1、什么是 Aircrack-ngAircrack-ng 是一款用于破解无线 802.11WEP 及 WPA-PSK 加密的工具,该工具在2005年11月之前名字是 Aircrack,在其2.41版本之后才改名为 Aircrack-ng。Aircrack-ng 主要使用了两种攻击方式进行 WEP 破解:一种是 FMS 攻击,该攻击方式是以发现该 WEP 漏洞的研究人员名字(Scott Fluhrer、Itsik Mantin 及 Adi Shamir)所命名;另一种是 KoreK 攻击,经统计,该攻击方式的攻击效率要远高于 FMS 攻击。当然,最新的版本又集成了更多种类型的攻击方式。对于无线黑客而
2、言,Aircrack-ng 是一款必不可缺的无线攻击工具,可以说很大一部分无线攻击都依赖于它来完成;而对于无线安全人员而言,Aircrack-ng 也是一款必备的无线安全检测工具,它可以帮助管理员进行无线网络密码的脆弱性检查及了解无线网络信号的分布情况,非常适合对企业进行无线安全审计时使用。Aircrack-ng(注意大小写)是一个包含了多款工具的无线攻击审计套装,这里面很多工具在后面的内容中都会用到,具体见下表1为 Aircrack-ng 包含的组件具体列表。表1组件名称 描 述aircrack-ng主要用于 WEP 及 WPA-PSK 密码的恢复,只要 airodump-ng收集到足够数量
3、的数据包,aircrack-ng 就可以自动检测数据包并判断是否可以破解airmon-ng用于改变无线网卡工作模式,以便其他工具的顺利使用airodump-ng用于捕获802.11数据报文,以便于 aircrack-ng 破解aireplay-ng在进行 WEP 及 WPA-PSK 密码恢复时,可以根据需要创建特殊的无线网络数据报文及流量airserv-ng可以将无线网卡连接至某一特定端口,为攻击时灵活调用做准备airolib-ng进行 WPA Rainbow Table 攻击时使用,用于建立特定数据库文件airdecap-ng用于解开处于加密状态的数据包tools 其他用于辅助的工具,如 a
4、irdriver-ng、packetforge-ng 等Aircrack-ng 在 BackTrack4 R2下已经内置( 下载 BackTrack4 R2) ,具体调用方法如下图2所示:通过依次选择菜单中“Backtrack”“Radio Network Analysis” “80211”“Cracking”“Aircrack-ng ”,即可打开 Aircrack-ng 的主程序界面。也可以直接打开一个Shell,在里面直接输入 aircrack-ng 命令回车也能看到 aircrack-ng 的使用参数帮助。使用 Aircrack-ng 破解 WEP 加密无线网络首先讲述破解采用 WEP
5、加密内容,启用此类型加密的无线网络往往已被列出严重不安全的网络环境之一。而 Aircrack-ng 正是破解此类加密的强力武器中的首选,关于使用Aircrack-ng 套装破解 WEP 加密的具体步骤如下。步骤1:载入无线网卡。其实很多新人们老是在开始载入网卡的时候出现一些疑惑,所以我们就把这个基本的操作仔细看看。首先查看当前已经载入的网卡有哪些,输入命令如下:ifconfig回车后可以看到如下图3所示内容,我们可以看到这里面除了 eth0之外,并没有无线网卡。图3确保已经正确插入 USB 或者 PCMCIA 型无线网卡,此时,为了查看无线网卡是否已经正确连接至系统,应输入:ifconfig
6、-a参数解释:-a 显示主机所有网络接口的情况。和单纯的 ifconfig 命令不同,加上 -a 参数后可以看到所有连接至当前系统网络接口的适配器。如下图4所示,我们可以看到和上图3相比,出现了名为 wlan0的无线网卡,这说明无线网卡已经被 BackTrack4 R2 Linux 识别。图4既然已经识别出来了,那么接下来就可以激活无线网卡了。说明一下,无论是有线还是无线网络适配器,都需要激活,否则是无法使用滴。这步就相当于 Windows 下将“本地连接”启用一样,不启用的连接是无法使用的。在上图4中可以看到,出现了名为 wlan0的无线网卡,OK,下面输入:ifconfig wlan0 u
7、p参数解释:up 用于加载网卡的,这里我们来将已经插入到笔记本的无线网卡载入驱动。在载入完毕后,我们可以再次使用 ifconfig 进行确认。如下图5所示,此时,系统已经正确识别出无线网卡了。图5当然,通过输入 iwconfig 查看也是可以滴。这个命令专用于查看无线网卡,不像ifconfig 那样查看所有适配器。iwconfig该命令在 Linux 下用于查看有无无线网卡以及当前无线网卡状态。如下图6所示。图6步骤2:激活无线网卡至 monitor 即监听模式。对于很多小黑来说,应该都用过各式各样的嗅探工具来抓取密码之类的数据报文。那么,大家也都知道,用于嗅探的网卡是一定要处于 monito
