Tutorial Aircrack-ng [Guia Completo]

Observaes Iniciais No esquea de dar uma olhada nos outros tutoriais! Eles podem ajud-lo em alguma parte que voc pode no ter entendido aqui. Em breve estarei redigindo meus prpios tutoriais para ajudar a comunidade brasileira. Aproveite tambm para juntar-se a ns na comunidade Aircrack-ng no Orkut ou na irc.freenode.net canal #wireless-br. Boa leitura! Este tutorial te dar a base para comear usando o pacote Aircrack-ng. impossvel mastigar cada pedao de informao que voc precisa e cobrir cada cenrio. Ento esteja preparado para fazer algum dever de casa e pesquisa por conta prpria. O Forum e o Wiki possuem muitos tutoriais e informaes suplementares. Embora no cubra todos os passos do incio ao fim, como neste tutorial, o tutorial Quebra Simples da Chave WEP cobre os passos do Aircrack-ng atual em muito mais detalhes. Nos exemplos, a opo trao duplo bssid est mostrada como - -bssid. Lembre-se de remover o espao entre os dois traos quando us-lo na vida real. Isso serve tambm para - -ivs, - -arpreplay, - -deauth e - -fakeauth.

Configurando Hardware, Instalando Aircrack-ng

O primeiro passo para fazer o Aircrack-ng funcionar corretamente no seu sistema Linux instalando e aplicando o patch no driver apropriado para sua placa wireless. Vrias placas funcionam com mltiplos drivers, alguns deles providenciam as caractersticas necessrias para usar o Aircrack-ng, e outros no. Nem precisa dizer que voc necessita de uma placa wireless compatvel com o pacote Aircrack-ng, ou seja, hardware completamente compatvel e que pode fazer injeo de pacotes. Uma placa wireless compatvel pode ser utilizada para quebrar um Access Point wireless em menos de uma hora. Para determinar a qual categoria sua placa pertence, veja pgina de compatibilidade de hardware. Leia Tutorial: Minha Placa Wireless Compatvel? se voc no sabe onde procurar nessa tabela. Ainda assim compensa dar uma lida nesse tutorial para melhorar seu conhecimento e confirmar os atributos da sua placa.

Primeiro, voc precisa saber qual chipset utilizado na sua placa wireless e qual driver voc necessita para ele. Voc ter determinado isso usando as informaes do pargrafo anterior. A seo de drivers te dir quais drivers voc precisa para seu chipset especfico. Baixe-os e ento pegue o patch correspondente de http://patches.aircrackng.org. (Esses patches ativam o suporte injeo.) Como eu possuo um dispositivo Ralink USB, estou providenciando os passos para fazlo funcionar com o Aircrack-ng. Antes que voc esteja pronto para compilar e instalar os drivers, voc precisa ter os kernel-sources da sua distribuio instalados. Se voc possui um outro tipo de placa, confira a pgina instalando drivers para instrues sobre outros drivers. Do mesmo modo, faa uma procura na internet se voc est inseguro de como instal-los.

Guia de Configurao do RaLink USB rt2570

Se voc possui um dispositivo USB rt2570 (como o D-Link DWL-G122 rev. B1 ou Linksys WUSB54G v4) voc deve usar os drivers de http://homepages.tudarmstadt.de/~p_larbig/wlan/ Estes so drivers especialmente modificados, que suportam injeo e tem relatos de que funcionam melhores com o Aircrack-ng. Eles no precisam de patch. Claro que esses drivers tambm funcionam para uso normal da placa. Vamos extrair, compilar e instalar os drivers:
tar xfj rt2570-k2wrlz-1.3.0.tar.bz2 cd rt2570-k2wrlz-1.3.0/Module make make install

O ltima passo precisa ser feito como root. Use o comando su para mudar para usurio root. Agora ns podemos carregar o mdulo no kernel:
modprobe rt2570

Insira sua placa, ela deve ser reconhecida como rausb0 agora. Execute iwconfig para lista seus dispositivos wireless e verificar se tudo est funcionando.

