Aircrack-ng工具

　　aircrack-ng是一個與802.11標準的無線網絡分析的安全軟件，主要功能有網絡探測、數據包嗅探捕獲、WEP和WPA/WPA2-PSK破解。Aircrack可以工作在任何支撐監聽模式的無線網卡上，并嗅探802.11a、802.11b、802.11g的數據包。

一、Aircrack-ng工具集

　　Aircrack-ng是一個包含了多款工具的無線安全審計套裝。

1、Aircrack-ng工具集組成

2、設置監聽模式-Airmon-ng

　　Airmon-ng主要用來設置監聽模式，只有將無線網卡設置為監聽模式，才可以捕獲到無線網絡中所有的數據包。Airmon-ng工具使用方法如下：

　　airmon-ng <start|stop> <interface> [channel] # 將無線網卡置于監聽模式

　　airmon-ng <check> [kill] # 殺死所有可能干擾無線網卡工作的程序

　　-start|stop：表示啟用或停止監聽。

　　-interface：指定監聽模式的接口。

　　-channel：指定無線網絡的信道。

　　-check：列出所有可能干擾無線網卡的的程序。

　　-kill：殺死所有可能干擾無線網卡工作的程序。

　　airmon-ng check kill

　　將無線網卡連接到計算機上，設置無線網卡直接連接kali虛擬機，然后查看無線網卡是否安全成功，并開啟監聽模式。iwconfig查看無線網卡是否被激活，如未激活使用ifconfig wlan0 up激活。從輸出的信息中看到無線網卡已經被置于Monitor(監聽)模式，驅動和芯片分別是rt2800usb和Ralink Technology, Corp. RT2870/RT3070。 如果想要恢復管理模式執行：airmon-ng stop wlan0mon

　　airmon-ng start wlan0 11

3、捕獲數據包-Airodump-ng

　　Airodump-ng主要用來進行數據抓包，以供Aircrack-ng進行破解。Airodump-ng使用方法如下：

　　Airodump-ng [選項] [Interface name]

　　Interface name:指定捕獲數據包的接口，指定的接口必須是監聽的接口名稱。執行命令后將顯示掃描到的附近所有的無線AP及連接的客戶端信息。執行airodump-ng命令后需要按下Ctrl C鍵停止掃描。

　　airodump-ng wlan0mon

　　顯示的一些信息參數的說明：

　　BSSID：表示無線AP的MAC地址。在客戶端會話中，如果BSSID值為“not associated”時，表示客戶端沒有關聯任何AP。

　　PWR：網卡報告的信號水平，它主要取決于驅動。當信號值超高時，說明AP或計算機越近。如果BSSID的PWR為-1，說明網卡的驅動不支持報告信號強度。如果部分客戶端PWR為-1，那么說明該客戶端不在當前網卡能監聽到的范圍內，但是能捕獲到AP發往客戶端的數據包。如果所有的客戶端PWR值都為-1，那么說明網卡驅動不支持信號強度報告。

　　RXQ：該參數在指定掃描一個固定頻道的數據包時才顯示，表示接收數據包的質量。它用過去10秒鐘內成功接收到的分組（管理和數據幀）的百分比來衡量。

　　beacons：無線AP發出的包數，每個接入點（AP）在最低速率（1M）時差不多每秒會發送10個左右的Beacon，所以它們在很遠的地方就被發現。

　　#Data：被捕獲到的數據分組的數量（如果是WEP，則代表唯一IV的數量），包括廣播分組。

　　#/s：過去10秒鐘內每秒捕獲數據分組的數量。

　　CH：信道號（從Beacon包中獲取）

　　MB：無線AP所支持的最大速率。如果MB=11，它是802.11b；如果MB=22，它是802.11b ；如果更高，就是802.11g。后面的點（高于54之后）表示支持短前導碼。“e”表示網絡中有QoS(802.11e)啟用。

