什么是Aircrackng

1、什么是aircrack-ngaircrack-ng是一款用于破解無線802.11wep及wpa-psk加密的工具，該工具在2005年11月之前名字是aircrack，在其2.41版本之后才改名為aircrack-ng。aircrack-ng主要使用了兩種攻擊方式進(jìn)行wep破解：一種是fms攻擊，該攻擊方式是以發(fā)現(xiàn)該wep漏洞的研究人員名字（scott fluhrer、itsik mantin及adi shamir）所命名；另一種是korek攻擊，經(jīng)統(tǒng)計(jì)，該攻擊方式的攻擊效率要遠(yuǎn)高于fms攻擊。當(dāng)然，最新的版本又集成了更多種類型的攻擊方式。對于無線黑客而言，aircrack-ng是一款必不可缺的

2、無線攻擊工具，可以說很大一部分無線攻擊都依賴于它來完成；而對于無線安全人員而言，aircrack-ng也是一款必備的無線安全檢測工具，它可以幫助管理員進(jìn)行無線網(wǎng)絡(luò)密碼的脆弱性檢查及了解無線網(wǎng)絡(luò)信號的分布情況，非常適合對企業(yè)進(jìn)行無線安全審計(jì)時(shí)使用。aircrack-ng（注意大小寫）是一個(gè)包含了多款工具的無線攻擊審計(jì)套裝，這里面很多工具在后面的內(nèi)容中都會用到，具體見下表1為aircrack-ng包含的組件具體列表。表1 述aircrack-ng主要用于wep及wpa-psk密碼的恢復(fù)，只要airodump-ng收集到足夠數(shù)量的數(shù)據(jù)包，aircrack-ng就可以自動檢測數(shù)據(jù)包并判斷是否可以破解a

3、irmon-ng用于改變無線網(wǎng)卡工作模式，以便其他工具的順利使用airodump-ng用于捕獲802.11數(shù)據(jù)報(bào)文，以便于aircrack-ng破解aireplay-ng在進(jìn)行wep及wpa-psk密碼恢復(fù)時(shí)，可以根據(jù)需要創(chuàng)建特殊的無線網(wǎng)絡(luò)數(shù)據(jù)報(bào)文及流量airserv-ng可以將無線網(wǎng)卡連接至某一特定端口，為攻擊時(shí)靈活調(diào)用做準(zhǔn)備airolib-ng進(jìn)行wpa rainbow table攻擊時(shí)使用，用于建立特定數(shù)據(jù)庫文件airdecap-ng用于解開處于加密狀態(tài)的數(shù)據(jù)包tools其他用于輔助的工具，如airdriver-ng、packetforge-ng等aircrack-ng在 backtra

4、ck4 r2下已經(jīng)內(nèi)置（下載backtrack4 r2），具體調(diào)用方法如下圖2所示：通過依次選擇菜單中“backtrack”“radio network analysis” “80211”“cracking”“aircrack-ng ”，即可打開aircrack-ng的主程序界面。也可以直接打開一個(gè)shell，在里面直接輸入aircrack-ng命令回車也能看到aircrack-ng的使用參數(shù)幫助。使用aircrack-ng破解wep加密無線網(wǎng)絡(luò)首先講述破解采用wep加密內(nèi)容，啟用此類型加密的無線網(wǎng)絡(luò)往往已被列出嚴(yán)重不安全的網(wǎng)絡(luò)環(huán)境之一。而aircrack-ng正是破解此類加密的強(qiáng)力武器中的首

5、選，關(guān)于使用aircrack-ng套裝破解wep加密的具體步驟如下。步驟1：載入無線網(wǎng)卡。其實(shí)很多新人們老是在開始載入網(wǎng)卡的時(shí)候出現(xiàn)一些疑惑，所以我們就把這個(gè)基本的操作仔細(xì)看看。首先查看當(dāng)前已經(jīng)載入的網(wǎng)卡有哪些，輸入命令如下：ifconfig回車后可以看到如下圖3所示內(nèi)容，我們可以看到這里面除了eth0之外，并沒有無線網(wǎng)卡。圖3確保已經(jīng)正確插入usb或者pcmcia型無線網(wǎng)卡，此時(shí)，為了查看無線網(wǎng)卡是否已經(jīng)正確連接至系統(tǒng)，應(yīng)輸入：ifconfig -a參數(shù)解釋：-a 顯示主機(jī)所有網(wǎng)絡(luò)接口的情況。和單純的ifconfig命令不同，加上-a參數(shù)后可以看到所有連接至當(dāng)前系統(tǒng)網(wǎng)絡(luò)接口的適配器。如下圖4

