Professional Documents
Culture Documents
O proposito deste passo colocar a sua placa de rede wireless no que chamamos de modo monitor.
O modo monitor o modo pelo qual a sua placa wireless pode escutar todos os pacotes que passam
pelo ar. Normalmente sua placa wireless desejar somente ouvir pacotes endereados para voc.
Escutando todos os pacotes, ns poderemos mais tarde capturar o modo handshack(como se fosse
um aperto de mos). Bem, isto nos permitir opcionalmente desautenticar um cliente wireless
(algum conectado) em um passo mais tarde.
O procedimento exato para habilitar o modo monitor varia dependendo do driver que voc est
usando. Para determinar o driver (e o procedimento correto para seguir), execute o seguinte
comando:
# airmon-ng
Em uma mquina com placas wireless Ralink, Atheros e uma Broadcom instalada, o sistema responde:
Interface
Chipset
Driver
rausb0
wlan0
wifi0
ath0
Ralink RT73
Broadcom
Atheros
Atheros
rt73
b43 [phy0]
madwifi-ng
madwifi-ng VAP
(parent: wifi0)
A presena da tag [phy0] no final do nome do driver um indicador para o driver mac80211. Ento
a placa de rede wireless est usando o driver mac80211. Note que o driver mac80211 suportado
somente a partir da verso v1.0-rc1 e no funcionar com a verso v.0.9.1.
Ambas entradas das placas wireless Atheros mostram o driver denominado madwifi-ng. Siga os
passos para montar a placa wireless Atheros com as informaes contidas em madwifi-ng-specific
(o qual deve ser um arquivo que vem junto com o driver).
Finalmente, a placa de rede wireless Ralink no mostra nenhum destes indicadores. Esta usa o
driver ieee80211. Veja as instrues genricas para mont-la.
Passo 1a Primeiro modo de montar a interface wireless em modo monitor, usando o driver
madwifi-ng
Primeiramente pare a interface ath0 entrando com o comando abaixo:
Atheros
Atheros
Driver
madwifi-ng
madwifi-ng VAP (parent: wifi0) (VAP destroyed)
Digite o comando iwconfig para se certificar de que no existe outra interface athX.
Aps digitar iwconfig e teclar Enter o sistema responder:
lo
no wireless extensions.
eth0
wifi0
no
no
wireless
wireless
extensions.
extensions.
\\Se existir alguma interface remanescente, ento pare cada uma. Quando voc finalizar, rode
iwconfig novamente para se certificar de no ter deixado nenhuma.
Agora, entre com o comando abaixo para inicializar a placa de rede wireless no canal 9 em modo
monitor:
# airmon-ng start wifi0 9
Obs.: Neste comando ns usamos wifi0 ao invs de nossa interface wireless ath0. Isto porque o
driver madwifi-ng est usando wifi0.
O sistema ir responder:
Interface
Chipset
wifi0
ath0
Atheros
Atheros
Driver
madwifi-ng
madwifi-ng VAP (parent:wifi0) (monitor mode enable)
Voc pode notar acima que ath0 est sendo mostrado que est no modo monitor. Para confirmar
de que a interface est apropriadamente ajustada, entre com o comando iwconfig.
O sistema responder:
lo no wireless extensions.
wifi0
no wireless extensions.
eth0
no wireless extensions.
ath0
Na resposta acima voc pode ver que ath0 est no modo monitor, com frequncia de 2.452GHz
que o canal 9. O parmetro Access Point mostra o endereo MAC da placa wireless. Somente o
driver madwifi-ng mostra o endereo MAC da placa de rede wireless como parmetro do campo
AP, outros drivers no. Ento, tudo est OK. importante confirmar todas estas informaes, as
quais so prioritrias para o procedimento, seno os passos seguintes no podero funcionar (serem
executados) apropriadamente.
Para escolher a freqncia do canal d uma olhada na Tabela 1 no final deste tutorial.
Passo 1b Segundo modo de montar a interface wireless em modo monitor, usando o driver
mac80211
Diferente do driver madwifi-ng, voc no precisar desmontar a interface wlan0 quando montar o
driver mac80211. Em vez disso use o seguinte comando para montar a placa de rede em modo
monitor no canal 9:
# airmon-ng start wlan0 9
O sistema responder:
Interface
Chipset
Driver
wlan0
Braodcom
Note que airmon-ng habilita o modo monitor em mon0. Logo, o nome correto da interface a ser
usado mais tarde nas partes deste tutorial ser mon0.