Instalao do Aircrack-ng
Fonte
Pegue a ltima cpia do Aircrack-ng na pgina inicial: http://www.aircrack-ng.org Os comandos a seguir devem mudar se voc usar uma verso mais recente do software. Extraindo, compilando, instalando:
tar xfz aircrack-ng-0.9.3.tar.gz cd aircrack-ng-0.9.3 make make install

Como sempre, o ltimo passo precisa ser executado como root, utilize su para logar como root (use sudo make install para Ubuntu).

YUM
Se estiver usando um sistema como Redhat Linux ou Fedora Core voc pode instalar o Aircrack-ng com yum. Primeiro voc precisa adicionar o repositrio de Dag Wieers ou Dries.
su yum -y install aircrack-ng

RPM
Se estiver usando um sistema baseado em rpm, ento pode usar o caminho fcil para instalar o Aircrack-ng. (Exemplo para Redhat Linux 4)
su rpm -ihv http://dag.wieers.com/rpm/packages/aircrack-ng/aircrack-ng0.7-1.el4.rf.i386.rpm

IMPORTANTE: Consulte http://dag.wieers.com/rpm/packages/aircrack-ng/ para a ltima verso do pacote Aircrack-ng e mude o comando acima para referenciar a ltima verso. (onde xxxxx ser a ltima verso em /aircrack-ng-xxxxx.rpm)

Bsico do IEEE 802.11

Certo, agora tudo est pronto, hora do intervalo antes da ao finalmente comear e aprender algo sobre como redes (locais) wireless funcionam. O captulo a seguir muito importante, se alguma coisa no funcionar como esperado. Conhecer sobre tudo relacionado ao assunto ajuda a encontrar o problema, ou pelo menos te ajuda para descrev-lo a algum que pode te ajudar. Isso um pouco cientfico e talvez voc prefira pular. Entretanto, um pouco de conhecimento necessrio para quebrar redes wireless e isso um pouco mais do que simplesmente digitar um comando e deixar o Aircrack-ng fazer o resto.

Como uma rede wireless encontrada

Isso uma curta introduo em redes gerenciadas, estas funcionando com Access Points (AP). Cada AP envia por volta de 10 (os to chamados) beacon frames por segundo. Esses pacotes contm as seguintes informaes:

Nome da rede (ESSID) Se alguma criptografia utilizada (e qual criptografia utilizada; preste ateno, isso pode no ser sempre verdade s porque o AP faz propaganda) Quais taxas de dados, MBit, so suportados Em qual canal a rede est

Essas informaes so ento mostradas na sua ferramenta que conecta esta rede. mostrada quando voc faz sua placa procurar por redes com iwlist <interface> scan e quando voc executa airodump-ng. Cada AP tem um nico endereo MAC (48 bits, 6 pares de nmeros hexadecimais). algo parecido com 00:01:23:4A:BC:DE. Cada dispositivo de hardware de rede possui tais endereos, e dispositivos de rede comunicam-se utilizando esses endereos MAC. Ento basicamente como um nome nico. Endereos MAC so nicos, nem quaisquer dois dispositivos de rede no mundo tem o mesmo endereo MAC.

Conectando-se a uma rede

Se voc quer conectar-se a uma rede wireless, existem algumas possibilidades. Na maior parte dos casos, Autenticao por Sistema Aberto1) utilizada. (Opcional: Se quiser aprender mais sobre autenticao, d uma olhada aqui.) Autenticao por Sistema Aberto: 1. 2. 3. 4. Pedido de autenticao ao AP enviado. O AP responde: OK, voc est autenticado. Pedido de associao ao AP enviado. O AP responde: OK, voc est agora conectado.

Esse o caso mais simples. MAS pode haver alguns problemas se voc no est autorizado a conectar:

WPA/WPA2 est em uso, voc precisa de autenticao EAPOL. O AP negar o acesso no passo 2. Access Point tem uma lista de clientes permitidos (endereos MAC), e no deixa ningum mais conectar-se. Isso chamado de Filtro de Endereo MAC, ou simplesmente, Filtro MAC. Access Point usa Autenticao por Chave Compartilhada2), voc precisa fornecer a chave WEP correta para conseguir conectar-se. (Veja o Tutorial: Como Fazer Autenticao Falsa por Chave Compartilhada para tcnicas avanadas.)