6、所示，我們可以看到和上圖3相比，出現(xiàn)了名為wlan0的無線網(wǎng)卡，這說明無線網(wǎng)卡已經(jīng)被backtrack4 r2 linux識別。圖4既然已經(jīng)識別出來了，那么接下來就可以激活無線網(wǎng)卡了。說明一下，無論是有線還是無線網(wǎng)絡(luò)適配器，都需要激活，否則是無法使用滴。這步就相當(dāng)于windows下將“本地連接”啟用一樣，不啟用的連接是無法使用的。在上圖4中可以看到，出現(xiàn)了名為wlan0的無線網(wǎng)卡，ok，下面輸入：ifconfig wlan0 up參數(shù)解釋：up 用于加載網(wǎng)卡的，這里我們來將已經(jīng)插入到筆記本的無線網(wǎng)卡載入驅(qū)動。在載入完畢后，我們可以再次使用ifconfig進(jìn)行確認(rèn)。如下圖5所示，此時(shí)，系統(tǒng)已經(jīng)正

7、確識別出無線網(wǎng)卡了。圖5當(dāng)然，通過輸入iwconfig查看也是可以滴。這個(gè)命令專用于查看無線網(wǎng)卡，不像ifconfig那樣查看所有適配器。iwconfig該命令在linux下用于查看有無無線網(wǎng)卡以及當(dāng)前無線網(wǎng)卡狀態(tài)。如下圖6所示。圖6步驟2：激活無線網(wǎng)卡至monitor即監(jiān)聽模式。對于很多小黑來說，應(yīng)該都用過各式各樣的嗅探工具來抓取密碼之類的數(shù)據(jù)報(bào)文。那么，大家也都知道，用于嗅探的網(wǎng)卡是一定要處于monitor監(jiān)聽模式地。對于無線網(wǎng)絡(luò)的嗅探也是一樣。在linux下，我們使用aircrack-ng套裝里的airmon-ng工具來實(shí)現(xiàn)，具體命令如下：airmon-ng start wlan0參數(shù)解

8、釋：start 后跟無線網(wǎng)卡設(shè)備名稱，此處參考前面ifconfig顯示的無線網(wǎng)卡名稱；如下圖7所示，我們可以看到無線網(wǎng)卡的芯片及驅(qū)動類型，在chipset芯片類型上標(biāo)明是ralink 2573芯片，默認(rèn)驅(qū)動為rt73usb，顯示為“monitor mode enabled on mon0”，即已啟動監(jiān)聽模式，監(jiān)聽模式下適配器名稱變更為mon0。步驟3：探測無線網(wǎng)絡(luò)，抓取無線數(shù)據(jù)包。在激活無線網(wǎng)卡后，我們就可以開啟無線數(shù)據(jù)包抓包工具了，這里我們使用aircrack-ng套裝里的airmon-ng工具來實(shí)現(xiàn)，具體命令如下：不過在正式抓包之前，一般都是先進(jìn)行預(yù)來探測，來獲取當(dāng)前無線網(wǎng)絡(luò)概況，包括ap

9、的ssid、mac地址、工作頻道、無線客戶端mac及數(shù)量等。只需打開一個(gè)shell，輸入具體命令如下：airodump-ng mon0參數(shù)解釋：mon0為之前已經(jīng)載入并激活監(jiān)聽模式的無線網(wǎng)卡。如下圖8所示。圖8回車后，就能看到類似于下圖9所示，這里我們就直接鎖定目標(biāo)是ssid為“tp-link”的ap，其bssid（mac）為“00：19：e0：eb：33：66”，工作頻道為6，已連接的無線客戶端mac為“00：1f：38：c9：71：71”。圖9既然我們看到了本次測試要攻擊的目標(biāo)，就是那個(gè)ssid名為tp-link的無線路由器，接下來輸入命令如下：airodump-ng -ivs w lon