　　ENC：使用的加密算法體系。OPN表示無加密。WEP？表示WEP或者WPA/WPA2,WEP（沒有問號）表明靜態或動態WEP。如果出現TKIP、CCMP或MGT，那么就是WPA/WPA2。

　　CIPHER：檢測到的加密算法，CCMP、WRAAP、TKIP、WEP、WEP104中的一個。典型的來說（不一定），TKIP與WPA結合使用，CCMP與WPA2結合使用。如果密鑰索引值大于0，顯示為WEP40。標準情況下0-3是40bit，104bit應該是0。

　　AUTH：使用的認證協議。常用的有MGT（WPA/WPA2使用獨立的認證服務器，平時我們常說的802.1x，radius、eap等），SKA（WEP的共享密鑰），PSK（WPA/WPA2的預共享密鑰）或者OPN（WEP開放式）。

　　ESSID:也就是所謂的SSID號。如果啟用隱藏的SSID的話，它可以為空，或者顯示為<length>。這種情況下，airodump-ng試圖從proberesponses和associationrequest中獲取SSID。

　　STATION:客戶端的MAC地址，包括連上的和想要搜索無線來連接的客戶端。如果客戶端沒有連接上，就在BSSID下顯示“not associated”。

　　Rate:表示傳輸速率。該參數只有使用單個信道時才會顯示。

　　Lost:在過去10秒內丟失的數據分組，基于序列號檢測。它意味著從客戶端來的數據丟包，每個非管理幀中都有一個序列號字段，把剛接收到的那個幀中的序列號和前一個幀中的序列號一減就可以知道丟了幾個包。

　　Frames:客戶端發送的數據分組數量。

　　Probe:被客戶端查探的ESSID。如果客戶端正試圖連接一個AP，但是沒有連接上則將會顯示在這里。

　　Airodump-ng工具是以一種交互形式運行的，在交互模式下可以進行一些其他操作。其中可使用的命令如下：

　　a:選擇活動區域中的內容，其中，可現實的選項有AP STA ACK、僅AP和僅STA。

　　d:重置為默認值（Power）

　　i:反向排序順序

　　m:標記被選擇的AP

　　r:激活實時排序

　　s:通過beacon數字排序

　　SPACE:暫停鋪貨數據包。再按一下SPACE鍵，則將繼續捕獲數據包。

　　TAB:啟用或禁用滾動AP列表

　　UP:選擇之前在AP列表中標記的AP。

　　DOWN:選擇當前標記后的AP

1)、過濾數據包

　　默認情況下會顯示所有掃描到的無線網絡數據包，為了方便分析，我們可以對數據包進行過濾。例如，根據加密方式、信道、工作模式、BSSID、ESSID等。

　　下面將演示幾種過濾數據包的情況。

　　(1)當我們擁有一個非常強大的密碼字典時，可以選擇破解加密方式為WPA、WPA1或WPA2的數據包。例如，僅捕獲目標AP為WPA2加密方式的數據包，執行如下命令：

　　airodump-ng -t WPA2 wlan0mon

　　(2)當選擇了將要破解的目標網絡時，可以指定僅捕獲BSSID或ESSID的包。例如捕獲BSSID為，ESSID為xxx的包。執行命令如下：

　　airodump-ng -N Micr067 wlan0mon

　　(3)默認情況下，airodump-ng將會捕獲所有工作在2,4GHz信道的數據包。信道是以無線信號作為傳輸媒體的數據信號傳送通道。目前主流的WiFi網絡設備不管是802.11b/g還是802.11b/g/n模式，一般都支持13個信道。為了提高捕獲數據包的效率，可以指定僅捕獲某信道的包，例如，僅捕獲目標AP信道為11的數據包，執行如下命令：

　　airodump-ng -c 11 wlan0mon

　　如果不指定工作信道，將會對所有信道的AP進行掃描，并捕獲其數據包。可以使用-b選項通過指定工作模式，來替換信道對包進行過濾。使用-b參數可以指定的工作模式包括a、b、g三種。其中b和g模式工作的是2.4GHz，a模式工作的頻段是5GHz。例如指定捕獲bg模式數據包可以執行如下命令：

