Aircrack-ng工具

　　aircrack-ng是一個與802.11標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)分析的安全軟件，主要功能有網(wǎng)絡(luò)探測、數(shù)據(jù)包嗅探捕獲、WEP和WPA/WPA2-PSK破解。Aircrack可以工作在任何支撐監(jiān)聽模式的無線網(wǎng)卡上，并嗅探802.11a、802.11b、802.11g的數(shù)據(jù)包。

一、Aircrack-ng工具集

　　Aircrack-ng是一個包含了多款工具的無線安全審計套裝。

1、Aircrack-ng工具集組成

2、設(shè)置監(jiān)聽模式-Airmon-ng

　　Airmon-ng主要用來設(shè)置監(jiān)聽模式，只有將無線網(wǎng)卡設(shè)置為監(jiān)聽模式，才可以捕獲到無線網(wǎng)絡(luò)中所有的數(shù)據(jù)包。Airmon-ng工具使用方法如下：

　　airmon-ng <start|stop> <interface> [channel] # 將無線網(wǎng)卡置于監(jiān)聽模式

　　airmon-ng <check> [kill] # 殺死所有可能干擾無線網(wǎng)卡工作的程序

　　-start|stop：表示啟用或停止監(jiān)聽。

　　-interface：指定監(jiān)聽模式的接口。

　　-channel：指定無線網(wǎng)絡(luò)的信道。

　　-check：列出所有可能干擾無線網(wǎng)卡的的程序。

　　-kill：殺死所有可能干擾無線網(wǎng)卡工作的程序。

　　airmon-ng check kill

　　將無線網(wǎng)卡連接到計算機(jī)上，設(shè)置無線網(wǎng)卡直接連接kali虛擬機(jī)，然后查看無線網(wǎng)卡是否安全成功，并開啟監(jiān)聽模式。iwconfig查看無線網(wǎng)卡是否被激活，如未激活使用ifconfig wlan0 up激活。從輸出的信息中看到無線網(wǎng)卡已經(jīng)被置于Monitor(監(jiān)聽)模式，驅(qū)動和芯片分別是rt2800usb和Ralink Technology, Corp. RT2870/RT3070。 如果想要恢復(fù)管理模式執(zhí)行：airmon-ng stop wlan0mon

　　airmon-ng start wlan0 11

3、捕獲數(shù)據(jù)包-Airodump-ng

　　Airodump-ng主要用來進(jìn)行數(shù)據(jù)抓包，以供Aircrack-ng進(jìn)行破解。Airodump-ng使用方法如下：

　　Airodump-ng [選項] [Interface name]

　　Interface name:指定捕獲數(shù)據(jù)包的接口，指定的接口必須是監(jiān)聽的接口名稱。執(zhí)行命令后將顯示掃描到的附近所有的無線AP及連接的客戶端信息。執(zhí)行airodump-ng命令后需要按下Ctrl C鍵停止掃描。

　　airodump-ng wlan0mon

　　顯示的一些信息參數(shù)的說明：

　　BSSID：表示無線AP的MAC地址。在客戶端會話中，如果BSSID值為“not associated”時，表示客戶端沒有關(guān)聯(lián)任何AP。

　　PWR：網(wǎng)卡報告的信號水平，它主要取決于驅(qū)動。當(dāng)信號值超高時，說明AP或計算機(jī)越近。如果BSSID的PWR為-1，說明網(wǎng)卡的驅(qū)動不支持報告信號強(qiáng)度。如果部分客戶端PWR為-1，那么說明該客戶端不在當(dāng)前網(wǎng)卡能監(jiān)聽到的范圍內(nèi)，但是能捕獲到AP發(fā)往客戶端的數(shù)據(jù)包。如果所有的客戶端PWR值都為-1，那么說明網(wǎng)卡驅(qū)動不支持信號強(qiáng)度報告。

　　RXQ：該參數(shù)在指定掃描一個固定頻道的數(shù)據(jù)包時才顯示，表示接收數(shù)據(jù)包的質(zhì)量。它用過去10秒鐘內(nèi)成功接收到的分組（管理和數(shù)據(jù)幀）的百分比來衡量。

　　beacons：無線AP發(fā)出的包數(shù)，每個接入點(diǎn)（AP）在最低速率（1M）時差不多每秒會發(fā)送10個左右的Beacon，所以它們在很遠(yuǎn)的地方就被發(fā)現(xiàn)。