10、gas -c 6 wlan0參數(shù)解釋：-ivs 這里的設(shè)置是通過設(shè)置過濾，不再將所有無線數(shù)據(jù)保存，而只是保存可用于破解的ivs數(shù)據(jù)報(bào)文，這樣可以有效地縮減保存的數(shù)據(jù)包大?。?c 這里我們設(shè)置目標(biāo)ap的工作頻道，通過剛才的觀察，我們要進(jìn)行攻擊測試的無線路由器工作頻道為6；-w 后跟要保存的文件名，這里w就是“write寫”的意思，所以輸入自己希望保持的文件名，如下圖10所示我這里就寫為longas。那么，小黑們一定要注意的是：這里我們雖然設(shè)置保存的文件名是longas，但是生成的文件卻不是longase.ivs，而是longas-01.ivs。圖10注意：這是因?yàn)閍irodump-ng這款工具為

11、了方便后面破解時(shí)候的調(diào)用，所以對保存文件按順序編了號，于是就多了-01這樣的序號，以此類推，在進(jìn)行第二次攻擊時(shí)，若使用同樣文件名longas保存的話，就會生成名為longas-02.ivs的文件，一定要注意哦，別到時(shí)候找不到又要怪我沒寫清楚：）啊，估計(jì)有的朋友們看到這里，又會問在破解的時(shí)候可不可以將這些捕獲的數(shù)據(jù)包一起使用呢，當(dāng)然可以，屆時(shí)只要在載入文件時(shí)使用longas*.cap即可，這里的星號指代所有前綴一致的文件。在回車后，就可以看到如下圖11所示的界面，這表示著無線數(shù)據(jù)包抓取的開始。步驟4：對目標(biāo)ap使用arprequest注入攻擊若連接著該無線路由器/ap的無線客戶端正在進(jìn)行大流量的

12、交互，比如使用迅雷、電騾進(jìn)行大文件下載等，則可以依靠單純的抓包就可以破解出wep密碼。但是無線黑客們覺得這樣的等待有時(shí)候過于漫長，于是就采用了一種稱之為“arp request”的方式來讀取arp請求報(bào)文，并偽造報(bào)文再次重發(fā)出去，以便刺激ap產(chǎn)生更多的數(shù)據(jù)包，從而加快破解過程，這種方法就稱之為arprequest注入攻擊。具體輸入命令如下：aireplay-ng -3 -b ap的mac -h 客戶端的mac mon0參數(shù)解釋：-3 指采用arprequesr注入攻擊模式；-b 后跟ap的mac地址，這里就是前面我們探測到的ssid為tplink的ap的mac；-h 后跟客戶端的mac地址，也

13、就是我們前面探測到的有效無線客戶端的mac；最后跟上無線網(wǎng)卡的名稱，這里就是mon0啦?；剀嚭髮吹饺缦聢D12所示的讀取無線數(shù)據(jù)報(bào)文，從中獲取arp報(bào)文的情況出現(xiàn)。圖12在等待片刻之后，一旦成功截獲到arp請求報(bào)文，我們將會看到如下圖13所示的大量arp報(bào)文快速交互的情況出現(xiàn)。圖13此時(shí)回到airodump-ng的界面查看，在下圖14中我們可以看到，作為tp-link的packets欄的數(shù)字在飛速遞增。步驟5：打開aircrack-ng，開始破解wep。在抓取的無線數(shù)據(jù)報(bào)文達(dá)到了一定數(shù)量后，一般都是指ivs值達(dá)到2萬以上時(shí)，就可以開始破解，若不能成功就等待數(shù)據(jù)報(bào)文的繼續(xù)抓取然后多試幾次。注意

14、，此處不需要將進(jìn)行注入攻擊的shell關(guān)閉，而是另外開一個(gè)shell進(jìn)行同步破解。輸入命令如下：aircrack-ng 捕獲的ivs文件關(guān)于ivs的值數(shù)量，我們可以從如下圖15所示的界面中看到，當(dāng)前已經(jīng)接受到的ivs已經(jīng)達(dá)到了1萬5千以上，aircrack-ng已經(jīng)嘗試了41萬個(gè)組合。圖15那么經(jīng)過很短時(shí)間的破解后，就可以看到如下圖16中出現(xiàn)“key found”的提示，緊跟后面的是16進(jìn)制形式，再后面的ascii部分就是密碼啦，此時(shí)便可以使用該密碼來連接目標(biāo)ap了。 一般來說，破解64位的wep至少需要1萬ivs以上，但若是要確保破解的成功，應(yīng)捕獲盡可能多的ivs數(shù)據(jù)。比如下圖16所示的高強(qiáng)

