP, si es así deben de incrementarse constantemente.
#Data: Número de paquetes de datos capturados (si tiene clave WEP, equivale también al número de IVs), incluyendo paquetes de datos broadcast (dirigidos a todos los clientes). Estos son los paquetes más importantes ya que de aquí obtendremos la clave.
#/s: Número de paquetes de datos(#Data) capturados por segundo calculando la media de los últimos 10 segundos.
CH: Número de canal (obtenido de los “paquetes anuncio” o beacons).
MB: Velocidad máxima soportada por el AP.
ENC: Algoritmo de encriptación que se usa. OPN = no existe encriptación (abierta),”WEP?” = WEP u otra (no se han capturado suficientes paquetes de datos para saber si es WEP o WPA/WPA2), WEP (sin el interrogante) indica WEP estática o dinámica, y WPA o WPA2 en el caso de que se use TKIP o CCMP.
CIPHER: Detector de cifrado, puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104.
AUTH:El protocolo de autenticación usado. Puede ser MGT, PSK (clave pre compartida), o OPN (abierta).
ESSID: También llamado “SSID”, es el nombre de la red, que puede estar en blanco si la ocultación del SSID está activada en el AP. Es En este caso, airodump-ng intentará averiguar el SSID analizando paquetes “probe responses” y “association requests” (son paquetes enviados desde un cliente al AP).
STATION: Dirección MAC de cada cliente asociado, es decir la dirección mac de las computadoras de otras personas que están conectadas a una red.
Lost:El número de paquetes perdidos en los últimos 10 segundos
Packets: El número de paquetes de datos enviados por el cliente.
Probes: El nombre de las redes a las cuales ha intentado conectarse el cliente.
En este punto es hora de hacer la prueba más importante, el de inyección de paquetes. Para hacer esto abrimos otra terminal y sin cerrar la primera(la que esta capturando paquetes con airodump) nos logueamos como superusuario y escribimos:
aireplay-ng -9 mon0
La prueba determina si la inyección de tu tarjeta tiene éxito con un mensaje de "injection is working!" y determina los tiempos de ping de respuesta al Punto de Acceso (AP). La prueba básica de inyección proporciona una valiosa información. En primer lugar, las listas de puntos de acceso en la zona que responden a las sondas de emisión. En segundo lugar, para cada uno, lo hace con 30 paquetes de prueba que indica la calidad de la conexión. Esta calidad de la conexión cuantifica la capacidad de tu tarjeta para enviar correctamente paquetes y luego recibir una respuesta al paquete de prueba. El porcentaje de respuestas recibidas también nos da una idea de la calidad del enlace.
Nota: el mensaje de "injection is working!" no necesariamente tiene que salir al principio.
Si no podemos inyectar tráfico (no aparece el mensaje de "injection is working!") simplemente no podremos hacer el ataque. Una vez que hemos comprobado que nuestra tarjeta puede inyectar tráfico, lo siguiente que debemos hacer es decidirnos por una red para atacar; las características deben ser: una red con encriptación wep, cifrado wep y que estemos recibiendo beacons constantemente (obviamente ver estos datos en la terminal que esta trabajando con airodump).
Ya que nos hemos decidido por una, tendremos que hacer que airodump deje de monitorear todo tráfico aéreo ( ctrl + c ) y enfocarnos solo en escuchar una red para guardar los paquetes que capturemos en un archivo y así después obtener la clave. Esto lo hacemos con: (en la misma terminal que esta trabajando con airodump):
airodump-ng -w [nombre del archivo sin extensión] --bssid [dirección mac del AP ] -c [canal(CH)] [interfaz]
un ejemplo es:
airodump-ng -w INFINITUM0335 --bssid 00:21:7c:67:53:e1 -c 4 mon0
En algunos casos también estaremos recibiendo paquetes de datos (#Data) que es el objetivo principal ya con estos sacaremos la clave, en ocasiones hay clientes conectados al AP y alcanzamos a escuchar los paquetes de datos que transmiten, o incluso a veces sin clientes alcanzamos a escuchar algunos paquetes dependiendo del AP, pero si quisiéramos esperar a que se juntaran suficientes paquetes para descifrar la clave solo escuchando tráfico necesitaríamos 250 000 paquetes de datos mínimo para una clave 64 bits y más de 1 000 000 para una clave de 128 bits, y con esto nos tardaríamos meses en descifrar la clave por lo que no es viable estar solo escuchando el tráfico, tendremos que acelerar el proceso inyectando tráfico.