Sniffing (Farejamento) e Quebra Simples

Descobrindo as Redes
A primeira coisa a fazer procurar por um alvo em potencial. O pacote Aircrack-ng contm o airodump-ng para isso mas outros programas como o Kismet podem ser usados tambm. Antes de procurar por redes, voc precisa colocar sua placa wireless no chamado modo monitor. Modo Monitor um modo especial que permite que sua placa wireless escute cada pacote wireless trafegado no ar. semelhante ao Modo Promscuo em redes cabeadas, mas aqui o meio deixa de ser um cabo de redes, e passa a ser o ar. Esse Modo

Monitor tambm permite, opcionalmente, injetar pacotes em uma rede. Injeo ser abordado mais adiante neste tutorial. Para colocar sua placa wireless em Modo Monitor: airmon-ng start rausb0 Lembrando! O rausb0 acima est sendo utilizado porque a placa wireless usada como exemplo aqui a citada no incio do tutorial. Para confirmar se est em Modo Monitor, execute iwconfig e verifique o modo no qual sua placa est. A pgina airmon-ng no Wiki tem informaes gerais e como inici-lo, para outros drivers. Ento, inicie o airodump-ng para procurar por redes:
airodump-ng rausb0

Mais uma vez! rausb0 o nome da interface de rede. Se voc est usando um dispositivo Wi-Fi diferente de um rt2570 ento deve utilizar um nome de interface de rede diferente, prprio para sua placa. D uma olhada na documentao do driver da sua placa. Se o airodump-ng puder conectar-se ao dispositivo Wi-Fi, voc ver uma tela como esta:

O airodump-ng salta de canal em canal, e mostra todos os Access Points dos quais consegue receber beacons. Canais do 1 ao 14 so utilizados no 802.11b e g (nos Estados Unidos s so permitidos utilizar os canais do 1 ao 11; do 1 ao 13 na Europa, com algumas excees; do 1 ao 14 no Japo; e no Brasil, como na maiora da Amrica Latina, segue-se o padro americado, do 1 ao 11). Canais entre 36 e 149 so utilizados no padro 802.11a. O canal atual mostrado no canto superior esquerdo. Aps um curto perodo de tempo, alguns APs e (com sorte) alguns clientes associados apareero.

O quadro de dados superior mostra os Access Points encontrados: BSSID O endereo MAC do AP. PWR Fora do sinal. Alguns drivers no informam. Nmero de beacon frames recebidos. Se voc no tem a fora do sinal, voc Beacons pode estimar usando o nmero de beacons: quanto mais beacons, melhor a qualidade do sinal. Data Nmero de frames de dados recebidos. CH Canal no qual o AP est operando. Velocidade ou Modo do AP. 11 significa 802.11b, 54 significa 802.11g. MB Valores entre 11 e 54 so uma mistura. Encriptao: OPN: sem criptografia, WEP: criptografia WEP, WPA: ENC criptografia WPA ou WPA2, WEP?: WEP ou WPA (ainda no sei). ESSID Nome da rede. s vezes escondido. O quadro de dados inferior mostra os clientes encontrados: BSSID O endereo MAC do AP no qual esse cliente est associado. STATION O endereo MAC do cliente. PWR Fora do sinal. Alguns drivers no informam. Packets Nmero de frames de dados recebidos. Probes Nomes das redes (ESSIDs) que este cliente sondou. Agora voc deve procurar por uma rede alvo. Ela deve ter um cliente conectado porque quebrar redes sem um cliente um tpico avanado (Veja Como quebrar WEP sem clientes). Ela deve usar criptografia WEP e ter sinal forte. Talvez voc possa reposicionar sua antena para obter um sinal melhor. Geralmente alguns centmetros fazem uma grande diferena na fora do sinal. No exemplo acima, a rede 00:01:02:03:04:05 seria o nico alvo possvel, porque o nico com um cliente associado. Mas tambm tem um sinal forte, ento um bom alvo para praticar.

Sniffing (Farejando) IVs

Por causa dos saltos dos canais voc no ir capturar todos os pacotes da sua rede alvo. Ento ns queremos escutar somente um canal e ainda salvar todos os dados no disco, para que possa utiliz-lo para quebrar a chave:
airodump-ng -c 11 - -bssid 00:01:02:03:04:05 -w dump rausb0

Com o parmetro -c voc sintoniza um canal especfico, e o parmetro seguinte -w o prefixo para gravar os dados da rede no disco. O - -bssid em combinao com o endereo MAC do AP limita a captura para aquele AP. A opo - -bssid est disponvel somente em verses novas do airodump-ng.