15、度復(fù)雜密碼破解成功依賴于8萬多捕獲的ivs。圖16注意：由于是對指定無線頻道的數(shù)據(jù)包捕獲，所以有的時(shí)候大家會看到如下圖17中一樣的情景，在破解的時(shí)候出現(xiàn)了多達(dá)4個(gè)ap的數(shù)據(jù)報(bào)文，這是由于這些ap都工作在一個(gè)頻道所致，很常見的。此時(shí)，選擇我們的目標(biāo)，即標(biāo)為1的、ssid位dlink的那個(gè)數(shù)據(jù)包即可，輸入1，回車后即可開始破解?？吹竭@里，可能有的朋友會說，這些都是弱密碼（就是過于簡單的密碼），所以才這么容易破解，大不了我用更復(fù)雜點(diǎn)的密碼總可以了吧，比如#87g之類的，即使是采用更為復(fù)雜的密碼，這樣真的就安全了嗎？嘿嘿，那就看看下圖18中顯示的密碼吧：）圖18正如你所看到的，在上圖18中白框處破解出

16、來的密碼已經(jīng)是足夠復(fù)雜的密碼了吧？我們放大看一看，如下圖19所示，這樣采用了大寫字母、小寫字母、數(shù)字和特殊符號的長達(dá)13位的wep密碼，在獲得了足夠多的ivs后，破解出來只花費(fèi)了約4秒鐘！圖19現(xiàn)在，你還認(rèn)為自己的無線網(wǎng)絡(luò)安全么？哈，這還只是個(gè)開始，我們接著往下看。補(bǔ)充一下：若希望捕獲數(shù)據(jù)包時(shí)，能夠不但是捕獲包括ivs的內(nèi)容，而是捕獲所有的無線數(shù)據(jù)包，也可以在事后分析，那么可以使用如下命令：airodump-ng w longas -c 6 wlan0就是說，不再-ivs過濾，而是全部捕獲，這樣的話，捕獲的數(shù)據(jù)包將不再是longas-01.ivs，而是longas-01.cap，請大家注意。命

17、令如下圖20所示。圖20同樣地，在破解的時(shí)候，對象也變成了longas-*.cap。命令如下：aircrack-ng 捕獲的cap文件回車后如下圖21所示，一樣破解出了密碼。圖21可能有的朋友又要問，ivs和cap直接的區(qū)別到底在哪兒呢？其實(shí)很簡單，若只是為了破解的話，建議保存為ivs，優(yōu)點(diǎn)是生成文件小且效率高。若是為了破解后同時(shí)來對捕獲的無線數(shù)據(jù)包分析的話，就選為cap，這樣就能及時(shí)作出分析，比如內(nèi)網(wǎng)ip地址、密碼等，當(dāng)然，缺點(diǎn)就是文件會比較大，若是在一個(gè)復(fù)雜無線網(wǎng)絡(luò)環(huán)境的話，短短20分鐘，也有可能使得捕獲的數(shù)據(jù)包大小超過200mb。如下圖22所示，我們使用du命令來比較上面破解所捕獲的文件

18、大小?？梢钥吹?，longas-01.ivs只有3088kb，也就算是3mb，但是longas-02.cap則達(dá)到了22728kb，達(dá)到了20mb左右！結(jié)合上小節(jié)的內(nèi)容，下面繼續(xù)是以backtrack4 r2 linux為環(huán)境，講述破解wpa-psk加密無線網(wǎng)絡(luò)的具體步驟，詳細(xì)如下。步驟1：升級aircrack-ng。前面在第一章1.3節(jié)我們已經(jīng)講述了升級aircrack-ng套裝的詳細(xì)步驟，這里也是一樣，若條件允許，應(yīng)將aircrack-ng升級到最新的aircrack-ng 1.1版。由于前面我已經(jīng)給出了詳細(xì)的步驟，這里就不再重復(fù)。除此之外，為了更好地識別出無線網(wǎng)絡(luò)設(shè)備及環(huán)境，最好對airo