A partir de este momento empiezan las variantes y problemas porque no todos los AP reaccionan igual.
Abrimos otra terminal y nos logueamos como super usuario(root) sin cerrar la primera que es la que esta capturando los paquetes con airodump.
Primero tendremos que hacer una autenticación falsa con el AP:
aireplay-ng -1 0 -e [nombre de la red] -a [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
un ejemplo es:
aireplay-ng -1 0 -e INFINITUM0335 -a 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
el -1 es el tipo de ataque, en este caso para mandar la autenticación falsa, y con el 0 le decimos que solo se repita una vez.
No podemos proseguir hasta que nos haya salido "Association succesful :-)", por experiencia, a veces hay AP rebeldes que no aceptan la autenticación a la primera, así que hay que estar intentando varias veces, u a veces otra opción es que haya un cliente conectado (station) y cambiar nuestra dirección mac por la de ese cliente.
Una vez que nos hemos autenticado vemos que en la otra terminal (en la que estamos capturando paquetes con airodump)en el campo de AUTH nos aparece OPN de open, entonces es hora de empezar a inyectar tráfico .
Lo hacemos de la siguiente manera:
aireplay -3 -b [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
el ejemplo es:
aireplay-ng -3 -b 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
El -3 es el tipo de ataque, en este caso es inyectar tráfico para hacer que el AP nos conteste de con ARPs (Address Resolution Protocol) y así incrementar rápidamente el numero de paquetes de datos capturados, de esta manera, para obtener la clave solo necesitaremos cerca de 30 000 paquetes de datos para una clave de 64 bits, ya que fueron generados mediante la respuesta de ARPs del AP, y no los 250 000 que hubiéramos tenido que juntar sin ARPs.
Es importante mencionar que nuestra dirección mac que pongamos debe ser la misma en todas partes, ya sea una falsa, la nuestra(no recomendado), o la de un cliente, pero nunca combinadas, de lo contrario no funcionará.
También hay ocasiones en que aunque inyectemos tráfico el AP simplemente nos ignorará, o a veces nos contestará con ARPs por un rato y luego dejara de hacerlo, así que hay que repetir el proceso desde la autenticación, también a veces funciona estar mandando autenticaciones constantemente, eso se hace con:
aireplay-ng -1 6000 -o 1 -q 10 -e [nombre de la red] -a [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
el ejemplo es:
aireplay-ng -1 6000 -o 1 -q 10 -e INFINITUM0335 -a 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
Aquí estamos indicando que envíe paquetes cada 6 segundos (en milisegundos) y que sólo los envíe en grupos de uno (-o 1) ya que muchos AP se confunden al mandarles muchos paquetes juntos (que es como actúa por defecto).
Una vez que comenzamos a inyectar tráfico, la manera de ver que estamos teniendo éxito, es que los #DATA en la primera terminal se empiezan a incrementar rápidamente(a veces se tarda un poco el AP en empezar a contestar ARPs pero no más de 3 minutos), dependiendo de la tarjeta de red, de la distancia que estemos del AP y del propio AP determinarán cuantos paquetes recibiremos por segundo ("#/S") y por lo tanto el tiempo que tardaremos en juntar alrededor de 30 000 (es lo recomendado pero lo he hecho con 15 000) #Data para descifrar la clave. Las máximas velocidades oscilan en 500 paquetes por segundo, velocidades bastante rápidas en 100, y de ahí para abajo.