　　#Data：被捕獲到的數(shù)據(jù)分組的數(shù)量（如果是WEP，則代表唯一IV的數(shù)量），包括廣播分組。

　　#/s：過去10秒鐘內(nèi)每秒捕獲數(shù)據(jù)分組的數(shù)量。

　　CH：信道號（從Beacon包中獲?。?/p>

　　MB：無線AP所支持的最大速率。如果MB=11，它是802.11b；如果MB=22，它是802.11b ；如果更高，就是802.11g。后面的點(diǎn)（高于54之后）表示支持短前導(dǎo)碼?！癳”表示網(wǎng)絡(luò)中有QoS(802.11e)啟用。

　　ENC：使用的加密算法體系。OPN表示無加密。WEP？表示W(wǎng)EP或者WPA/WPA2,WEP（沒有問號）表明靜態(tài)或動態(tài)WEP。如果出現(xiàn)TKIP、CCMP或MGT，那么就是WPA/WPA2。

　　CIPHER：檢測到的加密算法，CCMP、WRAAP、TKIP、WEP、WEP104中的一個。典型的來說（不一定），TKIP與WPA結(jié)合使用，CCMP與WPA2結(jié)合使用。如果密鑰索引值大于0，顯示為WEP40。標(biāo)準(zhǔn)情況下0-3是40bit，104bit應(yīng)該是0。

　　AUTH：使用的認(rèn)證協(xié)議。常用的有MGT（WPA/WPA2使用獨(dú)立的認(rèn)證服務(wù)器，平時我們常說的802.1x，radius、eap等），SKA（WEP的共享密鑰），PSK（WPA/WPA2的預(yù)共享密鑰）或者OPN（WEP開放式）。

　　ESSID:也就是所謂的SSID號。如果啟用隱藏的SSID的話，它可以為空，或者顯示為<length>。這種情況下，airodump-ng試圖從proberesponses和associationrequest中獲取SSID。

　　STATION:客戶端的MAC地址，包括連上的和想要搜索無線來連接的客戶端。如果客戶端沒有連接上，就在BSSID下顯示“not associated”。

　　Rate:表示傳輸速率。該參數(shù)只有使用單個信道時才會顯示。

　　Lost:在過去10秒內(nèi)丟失的數(shù)據(jù)分組，基于序列號檢測。它意味著從客戶端來的數(shù)據(jù)丟包，每個非管理幀中都有一個序列號字段，把剛接收到的那個幀中的序列號和前一個幀中的序列號一減就可以知道丟了幾個包。

　　Frames:客戶端發(fā)送的數(shù)據(jù)分組數(shù)量。

　　Probe:被客戶端查探的ESSID。如果客戶端正試圖連接一個AP，但是沒有連接上則將會顯示在這里。

　　Airodump-ng工具是以一種交互形式運(yùn)行的，在交互模式下可以進(jìn)行一些其他操作。其中可使用的命令如下：

　　a:選擇活動區(qū)域中的內(nèi)容，其中，可現(xiàn)實的選項有AP STA ACK、僅AP和僅STA。

　　d:重置為默認(rèn)值（Power）

　　i:反向排序順序

　　m:標(biāo)記被選擇的AP

　　r:激活實時排序

　　s:通過beacon數(shù)字排序

　　SPACE:暫停鋪貨數(shù)據(jù)包。再按一下SPACE鍵，則將繼續(xù)捕獲數(shù)據(jù)包。

　　TAB:啟用或禁用滾動AP列表

　　UP:選擇之前在AP列表中標(biāo)記的AP。

　　DOWN:選擇當(dāng)前標(biāo)記后的AP

1)、過濾數(shù)據(jù)包

　　默認(rèn)情況下會顯示所有掃描到的無線網(wǎng)絡(luò)數(shù)據(jù)包，為了方便分析，我們可以對數(shù)據(jù)包進(jìn)行過濾。例如，根據(jù)加密方式、信道、工作模式、BSSID、ESSID等。