19、dump-ng的oui庫進(jìn)行升級，先進(jìn)入到aircrack-ng的安裝目錄下，然后輸入命令如下：airodump-ng-oui-update回車后，就能看到如下圖23所示的開始下載的提示，稍等一會兒，這個(gè)時(shí)間會比較長，恩，建議預(yù)先升級，不要臨陣磨槍。圖23步驟2：載入并激活無線網(wǎng)卡至monitor即監(jiān)聽模式。在進(jìn)入backtrack4 r2系統(tǒng)后，載入無線網(wǎng)卡的順序及命令部分，依次輸入下述命令：startx 進(jìn)入到圖形界面ifconfig a 查看無線網(wǎng)卡狀態(tài)ifconfig wlan0 up 載入無線網(wǎng)卡驅(qū)動airmon-ng start wlan0 激活網(wǎng)卡到monitor模式如下圖24所

20、示，我們可以看到無線網(wǎng)卡的芯片及驅(qū)動類型，在chipset芯片類型上標(biāo)明是ralink 2573芯片，默認(rèn)驅(qū)動為rt73usb，顯示為“monitor mode enabled on mon0”，即已啟動監(jiān)聽模式，監(jiān)聽模式下適配器名稱變更為mon0。圖24步驟3：探測無線網(wǎng)絡(luò)，抓取無線數(shù)據(jù)包。在激活無線網(wǎng)卡后，我們就可以開啟無線數(shù)據(jù)包抓包工具了，這里我們使用aircrack-ng套裝里的airodump-ng工具來實(shí)現(xiàn)，具體命令如下：airodump-ng -c 6 w longas mon0參數(shù)解釋：-c 這里我們設(shè)置目標(biāo)ap的工作頻道，通過觀察，我們要進(jìn)行攻擊測試的無線路由器工作頻道為6；

21、-w 后跟要保存的文件名，這里w就是“write寫”的意思，所以輸入自己希望保持的文件名，這里我就寫為longas。那么，小黑們一定要注意的是：這里我們雖然設(shè)置保存的文件名是longas，但是生成的文件卻不是longas.cap，而是longas-01.cap。mon0 為之前已經(jīng)載入并激活監(jiān)聽模式的無線網(wǎng)卡。如下圖25所示。在回車后，就可以看到如下圖25所示的界面，這表示著無線數(shù)據(jù)包抓取的開始。接下來保持這個(gè)窗口不動，注意，不要把它關(guān)閉了。另外打開一個(gè)shell。進(jìn)行后面的內(nèi)容。圖25步驟4：進(jìn)行deauth攻擊加速破解過程。和破解wep時(shí)不同，這里為了獲得破解所需的wpa-psk握手驗(yàn)證的

22、整個(gè)完整數(shù)據(jù)包，無線黑客們將會發(fā)送一種稱之為“deauth”的數(shù)據(jù)包來將已經(jīng)連接至無線路由器的合法無線客戶端強(qiáng)制斷開，此時(shí)，客戶端就會自動重新連接無線路由器，黑客們也就有機(jī)會捕獲到包含wpa-psk握手驗(yàn)證的完整數(shù)據(jù)包了。此處具體輸入命令如下：aireplay-ng -0 1 a ap的mac -c 客戶端的mac wlan0參數(shù)解釋：-0 采用deauth攻擊模式，后面跟上攻擊次數(shù)，這里我設(shè)置為1，大家可以根據(jù)實(shí)際情況設(shè)置為10不等；-a 后跟ap的mac地址；-c 后跟客戶端的mac地址；回車后將會看到如下圖26所示的deauth報(bào)文發(fā)送的顯示。圖26此時(shí)回到airodump-ng的界面查