　　airodump-ng -b bg wlan0mon

　　(4)如果想要破解WEP加密的無線網絡時，可以使用–ivs選項設置過濾。–ivs選項表示不保存所有的無線數據，而只是保存可用于破解的IVS數據報文，這樣可以有效的縮減保存數據包的大小。因為破解WEP包時，只需要捕獲足夠的IVS數據報文即可將密碼破解出來。不像WPA/WPA2加密的網絡，必須捕獲到握手包才可以。通常該參數會和-w選項同時使用。“-w”選項表示將捕獲的數據包保存在某文件中。其中，執行命令如下：

　　airodump-ng –ivs -w dump wlan0mon

　　執行以上命令，生成的文件包名為dump-01.ivs，因為airodump-ng為了方便后面破解時的調用，所以對保存文件編了號，依次是dump-01.ivs、dump-02.ivs…

2).顯示設置

　　airodump-ng在捕獲數據包時，終端顯示結果不斷的刷新。我們可以使用不同的選項重新設置airodump-ng自動更新顯示結果的時間。可以設置的選項如下：

　　-u <secs>,–update <secs>:設置顯示更新之間的延遲，單位為秒。默認更新時間為1秒。

　　–berlin <secs>：設置當前終端不接受數據包時，刪除多長時間之前的AP或客戶端。默認，是120秒。

　　-U，–uptime：顯示AP正常運行的時間。當使用該選項后，輸出結果中將會顯示一個名為UODATE的列。

　　-I <seconds>,–write-interval <seconds>:將輸出結果寫入到文件的時間間隔。

　　顯示目標AP正常運行的時間，命令如下：

　　airodump-ng -U wlan0mon

3).保存捕獲的數據包

　　為了方便進行分析或者破解目標網絡，可以將airodump-ng工具捕獲的數據包保存到一個文件中。airodump-ng工具捕獲的數據包文件都有對應的工具可以打開，然后即可分析捕獲的數據包。當使用aircrack-ng進行破解網絡時，就是通過分析捕獲的包文件來破解密碼的。

　　將捕獲的數據包保存在名為packet文件中，執行如下命令，會生成以下5個文件，其中packet-01.cap是用來破解WPA/WPA2加密的無線網絡的。

airodump-ng -w packet wlan0mon

　　在使用airodump-ng捕獲數據包時，可以同時制定多個選項，例如捕獲BSSID(MAC地址)為50:2B:73:18:ED:81的AP所有的數據包，并將保存文件命名為packet，以及指定該AP工作的信道，命令如下：

airodump-ng -w packet –bssid 50:2B:73:18:ED:81 -c 2 wlan0mon

.ivs包和.cap包的區別：

　　若只是為了破解的話，建議保存為.ivs,優點是生成文件小且效率高。若是為了破解后同時對捕獲到的數據包進行分析的話就保存為cap。這樣就能及時作出分析，如內網IP地址、密碼等。當然，缺點就是文件會比較大。

4).讀取數據包

　　airodump-ng工具可以讀取一個捕獲文件(文件后綴為cap)中的數據包。使用tcpdump和wireshark工具捕獲的數據包也可以使用airodump-ng來讀取，分析包的內容。

　　airodump-ng -r 捕獲文件

4、注入數據包-aireplay-ng

　　aireplay-ng是一個數據包注入工具，它可以指定AP發送結束認證包，將一個或多個客戶端與AP斷開連接。該工具的主要目的是強制客戶端握手（重新連接），從而獲取WPA/WPA2握手數據包。該工具主要是結合airodump-ng來使用的。所以在使用aireplay-ng工具進行數據包注入時，airodump-ng必須處于運行狀態。aireplay-ng使用方法如下：

　　aireplay-ng [選項] [replay interface]