　　下面將演示幾種過濾數(shù)據(jù)包的情況。

　　(1)當(dāng)我們擁有一個非常強(qiáng)大的密碼字典時，可以選擇破解加密方式為WPA、WPA1或WPA2的數(shù)據(jù)包。例如，僅捕獲目標(biāo)AP為WPA2加密方式的數(shù)據(jù)包，執(zhí)行如下命令：

　　airodump-ng -t WPA2 wlan0mon

　　(2)當(dāng)選擇了將要破解的目標(biāo)網(wǎng)絡(luò)時，可以指定僅捕獲BSSID或ESSID的包。例如捕獲BSSID為，ESSID為xxx的包。執(zhí)行命令如下：

　　airodump-ng -N Micr067 wlan0mon

　　(3)默認(rèn)情況下，airodump-ng將會捕獲所有工作在2,4GHz信道的數(shù)據(jù)包。信道是以無線信號作為傳輸媒體的數(shù)據(jù)信號傳送通道。目前主流的WiFi網(wǎng)絡(luò)設(shè)備不管是802.11b/g還是802.11b/g/n模式，一般都支持13個信道。為了提高捕獲數(shù)據(jù)包的效率，可以指定僅捕獲某信道的包，例如，僅捕獲目標(biāo)AP信道為11的數(shù)據(jù)包，執(zhí)行如下命令：

　　airodump-ng -c 11 wlan0mon

　　如果不指定工作信道，將會對所有信道的AP進(jìn)行掃描，并捕獲其數(shù)據(jù)包?？梢允褂?b選項通過指定工作模式，來替換信道對包進(jìn)行過濾。使用-b參數(shù)可以指定的工作模式包括a、b、g三種。其中b和g模式工作的是2.4GHz，a模式工作的頻段是5GHz。例如指定捕獲bg模式數(shù)據(jù)包可以執(zhí)行如下命令：

　　airodump-ng -b bg wlan0mon

　　(4)如果想要破解WEP加密的無線網(wǎng)絡(luò)時，可以使用–ivs選項設(shè)置過濾。–ivs選項表示不保存所有的無線數(shù)據(jù)，而只是保存可用于破解的IVS數(shù)據(jù)報文，這樣可以有效的縮減保存數(shù)據(jù)包的大小。因為破解WEP包時，只需要捕獲足夠的IVS數(shù)據(jù)報文即可將密碼破解出來。不像WPA/WPA2加密的網(wǎng)絡(luò)，必須捕獲到握手包才可以。通常該參數(shù)會和-w選項同時使用?！?w”選項表示將捕獲的數(shù)據(jù)包保存在某文件中。其中，執(zhí)行命令如下：

　　airodump-ng –ivs -w dump wlan0mon

　　執(zhí)行以上命令，生成的文件包名為dump-01.ivs，因為airodump-ng為了方便后面破解時的調(diào)用，所以對保存文件編了號，依次是dump-01.ivs、dump-02.ivs…

2).顯示設(shè)置

　　airodump-ng在捕獲數(shù)據(jù)包時，終端顯示結(jié)果不斷的刷新。我們可以使用不同的選項重新設(shè)置airodump-ng自動更新顯示結(jié)果的時間。可以設(shè)置的選項如下：

　　-u <secs>,–update <secs>:設(shè)置顯示更新之間的延遲，單位為秒。默認(rèn)更新時間為1秒。

　　–berlin <secs>：設(shè)置當(dāng)前終端不接受數(shù)據(jù)包時，刪除多長時間之前的AP或客戶端。默認(rèn)，是120秒。

　　-U，–uptime：顯示AP正常運(yùn)行的時間。當(dāng)使用該選項后，輸出結(jié)果中將會顯示一個名為UODATE的列。

　　-I <seconds>,–write-interval <seconds>:將輸出結(jié)果寫入到文件的時間間隔。

　　顯示目標(biāo)AP正常運(yùn)行的時間，命令如下：

　　airodump-ng -U wlan0mon

3).保存捕獲的數(shù)據(jù)包

　　為了方便進(jìn)行分析或者破解目標(biāo)網(wǎng)絡(luò)，可以將airodump-ng工具捕獲的數(shù)據(jù)包保存到一個文件中。airodump-ng工具捕獲的數(shù)據(jù)包文件都有對應(yīng)的工具可以打開，然后即可分析捕獲的數(shù)據(jù)包。當(dāng)使用aircrack-ng進(jìn)行破解網(wǎng)絡(luò)時，就是通過分析捕獲的包文件來破解密碼的。

