Aireplay-ng

Z ICT security wiki | airdump.cz
Přejít na: navigace, hledání

Obsah

Specifikace

Aireplay-ng je injektor datových rámců (data frames). Primární funkcí aplikace je generování trafiku pro pozdější použití v aircrack-ng pro crack WEP a WPA klíčů. Aireplay-ng je nástupce staršího Aireplay a implementuje řadu nových technik. Deautentifikaci pro odpojení klienta z AP za ůčelem zisku WPA handshaku, fake autentifikace (falešná autentifikace), Interactive packet replay (Interaktivní procházení paketů), manuální ARP request injekce a ARP-request reinjekce. S nástrojem packetforge-ng je možné vytvořit libovolné rámce.

Většina ovládačů se neobejde bez patche (injekce paketů na běžných ovládačích možná není). Přečtěte si článek instalace ovladačů.

Tip! Demonstrace aplikací pro pentesting zabezpečení WiFi sítí najdete v AMP Sec Tutoriálech, dokumentaci hacking Wi-Fi a na dalších místech portálu airdump.cz

Přepínače a funkce

Implementuje několik různých útoků:

Použití

Tato část je souhrn a neukazuje všechny možnosti aplikace. Pro detaily se podívejte do man.

Použití aplikace aireplay-ng:

aireplay-ng <volba> <replay rozhraní>

Nejběžnější volbou je "-b" pro označení specifického Access Pointu. Typické použití přepínače "-b" je pouze jednou z možností. Pro každý útok (mimo deautentifikace a falešné autentifikace) používejte tyto filtry

-b bssid  : MAC adresa, Access Point
-d dmac   : MAC adresa cíl
-s smac   : MAC adresa zdroj
-m len    : minimální délka paketu
-n len    : maximální délka paketu
-u typ    : kontrola rámce, typ pole
-v subt   : kontrola rámce, subtyp pole
-t tods   : kontrola rámce, do DS bit
-f fromds : kontrola rámce, Z DS bit
-w iswep  : kontrola rámce, WEP bit

Když přehráváte (injektujete) pakety, aplikujte následující volby a mějte na paměti, že ne každá volba je relevantní pro každý typ útoku. Dokumentace ke každému útoku uvádí příklady relevantních voleb.

Možnosti volby Replay - přepínače:

-x nbpps  : počet paketů za sekundu
-p fctrl  : nastav kontrolu rámce (hex)
-a bssid  : nastav MAC adresu Access Pointu
-c dmac   : nastav Cíl MAC adresa
-h smac   : nastav MAC adresu zdroje
-e essid  : falesna autent : nastav cilove AP SSID
-j        : utok opakovani arp : injekce ZDS paketu
-g value  : zmen ring buffer size (default: 8)
-k IP     : nastav cilovou IP ve fragmentech
-l IP     : nastav zdrojovou IP ve fragmentech
-o npckts : pocet paketu na burst (-1)
-q sec    : sekund mezi dozaem keep-alives (-1)
-y prga   : proud klicu pro autent sdilenym klicem

Pro přehravání lze získat pakety ze dvou zdrojů. První je aktuální proud paketů z vaší bezdrátové karty. Druhý může být ze souboru pcap. Standardní pcap formát (packet CAPture, asociace http://tcpdump.org libpcap knihovna), je respektován většinou komerčních a open-source analytických nástrojů. Čtení ze souboru je často prohlížená vlastnost aireplay-ng. Umožňuje číst pakety z jiných relací nebo znovu použit vygenerované pcap soubory.

Možnosti zdrojů:

-i iface  : záznam paketů z tohoto rozhraní
-r file   : extrahuj data pakety z tohoto souboru

Ne každá volba je aplikovatelná (v závislosti na použitém módu). Specifikace módu, ve kterém bude program operovat.