8、r 监听模式地。对于无线网络的嗅探也是一样。在 Linux 下,我们使用 Aircrack-ng 套装里的 airmon-ng 工具来实现,具体命令如下:airmon-ng start wlan0参数解释:start 后跟无线网卡设备名称,此处参考前面 ifconfig 显示的无线网卡名称;如下图7所示,我们可以看到无线网卡的芯片及驱动类型,在 Chipset 芯片类型上标明是 Ralink 2573芯片,默认驱动为 rt73usb,显示为“monitor mode enabled on mon0”,即已启动监听模式,监听模式下适配器名称变更为 mon0。步骤3:探测无线网络,抓取无线数据包。
9、在激活无线网卡后,我们就可以开启无线数据包抓包工具了,这里我们使用 Aircrack-ng 套装里的 airmon-ng 工具来实现,具体命令如下:不过在正式抓包之前,一般都是先进行预来探测,来获取当前无线网络概况,包括 AP的 SSID、MAC 地址、工作频道、无线客户端 MAC 及数量等。只需打开一个 Shell,输入具体命令如下:airodump-ng mon0参数解释:mon0为之前已经载入并激活监听模式的无线网卡。如下图8所示。图8回车后,就能看到类似于下图9所示,这里我们就直接锁定目标是 SSID 为“TP-LINK”的 AP,其 BSSID(MAC)为“00:19:E0 :EB
10、:33:66 ”,工作频道为6,已连接的无线客户端 MAC 为 “00:1F:38:C9:71:71”。图9既然我们看到了本次测试要攻击的目标,就是那个 SSID 名为 TP-LINK 的无线路由器,接下来输入命令如下:airodump-ng -ivs w longas -c 6 wlan0参数解释:-ivs 这里的设置是通过设置过滤,不再将所有无线数据保存,而只是保存可用于破解的 IVS 数据报文,这样可以有效地缩减保存的数据包大小;-c 这里我们设置目标 AP 的工作频道,通过刚才的观察,我们要进行攻击测试的无线路由器工作频道为6;-w 后跟要保存的文件名,这里 w 就是“write 写”
11、的意思,所以输入自己希望保持的文件名,如下图10所示我这里就写为 longas。那么,小黑们一定要注意的是:这里我们虽然设置保存的文件名是 longas,但是生成的文件却不是 longase.ivs,而是 longas-01.ivs。图10注意:这是因为 airodump-ng 这款工具为了方便后面破解时候的调用,所以对保存文件按顺序编了号,于是就多了-01这样的序号,以此类推,在进行第二次攻击时,若使用同样文件名 longas 保存的话,就会生成名为 longas-02.ivs 的文件,一定要注意哦,别到时候找不到又要怪我没写清楚:)啊,估计有的朋友们看到这里,又会问在破解的时候可不可以将这
12、些捕获的数据包一起使用呢,当然可以,届时只要在载入文件时使用 longas*.cap 即可,这里的星号指代所有前缀一致的文件。在回车后,就可以看到如下图11所示的界面,这表示着无线数据包抓取的开始。步骤4:对目标 AP 使用 ArpRequest 注入攻击若连接着该无线路由器/AP 的无线客户端正在进行大流量的交互,比如使用迅雷、电骡进行大文件下载等,则可以依靠单纯的抓包就可以破解出 WEP 密码。但是无线黑客们觉得这样的等待有时候过于漫长,于是就采用了一种称之为“ARP Request”的方式来读取ARP 请求报文,并伪造报文再次重发出去,以便刺激 AP 产生更多的数据包,从而加快破解过程,
13、这种方法就称之为 ArpRequest 注入攻击。具体输入命令如下:aireplay-ng -3 -b AP 的 mac -h 客户端的 mac mon0参数解释:-3 指采用 ARPRequesr 注入攻击模式;-b 后跟 AP 的 MAC 地址,这里就是前面我们探测到的 SSID 为 TPLINK 的 AP 的MAC;-h 后跟客户端的 MAC 地址,也就是我们前面探测到的有效无线客户端的 MAC;最后跟上无线网卡的名称,这里就是 mon0啦。回车后将会看到如下图12所示的读取无线数据报文,从中获取 ARP 报文的情况出现。图12在等待片刻之后,一旦成功截获到 ARP 请求报文,我们将会看到如下图13所示的大量ARP 报文快速交互的情况出现。