23、看，在下圖27中我們可以看到在右上角出現(xiàn)了“wpa handshake”的提示，這表示獲得到了包含wpa-psk密碼的4此握手?jǐn)?shù)據(jù)報(bào)文，至于后面是目標(biāo)ap的mac，這里的ap指的就是要破解的無線路由器。圖27若我們沒有在airodump-ng工作的界面上看到上面的提示，那么可以增加deauth的發(fā)送數(shù)量，再一次對目標(biāo)ap進(jìn)行攻擊。比如將-0參數(shù)后的數(shù)值改為10。如下圖28所示。圖28步驟5：開始破解wpa-psk。在成功獲取到無線wpa-psk驗(yàn)證數(shù)據(jù)報(bào)文后，就可以開始破解，輸入命令如下：aircrack-ng -w dic 捕獲的cap文件參數(shù)解釋：-w 后跟預(yù)先制作的字典，這里是bt4下默

24、認(rèn)攜帶的字典。在回車后，若捕獲數(shù)據(jù)中包含了多個(gè)無線網(wǎng)絡(luò)的數(shù)據(jù)，也就是能看到多個(gè)ssid出現(xiàn)的情況。這就意味著其它ap的無線數(shù)據(jù)皆因?yàn)楣ぷ髟谕活l道而被同時(shí)截獲到，由于數(shù)量很少所以對于破解來說沒有意義。此處輸入正確的選項(xiàng)即對應(yīng)目標(biāo)ap的mac值，回車后即可開始破解。如下圖29所示為命令輸入情況。圖29由下圖30可以看到，在雙核t7100的主頻+4gb內(nèi)存下破解速度達(dá)到近450k/s，即每秒鐘嘗試450個(gè)密碼。圖30經(jīng)過不到1分多鐘的等待，我們成功破解出了密碼。如下圖31所示，在“key found”提示的右側(cè)，可以看到密碼已被破解出。密碼明文為“l(fā)ongaslast”，破解速度約為450 key

25、/s。若是能換成4核cpu的話，還能更快一些。對于啟用wpa2-psk加密的無線網(wǎng)絡(luò)，其攻擊和破解步驟及工具是完全一樣的，不同的是，在使用airodump-ng進(jìn)行無線探測的界面上，會提示為wpa ccmp psk。如下圖32所示。圖32當(dāng)我們使用aireplay-ng進(jìn)行deauth攻擊后，同樣可以獲得到wpa握手?jǐn)?shù)據(jù)包及提示，如下圖33所示。圖33同樣地，使用aircrack-ng進(jìn)行破解，命令如下：aircrack-ng -w dic 捕獲的cap文件參數(shù)解釋：-w 后跟預(yù)先制作的字典文件經(jīng)過1分多鐘的等待，可以在下圖34中看到提示：“key found！”后面即為wpa2-psk連接密

26、碼19890305。圖34現(xiàn)在，看明白了吧？破解wpa-psk對硬件要求及字典要求很高，所以只要你多準(zhǔn)備一恩，下面使一些初學(xué)無線安全的小黑們在攻擊中可能遇到的問題，列舉出來方便有朋友對號入座：1我的無線網(wǎng)卡為何無法識別？答：bt4支持的無線網(wǎng)卡有很多，比如對采用atheros、prism2和ralink芯片的無線網(wǎng)卡，無論是pcmcia還是pci，亦或是usb的，支持性還是很高的。要注意bt4也不是所有符合芯片要求的無線網(wǎng)卡都支持的，有些同型號的但是硬件固件版本不同就不可以，具體可以參考aircrack-ng官方網(wǎng)站的說明。2為什么我輸入的命令老是提示錯誤？答：呃沒什么說的，兄弟，注意大小寫和路徑吧。3為什么使用airodump-ng進(jìn)行的的arprequest注入攻擊包時(shí)，速度很緩慢？答：原因主要有兩個(gè)：（1是可能該無線網(wǎng)卡對這些無線工具的支持性不好，比如很多筆記本自帶的無線網(wǎng)卡支持性就不好；（2是若只是在本地搭建的實(shí)驗(yàn)環(huán)境的話，會因?yàn)榭蛻舳伺cap交互過少，而出現(xiàn)arp注入攻擊緩慢的情況，但若是個(gè)客戶端很多的環(huán)境，比如商業(yè)繁華區(qū)或者大學(xué)科技樓，很多用戶在使用無線網(wǎng)絡(luò)進(jìn)行上網(wǎng)，則攻擊效果會很顯著，最短5分鐘即可破解wep。4為什么使用a