Como experiencia personal de las 15 redes en que he intentado averiguar la clave, en 10 he tenido éxito, de la cual la mas rápida me tarde alrededor de 5 min a partir de abrir la primer terminal, y la mas tardada en aproximadamente 3 días (no seguidos, un rato capturaba paquetes, al pasar un tiempo dejaba de recibir ARPs, me desautenticaba el AP, me volvía a autenticar, a veces no podía, regresaba al otro día, me metía con la mac de un cliente, a veces funcionaba, a veces no, etc. Hasta que junte los 30 000 #DATA). Cabe señalar que los 2 módems eran infinitum, y en todas lo hice con una Sony vaio VGN-NR330FE, tarjeta de red atheros AR5001.
Una vez que tenemos alrededor de 30 000 #Data, podemos empezar a saborearnos la clave de red, lo mas difícil es juntar los 30 000 paquetes. Abrimos una tercera terminal sin cerrar las otras 2 anteriores(para continuar inyectando y capturando paquetes con las otras por si nos son suficientes paquetes aún ).En esta tercera terminal no es necesario ser root, entonces escribimos:
aircrack-ng -z [nombre de archivo]*.cap
El -z es para que use un algoritmo más rápido para descifrar la clave llamado ataque PTW.
El * es para que lea de todos los archivos que generamos con airodump y que acaben en .cap.
La razón es que airodump nos genera más archivos con el mismo nombre pero con diferentes extensiones (.csv .kismet.csv y .kismet.netxml) y estos son archivos son para analizarlos con otra herramienta de auditoría de redes como kismet. Los que nos interesan son los .cap que son los que utiliza aircrack. Además automáticamente airodump nos va creando archivos indexados (miarchivo-01.cap miarchivo-02.cap... ...miarchivo-n.cap) cada que escaneamos una red específica, por lo que no es necesario cambiar el nombre de archivo cada que vamos a atacar la misma red, esto es por si lo hacemos en varias sesiones no se sobrescriben los archivos que contienen los paquetes, esto nos da la flexibilidad de hacer el ataque en varias sesiones para AP rebeldes.
aircrack nos dará la clave del tipo xx:xx:xx:xx:xx, y para poder conectarnos a la red tenemos que regresar todo a la normalidad.Paramos los procesos de inyección y recolección de paquetes de las terminales con "ctrl + c" y en alguna terminal escribimos como root
airmon-ng stop mon0
esto destruye la interfaz con la que estábamos escuchando y regresa todo a la normalidad.
Ahora solo falta conectarnos como normalmente lo hacemos introduciendo la clave que nos dio aircrack sin ":" (xxxxxxxxxx).
Una vez que lo hemos hecho, no es necesario estar repitiendo todos los pasos como instalar aircrack, saber si nuestra tarjeta puede inyectar tráfico o el nombre de la interfaz de nuestra tarjeta de red, asi que aquí les dejo un video con los pasos minimos una vez que ya sabemos para que es cada cosa y como funciona.
y aquí les dejo el codigo fuente de la suite de aircrack por si le quieren echar un ojo.
El ataque lo podemos resumir con palabras normales y simples en 3 pasos, pero obviamente de cada paso salen más y algunas variantes, pero básicamente seria:
1.- Capturar paquetes de la red que queremos obtener la clave
2.- Inyectar paquetes para que el ataque sea rápido y viable(de lo contrario nos tardaríamos meses)
3.- Sacar la clave de los paquetes obtenidos
Para empezar hay que hacer una gran observación respecto a Windows, es importante darse cuenta de que en este momento, Windows sólo se puede utilizar para escuchar el tráfico de red.
Windows no puede inyectar paquetes de datos. Esta es una limitación fundamental, por lo tanto no es viable hacerlo con Windows.
Pero hay una solución si tenemos Windows, borrar el disco completo y ponerle alguna distribución de Linux, jojo no es cierto, yo también utilizo Windows para algunas cosas, también publicaré algo relacionado respecto a las ventajas y desventajas de Linux vs Windows desde un punto de vista de "usuario de escritorio" o "usuario normal", y no la que estamos acostumbrados a escuchar desde el punto de vista de programadores, desarrolladores y usuarios avanzados, que son los que generalmente utilizamos Linux y para nosotros nos parece suficiente tener una terminal para escribir comandos sin interfaz gráfica, pero no toda la gente es así.