　　將捕獲的數(shù)據(jù)包保存在名為packet文件中，執(zhí)行如下命令，會生成以下5個文件，其中packet-01.cap是用來破解WPA/WPA2加密的無線網(wǎng)絡(luò)的。

airodump-ng -w packet wlan0mon

　　在使用airodump-ng捕獲數(shù)據(jù)包時，可以同時制定多個選項，例如捕獲BSSID(MAC地址)為50:2B:73:18:ED:81的AP所有的數(shù)據(jù)包，并將保存文件命名為packet，以及指定該AP工作的信道，命令如下：

airodump-ng -w packet –bssid 50:2B:73:18:ED:81 -c 2 wlan0mon

.ivs包和.cap包的區(qū)別：

　　若只是為了破解的話，建議保存為.ivs,優(yōu)點(diǎn)是生成文件小且效率高。若是為了破解后同時對捕獲到的數(shù)據(jù)包進(jìn)行分析的話就保存為cap。這樣就能及時作出分析，如內(nèi)網(wǎng)IP地址、密碼等。當(dāng)然，缺點(diǎn)就是文件會比較大。

4).讀取數(shù)據(jù)包

　　airodump-ng工具可以讀取一個捕獲文件(文件后綴為cap)中的數(shù)據(jù)包。使用tcpdump和wireshark工具捕獲的數(shù)據(jù)包也可以使用airodump-ng來讀取，分析包的內(nèi)容。

　　airodump-ng -r 捕獲文件

4、注入數(shù)據(jù)包-aireplay-ng

　　aireplay-ng是一個數(shù)據(jù)包注入工具，它可以指定AP發(fā)送結(jié)束認(rèn)證包，將一個或多個客戶端與AP斷開連接。該工具的主要目的是強(qiáng)制客戶端握手（重新連接），從而獲取WPA/WPA2握手?jǐn)?shù)據(jù)包。該工具主要是結(jié)合airodump-ng來使用的。所以在使用aireplay-ng工具進(jìn)行數(shù)據(jù)包注入時，airodump-ng必須處于運(yùn)行狀態(tài)。aireplay-ng使用方法如下：

　　aireplay-ng [選項] [replay interface]

　　aireplay-ng共提供了10種攻擊模式（常用的是前5種）：

　　-0 count，–deauth count：Deauth攻擊模式，count表示發(fā)送次數(shù)，如果設(shè)置為0，則表示循環(huán)攻擊，不停的斷開連接，客戶端無法正常上網(wǎng)。

　　-1 delay,–fakeauth delay:偽裝一個客戶端和AP進(jìn)行連接，其中delay表示連接的延遲時間。

　　-2,–interactive：交互攻擊模式。

　　-3,–ARPreplay：ArpRequest注入攻擊模式，這種模式是一種抓包后分析重發(fā)的過程。

　　-4,–chopchop:攻擊模式，用來獲得一個包含密鑰數(shù)據(jù)的xor文件。

　　-5,–fragment：碎片攻擊模式，用來獲得PRGA(包含密鑰的后綴為xor的文件)

　　-6,coffe-latte：客戶端查詢新IV（初始化向量）。

　　-7,–cfrag：對一個客戶端的片段。

　　-8,–migmode:攻擊WPA遷移模式。

　　-9,–test:測試注入和質(zhì)量。

1)、當(dāng)希望連接某個AP時，可以使用偽裝客戶端連接的攻擊模式，命令如下：

　　aireplay-ng –fakeauth 0 -e "Test" -a 22:16:B9:33:38:F3 wlan0mon

　　-e：指定目標(biāo)AP的ESSID。

　　-a：指定目標(biāo)AP的BSSID。

2)、在偽裝客戶端時，可以使用一些相關(guān)選項來定義發(fā)送的數(shù)據(jù)包。例如使用-o選項指定每組數(shù)據(jù)包數(shù)；-q選項指定發(fā)送keep-alive包的間隔時間。命令如下：

　　aireplay-ng -1 6000 -o 1 -q 10 -e Test -a 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