Wlan0 est ainda um modo regular (modo gerenciado) e poder ser usado de forma casual. Voc
poder encontrar a expresso wlan0 ao invs de mon0 para mostrar que voc est no mesmo
canal que o AP o qual voc est atacando.
Para confirmar o sucesso do ajuste execute iwconfig. A seguinte saida dever aparecer:
lo
no
wireless
extensions.
eth0
no
wireless
extensions.
wmaster0
no
wireless
extensions.
wlan0
mon0
Aqui, mon0 visto como estando em modo monitor no canal 9 (2.452GHz). Diferente de madwifing, as saidas acima no tem o campo AccessPoint. Note tambm que wlan0 est ainda presente e
em modo gerenciado Isto normal porque ambas as interfaces compartilham o radio(AP) comum,
Elas devem ser ajustadas para o mesmo canal trocando o canal de uma interface, tambm trocar o
canal da outra.
Passo 1c Terceiro modo de montar a interface wireless em modo monitor, usando outros
drivers
Para outros drivers (baseado em ieee80211, por exemplo), simplesmente execute o seguinte
comando para habilitar para o modo monitor (use o nome de sua interface de rede ao invs de
rausb0):
# airmon-ng start rausb0 9
O sistema responder:
Interface
Chipset
rausb0
Ralinkrt
Driver
73 (monitor mode enalble)
Onde:
-c 9 o canal para a rede wireless;
bssid 00:14:6C:7E:40:80 o endereo MAC do ponto de acesso. Esta opo elimina
traficos estranhos;
-w psk o nome do prefixo do arquivo para o arquivo que ir conter os IV s (pacotes
trafegados);
ath0 o nome da interface.
Importante:
No use a opo - -ivs. Voc deve capturar os pacotes completos.
Se quiser, no precisar usar o filtro bssid <MAC do AP>, da, voc vai capturar todos os pacotes
wireless que estiverem ao seu alcance, da ento escolher um AP com o seu respectivo endereo
MAC, que vai aparecer para voc.
Abaixo est o que parece ser, se um cliente wireless estiver conectado na rede:
CH 9 ] [ Elapsed: 4 s ] [ 2007-03-24 16:58 ] [ WPA handshake:
00:14:6C:7E:40:80
BSSID
PWR
RXQ Beacons #Data,
#/s CH
MB ENC
CIPHER
AUTH ESSID
00:14:6C:7E:40:80
39
100
51
116
14
9
54 WPA2 CCMP
PSK
teddy
BSSID
STATION
PWR
Lost
Packets
Probes
00:14:6C:7E:40:80
00:0F:B5:FD:FB:C2
35
0
116
Na saida acima note que WPA handshake: 00:14:6C:7E:40:80 est no topo direita. Isto quer
dizer que airodump-ng capturou os pacotes de autenticao handshake com sucesso.
Abaixo ser mostrado como ocorre quando um cliente no est conectado:
CH 9 ] [ Elapsed: 4 s ][ 2007-03-24 17:51
BSSID
PWR RXQ
Beacons
#Data,
CIPHER
AUTH
ESSID
00:14:6C:7E:40:80
39
100
51
0
CCMP
PSK
teddy
BSSID
STATION
PWR Lost
#/s
CH
MB
ENC
54
WPA2
Packets
Probes
-c
00:0F:B5:FD:FB:C2
ath0
Onde:
-0 significa desautenticao;
1 o nmero de desautenticao que voc deseja para ser enviado (voc pode enviar
mltiplos se voc quiser);
-a 00:14:6C:7E:40:80 o endereo MAC do AP;
-c 00:0F:B5:FD:FB:C2 o endereo MAC do cliente que voc vai desautenticar;
- - STMAC:
[00:0F:B5:34:30:30]
Com sorte isto causar uma reautenticao do cliente wireless e produzir os pacotes de
autenticao handshake.