　　aireplay-ng共提供了10種攻擊模式（常用的是前5種）：

　　-0 count，–deauth count：Deauth攻擊模式，count表示發送次數，如果設置為0，則表示循環攻擊，不停的斷開連接，客戶端無法正常上網。

　　-1 delay,–fakeauth delay:偽裝一個客戶端和AP進行連接，其中delay表示連接的延遲時間。

　　-2,–interactive：交互攻擊模式。

　　-3,–ARPreplay：ArpRequest注入攻擊模式，這種模式是一種抓包后分析重發的過程。

　　-4,–chopchop:攻擊模式，用來獲得一個包含密鑰數據的xor文件。

　　-5,–fragment：碎片攻擊模式，用來獲得PRGA(包含密鑰的后綴為xor的文件)

　　-6,coffe-latte：客戶端查詢新IV（初始化向量）。

　　-7,–cfrag：對一個客戶端的片段。

　　-8,–migmode:攻擊WPA遷移模式。

　　-9,–test:測試注入和質量。

1)、當希望連接某個AP時，可以使用偽裝客戶端連接的攻擊模式，命令如下：

　　aireplay-ng –fakeauth 0 -e "Test" -a 22:16:B9:33:38:F3 wlan0mon

　　-e：指定目標AP的ESSID。

　　-a：指定目標AP的BSSID。

2)、在偽裝客戶端時，可以使用一些相關選項來定義發送的數據包。例如使用-o選項指定每組數據包數；-q選項指定發送keep-alive包的間隔時間。命令如下：

　　aireplay-ng -1 6000 -o 1 -q 10 -e Test -a 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

3)、當用戶進行WEP破解時，可以使用ArpRequest注入攻擊方式。通過使用這種攻擊方式來讀取ARP請求報文，并偽造報文再次重發出去，可以刺激AP產生更多的數據包，從而加快破解過程。命令如下：

　　aireplay-ng -3 -b 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

　　-b：指定目標AP的MAC地址。

　　-h：指定客戶端的MAC地址，也就是使用airodump-ng探測到的有效的無線客戶端MAC地址。

　　從輸出信息中可以看出成功攔截到大量ARP請求報文，并且重新偽造這些報文并發送出去。此時在airodump-ng界面將會看到對應的Data列數字在飛速遞增。

4)、當用戶破解WPA/WPA2包時，可以使用aireplay-ng工具進行Deauth攻擊模式。使用這種攻擊方式是為了獲得破解所需的WPA-PSK握手驗證的整個完整數據包。通過使用這種攻擊方式，攻擊主機將發送一種稱之為“Deauth”的數據包將已連接至AP的合法客戶端強制斷開連接。此時，客戶端就會自動重新連接無線路由器。這樣滲透測試者就有機會捕獲到包含WPA-PSK握手驗證的完整數據包了，命令如下：

　　aireplay-ng -0 1 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

二、使用aircrack-ng破解WEP加密無線網絡

　　WEP是一種比較簡單的加密方式，使用的是RC4的RSA數據加密技術。由于這種加密技術存在很多漏洞，所以非常容易被破解出密碼。使用aircrack破解WEP加密網絡，操作步驟如下：

(1)、將無線網卡設置為監聽模式

　　airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線數據包。通常情況下，在正式抓包前，都會先進行探測，以獲取到當前無線網絡概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端MAC及數量等。用戶只需要在終端執行如下命令：

　　airodump-ng wlan0mon

　　選擇目標是SSID為“Micr067”的AP，其BSSID(MAC)為：22:16:B9:33:38:F3，工作頻道為2，已連接的無線客戶端MAC為：A4:50:46:E0:FA:06。此時可針對攻擊目標捕獲其數據包，并實現密碼破解，命令如下：

　　airodump-ng –ivs -w web -c 2 wlan0mon

　　可以看到已經開始了數據包的抓取。如果連接該無線路由器/AP的無線客戶端正在進行大流量的交互，如看視頻、下載大文件，則可以依靠單純的抓包就可以破解出WEP密碼。但是此過程需要等待的時間比較長。所以我們一般使用aireplay-ng工具進行數據包注入來加快破解過程。