Bueno la solución es bajar alguna distribución y correrla en modo live , recomiendo Linux mint o Ubuntu, ya que son distribuciones amigables, y además son las distribuciones con mayor número de usuarios, así que es más fácil encontrar ayuda; también hay distribuciones que ya vienen con la suite de aircrack instalada (es el paquete que usaremos) e incluso con más herramientas para auditoria de redes inalámbricas como por ejemplo la distribución Backtrack.
La mayoría de los Linux vienen para poder correrlos en modo live, esto es correr el sistema operativo sin instalarlo de manera nativa, es decir no le va a pasar nada Windows ni al equipo una vez que saques el disco o pendrive de Linux, esto es para que puedas probarlo y si te gusta lo instales de manera nativa (en el disco duro en una partición) incluso junto con Windows o cualquier otro sistema operativo sin borrarte nada y también dejándote un menú de arranque para escoger con que sistema operativo quieres trabajar.
Regresando al tema: todos los comandos que aquí se describen deben de ser ejecutados como superusuario(root), para hacer esto abrimos una terminal y escribimos
su
lo cual nos pedirá nuestra contraseña, si estas usando una versión live, puedes inventar la contraseña.
Bueno lo primero que tenemos que hacer es instalar la suite de aircrack y macchanger (hay que tener conexión a internet para instalar los paquetes o usar una distribución que ya los traiga como Backtrack o Wifislax).
apt-get install aircrack-ng macchanger
Una vez instalados ya no es necesario tener internet en ningún momento para analizar la seguridad de cualquier red.
macchanger es para cambiar la dirección mac de tu tarjeta de red por una falsa. La dirección MAC (Media Access Control) es un identificador de 6 bytes único . Los primeros 3 bytes indican el fabricante y los últimos 3 nos indican el número de serie, se supone que una dirección mac es única en el mundo, entonces cambiaremos nuestra dirección por razones de seguridad, obviamente si la clave de la red es la de algún vecino pues no importa, ni siquiera se va a enterar, pero puede que estemos obteniendo la clave algún lugar más comprometedor como una empresa o institución, (con fines educativos :P).
También se puede cambiar la dirección mac sin instalar el paquete macchanger, con el comando:
ifconfig [interfaz] hw ether xx:xx:xx:xx:xx:xx
pero recomiendo instalar el paquete macchanger por razones de comodidad.
Para continuar tenemos que desactivar el asistente de conexiones inalámbricas, haciendo click derecho sobre el icono de la conexion.
Podemos hacer el ataque incluso conectados a internet pero entorpece la inyección de paquetes y tambien se entorpece nuestra conexion, así que mejor desactivamos el asistente. Lo que podemos hacer es estar conectados por cable sin problemas y tambien sin internet por supuesto.
Para poder empezar a escanear las redes inalámbricas a nuestro alrededor, primero debemos poner nuestra tarjeta en modo monitor:
airmon-ng start [interfaz]
airmon-ng es un paquete de la suite de aircrack, de aquí en adelante todo lo que termine en "-ng" es parte de los paquetes de aircrack. Interfaz es el nombre de la interfaz de red, (para algunos no es obvio), y si no sabemos cuál es la obtenemos con el comando.
iwconfig
se nos despliega una lista de interfaces y la inalámbrica es la que tiene datos, la otras interfaces dirán "no wireless extensions", generalmente es wlan0 como en mi caso pero puede haber variantes.
Entonces con airmon hemos puesto nuestra tarjeta de red en modo monitor (escuchar el tráfico aéreo) y nos crea una interface llamada mon0, de aquí en adelante usaremos esta interfaz (mon0).
Pero antes de proseguir, vamos a cambiar nuestra dirección MAC por una falsa, para esto primero tenemos que dar de baja nuestra interfaz:
ifconfig mon0 down
Una vez dada de baja la cambiamos con el comando:
macchanger -m [nueva dirección MAC] [interfaz]
por ejemplo:
macchanger -m 00:11:22:33:44:55 mon0
Siempre escojo esta dirección por razones de comodidad, pero podemos inventar la que sea (obviamente valida en formato hexadecimal).