Dica de resoluo de problemas:
Os pacotes de desautenticao so enviados diretamente do seu PC para o cliente. Logo voc dever
est fisicamente prximo ao cliente para que a transmisso de sua placa de rede wireless o alcance
(alcance o cliente). Para confirmar se o cliente recebeu os pacotes de desautenticao, use o
tcpdump ou similar para ver os pacotes ACK que voltaram do cliente. Se voc no obteve pacotes
ACK de volta, ento o cliente no ouviu o pacote de desautenticao.
Onde:
-w password.lst o nome do arquivo dicionario. Lembre de especificar o caminho completo
se o arquivo no estiver localizado no mesmo diretrio;
*.cap o nome do grupo de arquivos que contm os pacotes capturados. Note que neste
caso, ns usamos um coringa * para incluir mltiplos arquivos.
Abaixo est sendo mostrado a saida do comando quando um pacote handshake no for
encontrado:
Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets
No valid WPA handshakes found.
Quando isto acontecer ou voc ter que refazer o passo 3 (desautenticar o cliente wireless) ou
esperar mais tempo se voc estiver usando a abordagem passiva. Quando usamos a abordagem
passiva, voc deve esperar at que um cliente wireless se autentique no AP.
Encryption
WPA (1 handshake)
k/s)
Master Key
CD
B8
keys
tested
(37.20
KEY FOUND
[ 12345678 ]
0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E
13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD
69
A6
Transcient Key :
06
CE
FF
2B
EAPOL HMAC
4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB
F8
8A
1D
20
0.8
BB
9D
41
90
F3
A0
E1
8C
B1
FC
65
EA
55
ED
17
32
AE
A6
93
15
EE
DE
0E
A6
1F
70
64
26
66
84
32
62
AE
BA
BF
93
51
90
25
27
1F
83
50
66
F8
7E
D5
66
12
CD
4A
E0
98
40
5E
71
Problema:
No consigo captura os pacotes de conexo do tipo handshake!
Algumas vezes pode ser difcil capturar os pacotes de conexo handshake.
Aqui esto algumas dicas de soluo:
Sua placa de rede, que est no modo monitor, dever est no mesmo tipo de conexo
(802.11a , b ou g) que o cliente e o AP. Por exemplo, se sua placa est em b e o cliente/AP
usa o tipo g, ento voc no capturar os pacotes handshake (isto j est superado por que
as placas trabalham hoje em modo b e g, com seleo automtica e se a placa consegue
trabalhar em g, logicamente ela trabalhar em a ou b, diferentemente se esta trabalhar
somente em b, no vai conseguir trabalhar em a ou g, o mesmo se aplica ao modo
a). Isto especialmente importante para novos AP/clientes que podem est no modo
turbo e/ou outros padres.
Alguns drivers permitem a voc especificar o modo (a, b ou g). Tambm o comando
iwconfig tem uma opo chamada modulation que pode algumas vezes ser usada. Digite
man iwconfig no seu console para ver as opes para modulation. Para nossa
informao, as velocidades de conexo 1, 2, 5.5 e 11Mbit so b; e para as velocidades 6, 9,
12, 18, 24, 36, 48 e 54Mbit so g;
Algumas vezes voc tambm precisar ajustar a placa de rede wireless no modo monitor e
na mesma velocidade do AP. Voc poder fazer isto especificando com a opo -c <canal
do AP> quando inicializar o comando airodump-ng;
Certifique-se de no haver conexes gerenciadas (placas ativas e que no estejam em modo
monitor) rodando em seu sistema. Isto pode fazer com que o seu canal ou modo seja mudado
sem seu conhecimento;
Voc dever est suficientemente prximo para receber pacotes tanto do cliente wireless
como do AP. O alcance da placa de rede wireles tipicamente menor que o alcance de um
AP;
Por outro lado, se voc estiver muito prximo, ento os pacotes recebidos podem ser
corrompidos e descartados. Logo voc no poder est muito prximo;
Dependendo do driver, alguns drivers de verses mais velhas, no iro capturar todos os
pacotes;
Idealmente, conectar e desconectar um cliente wireless normalmente gera uma conexo do
tipo handshake;
Se voc usa a tcnica de desautenticao, enviando o mnimo de pacotes far com que o
cliente se reautentique. Normalmente este um pacote simples de desautenticao.