Voc pode tambm adicionar o parmetro -ivs. Esse diz ao airodump-ng para capturar somente os IVs, pra economizar espao. Antes de estar pronto para quebrar o WEP, voc geralmente precisa de algo entre 250.000 e 500.000 Vetores de Inicializao diferentes (IVs). Cada pacote de dados contm um IV. IVs podem ser reutilizados, portanto os nmeros de IVs diferentes so um pouco menor do que o nmero de pacote de dados capturados. Ento voc ter qu esperar e capturar de 250 mil a 500 mil pacotes de dados (IVs). Se a rede no est ocupada levar muito tempo. Em geral voc pode aumentar bastante a velocidade da captura utilizando um ataque passivo, como o Packet Replay. Veja o prximo captulo.

Quebra
Se voc conseguiu capturar IVs suficientes em um ou mais arquivos, voc pode tentar quebrar a chave WEP:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap

O MAC aps a opo -b o BSSID do alvo, e dump-01.cap o arquivo que contm os pacotes capturados. Voc pode usar mltiplos arquivos, simplesmente adicionando todos os seus nomes, ou voc pode utilizar coringa (caracteres especiais para generalizar algo) como dump*.cap. Para maiores informaes sobre os parmetros do aircrack-ng, descrio da sada dos dados e uso, veja o manual. O nmero de IVs que voc precisa para quebrar a chave no fixo. Isto por que alguns IVs so fracos e vazam mais informaes sobre a chave do que outros. De modo geral esses IVs fracos so aleatoriamente misturados no meio dos mais fortes. Ento, se voc tiver sorte, voc pode quebrar uma chave com somente 100.000 IVs. Porm, geralmente isso no o suficiente e o Aircrack-ng vai continuar rodando por muito tempo (at uma semana ou at mais que isso com um fator fudge alto) e ento te informar que a chave no pde ser quebrada. Se voc tiver mais IVs, a quebra pode ser feita bem mais rpida, e geralmente em poucos minutos. Experincias mostram que entre 250.000 e 500.000 IVs , em geral, suficiente para quebrar a chave. Existem alguns APs mais avanados por a, que usam algoritmos para filtrar IVs fracos. O resulta que voc no consegue mais do que n IVs diferentes do AP, ou voc precisa de milhes (tipo de 5 a 7 milhes) para quebrar a chave. Procure no Forum, existem alguns tpicos sobre casos como estes e o que fazer.

Ataques ativos
Suporte injeo de pacotes

A maioria dos dispositivos no suportam injeo pelo menos no sem os drivers com patch. D uma olhada na pgina de compatibilidade, coluna aireplay. s vezes essa tabela no est atualizada, ento se voc ver um NO para seu driver l no disista ainda, mas olhe na pgina inicial do driver, a lista de e-mail do driver ou nosso Forum. Se voc conseguiu realizar o replay com sucesso usando um driver que no est listado como funcionando, no hesite em atualizar a tabela da pgina de compatibilidade e adicionar um link para um curto Como Fazer. O primeiro passo ter certeza de que a injeo de pacote realmente funciona com sua placa e driver. O forma mais fcil de testa isso o ataque de teste de injeo. Tenha certeza de realizar este teste antes de ir adiante. Sua placa tem que ser capaz de injetar com sucesso, para realizar os passos a seguir. Voc precisar do BSSID (MAC do AP) e ESSID (nome da rede) de um AP que no use Filtro MAC (por exemplo, o seu prprio), e precisa estar dentro da rea de cobertura do AP. A primeira coisa a fazer descobrir o endereo MAC do seu prprio dispositivo Wi-Fi. s vezes existe uma etiqueta com o MAC no prprio dispositivo. Mas voc pode sempre ach-lo usando o comando ifconfig (os primeiros 6 bytes hexadecimais aps HWaddr, geralmente divididos por : ou -). Ento voc pode tentar conectar-se ao seu AP usando aireplay-ng:
aireplay-ng - -fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 -h 00:11:22:33:44:55 rausb0