Ahora vamos a escanear las redes que tenemos a nuestro alrededor con el paquete airodump (no es necesario dar de alta mon0 ya que airodump lo hace ).
airodump-ng mon0
Con esto se nos despliegan todas las redes que están a nuestro alcance y con todas las características necesarias, ahora explicare que significan cada uno de los campos.
BSSID: Dirección física del AP(Access Point), o sea la dirección mac del modem o router.
PWR: Es el nivel de señal, cuanto mayor sea el PWR más cerca estaremos del AP o del cliente.
Si el PWR es -1 para algunos clientes (stations) es porque los paquetes proceden del AP hacia el cliente pero las transmisiones del cliente se encuentran fuera del rango de cobertura de tu tarjeta. Lo que significa que solo escuchas la mitad de la comunicación. Si todos los clientes tienen PWR -1 significa que el driver no tiene la capacidad de detectar el nivel de señal.
RXQ: Calidad de recepción calculada a través del porcentaje de paquetes recibidos correctamente en los últimos 10 segundos.
Beacons: Número de paquetes anuncio enviados por el AP, este tipo de paquetes no tiene mucha importancia pero es un buen punto de referencia para ver si te está llegando buena señal del AP, si es así deben de incrementarse constantemente.
#Data: Número de paquetes de datos capturados (si tiene clave WEP, equivale también al número de IVs), incluyendo paquetes de datos broadcast (dirigidos a todos los clientes). Estos son los paquetes más importantes ya que de aquí obtendremos la clave.
#/s: Número de paquetes de datos(#Data) capturados por segundo calculando la media de los últimos 10 segundos.
CH: Número de canal (obtenido de los “paquetes anuncio” o beacons).
MB: Velocidad máxima soportada por el AP.
ENC: Algoritmo de encriptación que se usa. OPN = no existe encriptación (abierta),”WEP?” = WEP u otra (no se han capturado suficientes paquetes de datos para saber si es WEP o WPA/WPA2), WEP (sin el interrogante) indica WEP estática o dinámica, y WPA o WPA2 en el caso de que se use TKIP o CCMP.
CIPHER: Detector de cifrado, puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104.
AUTH:El protocolo de autenticación usado. Puede ser MGT, PSK (clave pre compartida), o OPN (abierta).
ESSID: También llamado “SSID”, es el nombre de la red, que puede estar en blanco si la ocultación del SSID está activada en el AP. Es En este caso, airodump-ng intentará averiguar el SSID analizando paquetes “probe responses” y “association requests” (son paquetes enviados desde un cliente al AP).
STATION: Dirección MAC de cada cliente asociado, es decir la dirección mac de las computadoras de otras personas que están conectadas a una red.
Lost:El número de paquetes perdidos en los últimos 10 segundos
Packets: El número de paquetes de datos enviados por el cliente.
Probes: El nombre de las redes a las cuales ha intentado conectarse el cliente.
En este punto es hora de hacer la prueba más importante, el de inyección de paquetes. Para hacer esto abrimos otra terminal y sin cerrar la primera(la que esta capturando paquetes con airodump) nos logueamos como superusuario y escribimos:
aireplay-ng -9 mon0
La prueba determina si la inyección de tu tarjeta tiene éxito con un mensaje de "injection is working!" y determina los tiempos de ping de respuesta al Punto de Acceso (AP). La prueba básica de inyección proporciona una valiosa información. En primer lugar, las listas de puntos de acceso en la zona que responden a las sondas de emisión. En segundo lugar, para cada uno, lo hace con 30 paquetes de prueba que indica la calidad de la conexión. Esta calidad de la conexión cuantifica la capacidad de tu tarjeta para enviar correctamente paquetes y luego recibir una respuesta al paquete de prueba. El porcentaje de respuestas recibidas también nos da una idea de la calidad del enlace.
Nota: el mensaje de "injection is working!" no necesariamente tiene que salir al principio.