Enviando um excessivo nmero de pacotes de desautenticao far com que o cliente no
consiga se re-autenticar (reconectar ao AP) e ento no gerar os pacotes de autenticao
handshake. Para confirmar que o cliente recebeu os pacotes de desautenticao, use o
tcpdump ou similar para verificar por pacotes ACK que voltaram do cliente (resposta do
cliente aps voc ter enviado os pacotes de desautenticao). Se voc no obteve os pacotes
de resposta, ento o cliente no ouviu os pacotes de desautenticao;
Tente parar o radio na estao do cliente e reinici-lo;
Certifique-se que voc no est rodando nenhum outro programa/processo que possa
interferir no gerenciamento da conexo, como Kismet, etc;
Revise suas capturas de dados. Veja se esto faltando pacotes vindos do AP ou do cliente
wireless, etc.
Infelizmente, algumas vezes voc precisar capturar vrios bits pela sua placa de rede wireless at
que propriamente consiga capturar os pacotes de conexo handshake. O ponto , se voc no
conseguir craquear a rede na primeira tentativa, tenha paciencia e continue tentando. Com certeza
voc conseguir.
Uma outra abordagem, o uso do Wireshark para revisar e analisar seus pacotes capturados. Isto
pode algumas vezes te dar algumas dicas, como o que est acontecendo de errado e ter algumas
ideias em como corrigi-los.
Em um mundo ideal, voc deveria ter um dispositivo wireless dedicado para captura de pacotes.
Isto por causa de alguns drivers tais como o RTL8187L que so ruins para capturar pacotes mas
faz com que as placas de rede contendo este driver envie pacotes automaticamente (ou seja, so
bons para enviar mas ruins para capturar).
J os driver que usam RT73 so drivers ruins para capturar pacotes de clientes wireless.
Quando usamos o Wireshark, com filtro para eapol ir rapidamente mostrar na tela somente os
pacotes EAPOL. Baseado no que os pacotes EAPOL foram capturados, determine o seu plano de
correo. Por exemplo, se voc perdeu ou est faltando pacotes de clientes wireless ento tente
determinar o porqu e como coletar pacotes wireless.
Se quiser coletar todos os pacotes, voc deve iniciar o airodump-ng sem o filtro BSSID e ento ir
iniciar a captura de todos os pacotes, no s os IV s. Desnecessrio dizer que, dever est no mesmo
canal do AP. A razo de eliminar o filtro BSSID para se certificar que todos os pacotes, incluindo
ACK, foram capturados.
Todos os pacotes enviados ao cliente ou AP devem ser ACK (pacotes de conexo handshake). Isto
feito com acknowledment pacotes que tem como destinao o endereo MAC do dispositivo que
enviou o pacote original. Isto confirma que o cliente recebeu o pacote de desautenticao. Falha no
recebimento de pacotes ack infelizmente quer dizer que o cliente est fora de rea de transmisso.
Para analisar pacotes capturados impossvel criar instrues detalhadas. Esta uma rea que exige
esforo prprio para se desenvolver habilidades em interpretar conexes WPA/WPA2, acrescido de
conhecimentos em como usar o Wireshark.
Se o aircrack-ng declarar: 0 handshakes
Verifique a dica de resoluo de problemas Eu no consigo capturar os quatros modos de conexo
Handshak !
Se o aircrack-ng declarar: Nenhuma conexo handshake WPA vlida foi encontrada
Verifique a dica de resoluo de problemas Eu no consigo capturar os quatros modos de conexo
Handshak !
Tabela 1
Wireless Frequencies and Channels
________________________________________________________________________________
________
Frequency
Channel Number
Frequency
Channel
Number
2.412 GHz
1
2.484 GHz
14
2.417 GHz
2
5.180 GHz
36
2.422 GHz
3
5.200 GHz
40
2.427 GHz
4
5.220 GHz
44
2.432 GHz
5
5.240 GHz
48
2.437 GHz
6
5.260 GHz
52
2.442 GHz
7
5.280 GHz
56
2.447 GHz
8
5.300 GHz
60
2.452 GHz
9
5.320 GHz
64
2.457 GHz
10
5.745 GHz
149
2.462 GHz
11
5.765 GHz
153
2.467 GHz
12
5.785 GHz
157
2.472 GHz
13
5.805 GHz
161
________________________________________________________________________________
________