(3)、使用aireplay-ng工具進行ArpRequest注入攻擊。此時不需要將airodump-ng界面關閉，重新打開一個窗口運行aireplay-ng命令即可。命令如下：

　　aireplay-ng -3 -b 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

　　成功執行以上命令后將看到airodump-ng捕獲數據包界面中Micr067的Data列數字在飛速增長，并且已經抓到了握手包。

　　當抓取到的無線數據報文達到一定數量后（一般都是ivs2萬以上時），就可以開始破解了。若不能成功破解就繼續抓取數據包，多嘗試幾次。

　　注：進行破解時不需要將注入攻擊的終端關閉，而是另開一個終端進行同步破解。

(4)、使用aircrack-ng工具破解WEP加密的網絡。命令如下：

　　aircrack-ng [選項] [捕獲的文件]

　　通常用于破解無線網絡使用的是.ivs和.cap格式的文件。其中ivs文件通常用于破解WEP加密的網絡；.cap文件用于破解WPA/WPA2加密的網絡。破解WEP加密網絡執行如下命令：

　　aircrack-ng web-01.ivs

　　用戶在破解密碼時，也可以使用-b選項指定目標AP的BSSID，或者使用-e選項指定目標AP的ESSID。這樣就可以避免在破解時出現多個AP（工作在同一信道）進行選擇。例如指定目標AP的BSSID，命令如下：

　　aircrack-ng -z -b xxx wep-01.ivs

　　-z：指定使用PTW攻擊方式。

　　提示：在使用aircrack-ng破解密碼時，雖然可以使用PTW和KoreK兩種攻擊方式。但是通常情況下，PTW攻擊方式比較快。

三、使用aircrack-ng破解WPA-PSK加密無線網絡

　　由于WEP方式存在非常嚴重的漏洞，所以產生了WPA加密方式。WPA全名為Wi-Fi Protected Access，有WPA和WPA2兩個標準。其中，WPA-PSK是WPA/WPA2的簡化版。雖然WPA加密方式比較安全，但是如果有一個強大的密碼字典還是可以將其破解。

　　使用aircrack-ng破解WPA-PSK加密無線網絡，具體操作如下：

(1)、將無線網卡設置為監聽模式。

　　airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線數據包。

　　airodump-ng wlan0mon

(3)、捕獲Micr067無線網絡的數據包。

　　airodump-ng -c 2 -w wpa –bssid 22:16:B9:33:38:F3 wlan0mon

　　在破解WPA加密的數據包時，不是看捕獲的數據包的多少，而是必須要捕獲到握手包才可以。當有新的客戶端連接該WiFi網絡時，即可捕獲到握手包。

　　從上圖右上角可以看到已經捕獲到了握手包，這表示獲得了包含WPA-PSK密碼的四次握手數據包，如果捕獲包的過程中一直沒有捕獲到握手包的話，可以使用aireplay-ng命令進行Deauth攻擊，強制使客戶端重新連接到WiFi網絡，如果還是沒有看到握手包的話，可以增加Deauth的發送數量，再一次對AP進行攻擊。重開一個終端輸入如下命令：

　　aireplay-ng -0 5 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

(4)、使用aircrack-ng破解密碼，對于破解WPA-PSK加密的無線網絡，需要使用-w參數指定密碼字典，命令如下：我們可以使用Crunch工具來創建密碼字典。

　　aircrack-ng -w /root/password.txt wpa-01.cap

1.4、使用aircrack-ng破解WPA2-PSK加密無線網絡

　　對于使用WPA2-PSK加密的無線網絡，其攻擊和破解步驟與WPA-PSK是完全一樣的。唯一不同的是在使用airodump-ng進行無線探測的界面上。如果是WPA-PSK加密無線網絡，則提示為WPA CCMP PSK。如果是WPA2-PSK加密的無線網絡，則提示WPA2 CCMP PSK。