Módy útoku (čísla lze používat i nadále):

--deauth      count : deautentifikuje 1 nebo vsechny stanice (-0)
--fakeauth    delay : falesna autentifikace s AP (-1)
--interactive       : interaktivni vyber framu (-2)
--arpreplay         : standardni opakovani ARP-dotazu(-3)
--chopchop          : desifruje/chopchopuje WEP paket (-4)
--fragment          : generuje validni proud klicu (-5)
--test              : test injekce (-9)

Fragmentace vs. Chopchop

Rozdíl mezi fragmentací a útokem ChopChop

Fragmentace

Výhody

* Typicky obsáhne plnou délku paketu 1500 bytu XOR. To znamená, že lze subsekvenčne vytvářet paket o různé velikosti. I v případě, že obsáhne méně než 1500 bytů, je možné vytvořit ARP požadavek.
* Může být účinná i tam, kde ChopChop ne.
* Je extrémně rychlá.

Nevýhody

* Ke spuštění vyžaduje více informací- např. info o IP adrese. Ta se dá poměrně často vytušit. Navíc, pokud není žádná specifikace aireplay-ng si osvojí zdroj a místo určení IP 255.255.255.255. Což funguje u většiny, ne-li všech AP. Tao nevýhoda je tedy omezená.
* Setup to execute the attack is more subject to the device drivers. For example, Atheros does not generate the correct pakety unless the wireless card is set to the mac adresa you are spoofing.
* You need to be physically closer to the access point since if any pakety are lost then the attack fails.
* The attack will fail on access points which do not properly handle fragmented pakety.

Chopchop

Výhody

* Může fungovat, i když nefunguje fragmentace.
* Nejsou nutné žádné informace o IP.

Nevýhody

* Nelze použít proti všem AP.
* Maximální počet xor bitu je limitován do délky paketu, kterou chopchopuješ. Teoreticky je možné obsáhnout 1500 bytů xor streamu, v praxi však tento počet vidíme velmi zřídka, pokud vůbec.
* Je pomalejší než fragmentační útok

Tipy na použití

Optimalizace rychlosti injekce

Optimalizace rychlosti injekce je víc uměním než vědou. Pro začátek používej věci "tak, jak jsou". Můžeš použít parametr "-x" pro změnu rychlosti injekce. Překvapivě, snižování této hodnoty může občas zvýšit celkový výkon.

You may try to play with the rate "iwconfig wlan0 rate 11M". Depending on the driver and how you started the card in monitor mode, it is typically 1 or 11MBit by default. If you are close enough set it up to a higher value, like 54M, this way you'll get more pakety per second. If you are too far away and the pakety don't travel that far, try to lowering it to (for example) 1M.


Rešení problému

Poznámky se vztahují na všechny módy aireplay-ng.

Madwifi-ng žádne další VAPy

Ujistěte se, že vám v systému neběží žádné další VAPy. Pokud tak nečiníte, mohou nastat komplikace. Obzvlášť, pokud vytváříte nový VAP v monitor modu a v systému vám běží jiný VAP v managed modu.

Nejdříve zastav ath0, a pak spusť wifi0:

airmon-ng stop ath0
airmon-ng start wifi0

nebo

wlanconfig ath0 destroy
wlanconfig ath create wlandev wifi0 wlanmode monitor


Aireplay-ng končí bez výsledku

Po zadání příkazu, se "nic neděje".\\

Nejčastěji je toto zapříčiněno tím, že nejsi na stejném kanálu jako je AP. Další možnou příčinou může být užití staré verze firmwaru na prim2 chipsetu. Ujisti se, že máš firmware 1.7.4 nebo vyšší. Pro více podrobností, navštiv Prism card. Pokyny k upgradu Firmwaru najdeš zde.

As well, if you have another instance of aireplay-ng running in background mode, this can cause the second to hang if the options conflict.

Pomalá injekce, "rtc: lost some interrupts at 1024Hz"

Symptoms: The injection works but very slowly, at around 30 pakety per second (pps). Whenever you start injecting pakety, you get the following or similar kernel message:

"rtc: lost some interrupts at 1024Hz"

This message is then repeated thousands of times. If you start a second instance of aireplay, then the injection would increases to around 300 pps.

There is no solution at this point in time, just the workaround to start a second instance. See this forum thread.


Pomalá injekce - Souhrn

Being too close to the AP can dramatically reduce the injection rate. This is caused by packet corruption and/or overloading the the AP. See this thread for an example of the impact of being too close to the AP.