Si no podemos inyectar tráfico (no aparece el mensaje de "injection is working!") simplemente no podremos hacer el ataque. Una vez que hemos comprobado que nuestra tarjeta puede inyectar tráfico, lo siguiente que debemos hacer es decidirnos por una red para atacar; las características deben ser: una red con encriptación wep, cifrado wep y que estemos recibiendo beacons constantemente (obviamente ver estos datos en la terminal que esta trabajando con airodump).Ya que nos hemos decidido por una, tendremos que hacer que airodump deje de monitorear todo tráfico aéreo ( ctrl + c ) y enfocarnos solo en escuchar una red para guardar los paquetes que capturemos en un archivo y así después obtener la clave. Esto lo hacemos con: (en la misma terminal que esta trabajando con airodump):
airodump-ng -w [nombre del archivo sin extensión] --bssid [dirección mac del AP ] -c [canal(CH)] [interfaz]
un ejemplo es:
airodump-ng -w INFINITUM0335 --bssid 00:21:7c:67:53:e1 -c 4 mon0
En algunos casos también estaremos recibiendo paquetes de datos (#Data) que es el objetivo principal ya con estos sacaremos la clave, en ocasiones hay clientes conectados al AP y alcanzamos a escuchar los paquetes de datos que transmiten, o incluso a veces sin clientes alcanzamos a escuchar algunos paquetes dependiendo del AP, pero si quisiéramos esperar a que se juntaran suficientes paquetes para descifrar la clave solo escuchando tráfico necesitaríamos 250 000 paquetes de datos mínimo para una clave 64 bits y más de 1 000 000 para una clave de 128 bits, y con esto nos tardaríamos meses en descifrar la clave por lo que no es viable estar solo escuchando el tráfico, tendremos que acelerar el proceso inyectando tráfico.
A partir de este momento empiezan las variantes y problemas porque no todos los AP reaccionan igual.
Abrimos otra terminal y nos logueamos como super usuario(root) sin cerrar la primera que es la que esta capturando los paquetes con airodump.
Primero tendremos que hacer una autenticación falsa con el AP:
aireplay-ng -1 0 -e [nombre de la red] -a [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
un ejemplo es:
aireplay-ng -1 0 -e INFINITUM0335 -a 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
el -1 es el tipo de ataque, en este caso para mandar la autenticación falsa, y con el 0 le decimos que solo se repita una vez.
No podemos proseguir hasta que nos haya salido "Association succesful :-)", por experiencia, a veces hay AP rebeldes que no aceptan la autenticación a la primera, así que hay que estar intentando varias veces, u a veces otra opción es que haya un cliente conectado (station) y cambiar nuestra dirección mac por la de ese cliente.
Una vez que nos hemos autenticado vemos que en la otra terminal (en la que estamos capturando paquetes con airodump)en el campo de AUTH nos aparece OPN de open, entonces es hora de empezar a inyectar tráfico .
Lo hacemos de la siguiente manera:
aireplay -3 -b [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
el ejemplo es:
aireplay-ng -3 -b 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
El -3 es el tipo de ataque, en este caso es inyectar tráfico para hacer que el AP nos conteste de con ARPs (Address Resolution Protocol) y así incrementar rápidamente el numero de paquetes de datos capturados, de esta manera, para obtener la clave solo necesitaremos cerca de 30 000 paquetes de datos para una clave de 64 bits, ya que fueron generados mediante la respuesta de ARPs del AP, y no los 250 000 que hubiéramos tenido que juntar sin ARPs.
Es importante mencionar que nuestra dirección mac que pongamos debe ser la misma en todas partes, ya sea una falsa, la nuestra(no recomendado), o la de un cliente, pero nunca combinadas, de lo contrario no funcionará.
También hay ocasiones en que aunque inyectemos tráfico el AP simplemente nos ignorará, o a veces nos contestará con ARPs por un rato y luego dejara de hacerlo, así que hay que repetir el proceso desde la autenticación, también a veces funciona estar mandando autenticaciones constantemente, eso se hace con:
aireplay-ng -1 6000 -o 1 -q 10 -e [nombre de la red] -a [dirección Mac del AP] -h [nuestra dirección mac] [interfaz]
el ejemplo es:
aireplay-ng -1 6000 -o 1 -q 10 -e INFINITUM0335 -a 00:21:7c:67:53:e1 -h 00:11:22:33:44:55 mon0
Aquí estamos indicando que envíe paquetes cada 6 segundos (en milisegundos) y que sólo los envíe en grupos de uno (-o 1) ya que muchos AP se confunden al mandarles muchos paquetes juntos (que es como actúa por defecto).