3)、當(dāng)用戶進(jìn)行WEP破解時，可以使用ArpRequest注入攻擊方式。通過使用這種攻擊方式來讀取ARP請求報文，并偽造報文再次重發(fā)出去，可以刺激AP產(chǎn)生更多的數(shù)據(jù)包，從而加快破解過程。命令如下：

　　aireplay-ng -3 -b 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

　　-b：指定目標(biāo)AP的MAC地址。

　　-h：指定客戶端的MAC地址，也就是使用airodump-ng探測到的有效的無線客戶端MAC地址。

　　從輸出信息中可以看出成功攔截到大量ARP請求報文，并且重新偽造這些報文并發(fā)送出去。此時在airodump-ng界面將會看到對應(yīng)的Data列數(shù)字在飛速遞增。

4)、當(dāng)用戶破解WPA/WPA2包時，可以使用aireplay-ng工具進(jìn)行Deauth攻擊模式。使用這種攻擊方式是為了獲得破解所需的WPA-PSK握手驗證的整個完整數(shù)據(jù)包。通過使用這種攻擊方式，攻擊主機(jī)將發(fā)送一種稱之為“Deauth”的數(shù)據(jù)包將已連接至AP的合法客戶端強(qiáng)制斷開連接。此時，客戶端就會自動重新連接無線路由器。這樣滲透測試者就有機(jī)會捕獲到包含WPA-PSK握手驗證的完整數(shù)據(jù)包了，命令如下：

　　aireplay-ng -0 1 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

二、使用aircrack-ng破解WEP加密無線網(wǎng)絡(luò)

　　WEP是一種比較簡單的加密方式，使用的是RC4的RSA數(shù)據(jù)加密技術(shù)。由于這種加密技術(shù)存在很多漏洞，所以非常容易被破解出密碼。使用aircrack破解WEP加密網(wǎng)絡(luò)，操作步驟如下：

(1)、將無線網(wǎng)卡設(shè)置為監(jiān)聽模式

　　airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線數(shù)據(jù)包。通常情況下，在正式抓包前，都會先進(jìn)行探測，以獲取到當(dāng)前無線網(wǎng)絡(luò)概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端MAC及數(shù)量等。用戶只需要在終端執(zhí)行如下命令：

　　airodump-ng wlan0mon

　　選擇目標(biāo)是SSID為“Micr067”的AP，其BSSID(MAC)為：22:16:B9:33:38:F3，工作頻道為2，已連接的無線客戶端MAC為：A4:50:46:E0:FA:06。此時可針對攻擊目標(biāo)捕獲其數(shù)據(jù)包，并實現(xiàn)密碼破解，命令如下：

　　airodump-ng –ivs -w web -c 2 wlan0mon

　　可以看到已經(jīng)開始了數(shù)據(jù)包的抓取。如果連接該無線路由器/AP的無線客戶端正在進(jìn)行大流量的交互，如看視頻、下載大文件，則可以依靠單純的抓包就可以破解出WEP密碼。但是此過程需要等待的時間比較長。所以我們一般使用aireplay-ng工具進(jìn)行數(shù)據(jù)包注入來加快破解過程。

(3)、使用aireplay-ng工具進(jìn)行ArpRequest注入攻擊。此時不需要將airodump-ng界面關(guān)閉，重新打開一個窗口運(yùn)行aireplay-ng命令即可。命令如下：

　　aireplay-ng -3 -b 22:16:B9:33:38:F3 -h A4:50:46:E0:EA:06 wlan0mon

　　成功執(zhí)行以上命令后將看到airodump-ng捕獲數(shù)據(jù)包界面中Micr067的Data列數(shù)字在飛速增長，并且已經(jīng)抓到了握手包。

　　當(dāng)抓取到的無線數(shù)據(jù)報文達(dá)到一定數(shù)量后（一般都是ivs2萬以上時），就可以開始破解了。若不能成功破解就繼續(xù)抓取數(shù)據(jù)包，多嘗試幾次。