O valor aps -a o BSSID do seu AP, o valor aps -h o MAC do seu prprio dispositivo Wi-Fi. Se injeo funciona, voc deve ver algo assim:
12:14:06 12:14:06 12:14:06 12:14:07 Sending Authentication Request Authentication successful Sending Association Request Association successful

Se no 1. 2. 3. 4. 5. verifique duas vezes o ESSID, BSSID e seu prprio MAC tenha certeza de que seu AP tenha o Filtro de MAC desabilitado teste contra outro AP tenha certeza de que seu driver est propriamente com o patch e tenha suporte Ao invs de 0, tente 6000 -o 1 -q 10

ARP Replay
Agora que sabemos que a injeo de pacote funciona, ns podemos fazer algo para aumentar massivamente a captura de IVs: Reinjeo de ARP Request

A idia
ARP funciona (simplicado) fazendo broadcast de um pedido para um IP, e o dispositivo que tem esse IP envia uma resposta de volta. Por WEP no proteger contra ataques de ARP Replay, voc pode sniffar (farejar) um pacote, mand-lo de volta de novo e de novo, e ainda ser vlido. Ento voc precisa simplesmente capturar e fazer o Replay de um ARP Request com o alvo no AP, para criar muito trfego (e sniffar IVs).

A maneira suave
Primeiro abra uma janela com o airodump-ng sniffando (farejando) um trfego. Aireplay-ng e airodump-ng podem ser executados ao mesmo tempo. Espere um cliente aparecer na rede alvo. Ento comee o ataque:
aireplay-ng - -arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 rausb0

-b especifica o BSSID alvo, e -h o endereo MAC do cliente conectado. Agora voc tem que esperar um pacote ARP chegar. Em geral voc ter que esperar alguns minutos (ou d uma olhada no prximo captulo). Se voc obteve xito, ver algo parecido com isso:
Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets...

Traduo do quadro acima:

Salvando ARP Requests em replay_arp-0627-121526.cap Voc deve tambm iniciar o airodump para capturar ARP Replies. Lido 2493 pacotes (pegou 1 ARP Requests), enviou 1305 pacotes...

Se voc tiver que parar o ataque ARP Replay, no ter que esperar o prximo pacote ARP aparecer, mas pode reutilizar o pacote capturado anteriormente com a opo -r <nome do arquivo>. Quando usar a tcnica de injeo ARP, voc pode usar o mtodo PTW para quebrar a chave WEP. Esse reduz dramaticamente o nmero de pacotes de dados que voc precisa, e tambm o tempo necessrio. Voc precisa capturar o pacote competo no airodump-ng, o que significa no usar a opo - ivs quando execut-lo. Para aircrack-ng, use aircrack -z <nome do arquivo>. Se o nmero de pacotes de dados recebidos pelo airodump-ng parar de aumentar de vez enquando, ento voc talvez tenha que reduzir a taxa de ARP Replay. Voc faz isso com a opo -x <pacotes por segundo>. Eu geralmente comeo com 50, e vou reduzindo at que os pacotes voltem a ser recebidos continuamente. Melhor posicionamento da sua antena ocasionalmente tambm ajuda.

A maneira agressiva

A maioria dos sistemas operacionais apagam a ARP cache quando disconectados. Se eles querem mandar o prximo pacote aps a reconexo (ou simplesmente usando DHCP), eles tm que mandar ARP Requests. Ento a idia desconectar um cliente e forc-lo a reconectar para podermos capturar um ARP Request. Um outro efeito que voc pode sniffar (farejar) o ESSID durante a reconexo tambm. Isso facilita as coisas, se o ESSID do seu alvo est escondido. Mantenha seu airodump-ng e aireplay-ng rodando. Abra outra janela, e execute um ataque de desautenticao:
aireplay-ng - -deauth 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 rausb0

-a o BSSID do AP, e -c o MAC do cliente alvo. Espere alguns segundos e seus ARP Replay deve comear a executar. A maioria dos clientes tentam reconectar automaticamente. Mas o risco de algum reconhecer esse ataque, ou ao menos ter a sua ateno dirigida s coisas acontecendo na rede Wi-Fi maior que em outros ataques.