Una vez que comenzamos a inyectar tráfico, la manera de ver que estamos teniendo éxito, es que los #DATA en la primera terminal se empiezan a incrementar rápidamente(a veces se tarda un poco el AP en empezar a contestar ARPs pero no más de 3 minutos), dependiendo de la tarjeta de red, de la distancia que estemos del AP y del propio AP determinarán cuantos paquetes recibiremos por segundo ("#/S") y por lo tanto el tiempo que tardaremos en juntar alrededor de 30 000 (es lo recomendado pero lo he hecho con 15 000) #Data para descifrar la clave. Las máximas velocidades oscilan en 500 paquetes por segundo, velocidades bastante rápidas en 100, y de ahí para abajo.
Como experiencia personal de las 15 redes en que he intentado averiguar la clave, en 10 he tenido éxito, de la cual la mas rápida me tarde alrededor de 5 min a partir de abrir la primer terminal, y la mas tardada en aproximadamente 3 días (no seguidos, un rato capturaba paquetes, al pasar un tiempo dejaba de recibir ARPs, me desautenticaba el AP, me volvía a autenticar, a veces no podía, regresaba al otro día, me metía con la mac de un cliente, a veces funcionaba, a veces no, etc. Hasta que junte los 30 000 #DATA). Cabe señalar que los 2 módems eran infinitum, y en todas lo hice con una Sony vaio VGN-NR330FE, tarjeta de red atheros AR5001.
Una vez que tenemos alrededor de 30 000 #Data, podemos empezar a saborearnos la clave de red, lo mas difícil es juntar los 30 000 paquetes. Abrimos una tercera terminal sin cerrar las otras 2 anteriores(para continuar inyectando y capturando paquetes con las otras por si nos son suficientes paquetes aún ).En esta tercera terminal no es necesario ser root, entonces escribimos:
aircrack-ng -z [nombre de archivo]*.cap
El -z es para que use un algoritmo más rápido para descifrar la clave llamado ataque PTW.
El * es para que lea de todos los archivos que generamos con airodump y que acaben en .cap.
La razón es que airodump nos genera más archivos con el mismo nombre pero con diferentes extensiones (.csv .kismet.csv y .kismet.netxml) y estos son archivos son para analizarlos con otra herramienta de auditoría de redes como kismet. Los que nos interesan son los .cap que son los que utiliza aircrack. Además automáticamente airodump nos va creando archivos indexados (miarchivo-01.cap miarchivo-02.cap... ...miarchivo-n.cap) cada que escaneamos una red específica, por lo que no es necesario cambiar el nombre de archivo cada que vamos a atacar la misma red, esto es por si lo hacemos en varias sesiones no se sobrescriben los archivos que contienen los paquetes, esto nos da la flexibilidad de hacer el ataque en varias sesiones para AP rebeldes.
aircrack nos dará la clave del tipo xx:xx:xx:xx:xx, y para poder conectarnos a la red tenemos que regresar todo a la normalidad.Paramos los procesos de inyección y recolección de paquetes de las terminales con "ctrl + c" y en alguna terminal escribimos como root
airmon-ng stop mon0
esto destruye la interfaz con la que estábamos escuchando y regresa todo a la normalidad.
Ahora solo falta conectarnos como normalmente lo hacemos introduciendo la clave que nos dio aircrack sin ":" (xxxxxxxxxx).
Una vez que lo hemos hecho, no es necesario estar repitiendo todos los pasos como instalar aircrack, saber si nuestra tarjeta puede inyectar tráfico o el nombre de la interfaz de nuestra tarjeta de red, asi que aquí les dejo un video con los pasos minimos una vez que ya sabemos para que es cada cosa y como funciona.
y aquí les dejo el codigo fuente de la suite de aircrack por si le quieren echar un ojo.