　　注：進(jìn)行破解時不需要將注入攻擊的終端關(guān)閉，而是另開一個終端進(jìn)行同步破解。

(4)、使用aircrack-ng工具破解WEP加密的網(wǎng)絡(luò)。命令如下：

　　aircrack-ng [選項] [捕獲的文件]

　　通常用于破解無線網(wǎng)絡(luò)使用的是.ivs和.cap格式的文件。其中ivs文件通常用于破解WEP加密的網(wǎng)絡(luò)；.cap文件用于破解WPA/WPA2加密的網(wǎng)絡(luò)。破解WEP加密網(wǎng)絡(luò)執(zhí)行如下命令：

　　aircrack-ng web-01.ivs

　　用戶在破解密碼時，也可以使用-b選項指定目標(biāo)AP的BSSID，或者使用-e選項指定目標(biāo)AP的ESSID。這樣就可以避免在破解時出現(xiàn)多個AP（工作在同一信道）進(jìn)行選擇。例如指定目標(biāo)AP的BSSID，命令如下：

　　aircrack-ng -z -b xxx wep-01.ivs

　　-z：指定使用PTW攻擊方式。

　　提示：在使用aircrack-ng破解密碼時，雖然可以使用PTW和KoreK兩種攻擊方式。但是通常情況下，PTW攻擊方式比較快。

三、使用aircrack-ng破解WPA-PSK加密無線網(wǎng)絡(luò)

　　由于WEP方式存在非常嚴(yán)重的漏洞，所以產(chǎn)生了WPA加密方式。WPA全名為Wi-Fi Protected Access，有WPA和WPA2兩個標(biāo)準(zhǔn)。其中，WPA-PSK是WPA/WPA2的簡化版。雖然WPA加密方式比較安全，但是如果有一個強(qiáng)大的密碼字典還是可以將其破解。

　　使用aircrack-ng破解WPA-PSK加密無線網(wǎng)絡(luò)，具體操作如下：

(1)、將無線網(wǎng)卡設(shè)置為監(jiān)聽模式。

　　airmon-ng start wlan0

(2)、使用airodump-ng工具抓取無線數(shù)據(jù)包。

　　airodump-ng wlan0mon

(3)、捕獲Micr067無線網(wǎng)絡(luò)的數(shù)據(jù)包。

　　airodump-ng -c 2 -w wpa –bssid 22:16:B9:33:38:F3 wlan0mon

　　在破解WPA加密的數(shù)據(jù)包時，不是看捕獲的數(shù)據(jù)包的多少，而是必須要捕獲到握手包才可以。當(dāng)有新的客戶端連接該WiFi網(wǎng)絡(luò)時，即可捕獲到握手包。

　　從上圖右上角可以看到已經(jīng)捕獲到了握手包，這表示獲得了包含WPA-PSK密碼的四次握手?jǐn)?shù)據(jù)包，如果捕獲包的過程中一直沒有捕獲到握手包的話，可以使用aireplay-ng命令進(jìn)行Deauth攻擊，強(qiáng)制使客戶端重新連接到WiFi網(wǎng)絡(luò)，如果還是沒有看到握手包的話，可以增加Deauth的發(fā)送數(shù)量，再一次對AP進(jìn)行攻擊。重開一個終端輸入如下命令：

　　aireplay-ng -0 5 -a 22:16:B9:33:38:F3 -c A4:50:46:E0:EA:06 wlan0mon

(4)、使用aircrack-ng破解密碼，對于破解WPA-PSK加密的無線網(wǎng)絡(luò)，需要使用-w參數(shù)指定密碼字典，命令如下：我們可以使用Crunch工具來創(chuàng)建密碼字典。

　　aircrack-ng -w /root/password.txt wpa-01.cap

1.4、使用aircrack-ng破解WPA2-PSK加密無線網(wǎng)絡(luò)

　　對于使用WPA2-PSK加密的無線網(wǎng)絡(luò)，其攻擊和破解步驟與WPA-PSK是完全一樣的。唯一不同的是在使用airodump-ng進(jìn)行無線探測的界面上。如果是WPA-PSK加密無線網(wǎng)絡(luò)，則提示為WPA CCMP PSK。如果是WPA2-PSK加密的無線網(wǎng)絡(luò)，則提示W(wǎng)PA2 CCMP PSK。