Interface MAC doesn't match the specified MAC

After entering an aireplay-ng command similar to:

  aireplay-ng -1 0 -e horcer -a 00:50:18:4C:A5:02 -h 00:13:A7:12:3C:5B ath0

You get a message similar to:

  The interface MAC (06:13:F7:12:23:4A) doesn't match the specified MAC (-h).
       ifconfig ath1 hw ether 00:13:A7:12:3C:5B

This occurs when the source MAC adresa for injection (specified by -h) is different then your card MAC adresa. In the case above, the injection MACof 00:13:A7:12:3C:5B does not match the card MAC of 06:13:F7:12:23:4A. In some cases, but not all, this will cause injection to fail. That is why it gives you this warning. So it is always recommended that your injection MAC match the card MAC adresa.

Detailed instructions on changing the card MAC adresa can be found in the FAQ: [do I change my card's MAC adresa ?].


Skryté SSIDs "<length:  ?>"

Many aireplay-ng commands require knowing the SSID. You will sometimes see "<length:  ?>" as the SSID on the airodump-ng display. This means the SSID is hidden. The "?" is normally the length of the SSID. For example, if the SSID was "test123" then it would show up as "<length: 7>" where 7 is the number of characters. When the length is 0 or 1, it means the AP does not reveal the actual length and the real length could be any value.

Pro ziskani schovane SSID jsou tyto moznosti:

  • Wait for a wireless client to associate with the AP. When this happens, airodump-ng will capture and display the SSID.
  • Deauthenticate an existing wireless client to force it to associate again. The point above will apply.
  • Use a tool like mdk3 to bruteforce the SSID.


Mezery a úvozovky v názvu Access Pointu

Jak používat ESSID s mezerou v názvu. Pro postup se podívejte se na Aircrack-ng.

Souhrn

Nezapomenou na:

  • Vetšina módu aireplay-ng vyžaduje asociaci MAC adresy s Access Pointem. Vyjímaje disasociaci klienta, test injekce a falešnou autentifikaci (fake auth). Musite provest falesnou autentifikaci pro asocici vasi MAC adresy s acess pointem nebo pouzit MAC adresu klienta asociovaneho s AP. Nuespech u zminovanych krocich znamena poue jedno * access point nebude akceptovat vase pakety. Look for deauthentication or disassociation messages during injection which indicate you are not associated with the access point. aireplay-ng will typically indicate this or it can be done using tcpdump: "tcpdump -n -e -s0 -vvv -i <interface name>". You can filter it by piping it to grep with something like `tcpdump -n -e -s0 -vvv -i ath0 | grep -E "DeAuth|assoc"'.
  • Ovládač bezdrátové karty je správně patchnut a instalován. Použij test injekce pro ověření, že tvoje karta může injektovat.
  • Jsi fyzicky blízko Access Pointu. Jseš si jist, že můžeš komunikovat se specifickým AP pomocí následujících instrukcí.
  • The wireless card is in monitor mode. Use "iwconfig" to confirm this.
  • The card is configured on the same channel as the access point. Use "iwconfig" to confirm this.
  • Make sure you are using a real MAC adresa. See discussion in setting MAC adresa).
  • Some access points are programmed to only accept connections from specific MAC adresaes. In this case you will need to obtain a valid MAC adresa by observation using airodump-ng and use that particular MAC adresa. Do not do a fake authentication for a specific MAC adresa if the client is active on the AP. MAC access kontrola lists do not apply to deauthentication. See the MAC access kontrola troubleshooting tip here.
  • The BSSID and ESSID (-a / -e options) are correct.
  • If Prism2, make sure the firmware was updated.
  • Ensure your are running the current stable version. Some options are not available in older versions of the program. As well, the current stable version contains many bug fixes.
  • It does not hurt to check the Trac System to see if your "problem" is actually a known bug in the current stable version. Many times the current development version has fixes to bugs within the current stable version.
Osobní nástroje
Jmenné prostory

Varianty
Akce
Portál AMP
WiKi Navigace
Nástroje