User Tools

Site Tools


spanish_tuto-fr.com_en_tutorial_tutorial-crack-wep-aircrack.php

This is an old revision of the document!


Tutorial Aircrack: Comprueba la seguridad de tu red wifi con clave wep

Doc. Fecha: 28 Febrero 2007
Este documento es una adaptación del tutorial francés:
http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php

Introducción

Actualmente, la mayoría de los proveedores ofrecen algún tipo de protección en sus modems wifi. Por desgracia la mayoría de ellos aplican encriptación WEP por defecto en el caso de activar la opción wireless. Es sabido que esta protección está herida de muerte… es debil y muy fácilmente crackable. En menos de una hora es posible crackear una clave WEP de 128 bytes y poco mas para una clave de 256 bytes con aircrack. Este tutorial te ayudará a comprobar lo insegura que es tu red wireless, y te darás cuenta de que es conveniente utilizar encriptación WPA. (video crack wep)

  • *Warning, tu eres el único responsable de aplicar este tutorial en tu PROPIA red wireless. Si tu no eres el dueño de la red o si no tienes permiso del propietario no puedes seguir adelante; ya que con toda probabilidad estarías violando las leyes vigentes en tu pais. La finalidad de este manual es simplemente sensibilizar a las personas de la debilidad de la encriptación wep. Y le recuerdo a la gente que todavía piensa que puede intentarlo con la red de sus hijos, parientes, vecinos…: NECESITAS AUTORIZACIÓN para atacar su red, sino te pedirán responsabilidades y acabarás siendo condenado e incluso podrías ir a la carcel. Para comprobar la seguridad de tu red wireless, necesitarás la suite aircrack que ha sido diseñado por Christophe Devine. Este programa funciona en windows y en linux, pero algunas de sus funcionalidades no están disponibles bajo windows (inyección de paquetes por ejemplo) Por esta razón usaremos un cd de linux “bootable” o Live-Cd (Whax), que es un CD pensado para realizar tests de intrusión. Hay otros Lives-Cds similares, con los cuales tambien podemos aplicar los conocimientso adquiridos en este manual, por ejemplo más actuales son troppix o backtrack. (Estos CDs están orientados al cracking WEP**, sin necesidad de tener que instalar ningún sistema operativo Linux e incluyendo todos los programas que necesitamos; pero ubuntu o cualquier otra distribución tambien funcionará si le instalamos los programas necesarios)

Pero no todas las tarjetas están soportadas, básicamente depende del chipset, aquí hay una lista de tarjetas que funcionan con aircrack (compatibles). Y esta es otra lista (fr)

Este manual se hizo con una tarjeta D-link DWL-G650 (pero no G650 + !!!) .

Por fortuna, un amigo me reto a que intentará obtener la clave wep de su punto de acceso; él pensaba que yo no sería capaz. Pero al final le dempostré que se equivocaba, lo que me llevo aproximadamente 2 horas.

Por razones obvias, todos los nombres de las redes (ESSID) han sido borrados, excepto el de la red que queremos crackear, este solo ha sido parcialemente ocultado.

BSSID o direcciones mac tambien han sido parcialmente censuradas, y solo muestro la primera parte de la MAC que hacen referencia al fabricante del hardware.

Repito que si estás intentando entrar en una red, necesitas la autorización del dueño, o ser tu el propietario

1. Whax:

Usamos este Live-Cd proque nos gusta mucho nuestro Windows y no sabemos nada de nada acerca de Linux y su pingüino

Puedes conseguir el Live-Cd de WHAX aquí: Download Whax: http://files.tuto-fr.com o http://search.belnet.be/mirror/www.whoppix.net/

Nota : Hay nuevos “lives cds” especializados en wifi, como troppix o backtrack que son tan buenos o incluso mejores. Puedes encontrar estas distribuciones en files.tuto-fr.com El funcionamiento es prácticamente el mismo. Todos ellos incluyen drivers y los programas aircrack y airodump/aireplay.

Quema la imagen ISO en un cd (pero asegurate que la gravas como imagen y no como disco de datos). Además te recomiendo que crees una partición FAT32 de 2 o 3 gigas. La ventaja de FAT32 es que se puede usar tanto en el S.O. windows como en linux. Esa partición puede ser usada para guardar los paquetes capturados y los diferentes archivos necesarios para crackear la clave wep. Esta partición no es indispensable, pero si recomendable, sobre todo si tienes poca memoria RAM en tu PC, porque el Live-Cd se cargará en la memoria RAM y los archivos serían salvados en la RAM y no en la partición. Además si tienes una partición FAT32 puedes apagar el ordenador y reiniciar sin perder ningún archivo de datos.

Otra alternativa, si no quieres formatear tu disco duro, puede ser usar una MEMORIA USB externa para gravar los archivos con las capturas

ATENCIÓN, LAS PARTICIONES NO TIENEN EL MISMO NOMBRE EN WINDOWS Y EN LINUX, POR LO TANTO COLOCA UN FICHERO QUE RECONOZCAS EN ELLA.

Despues de configurar la BIOS de tu PC para arrncar Whax desde el CD, llegarás a una pantalla en la que se te preguntará por el nombre de usuario (login) (en troppix tendrás que escoger la tarjeta de video + lenguaje del teclado + resolución) El login es “root” y la contraseña o password es “toor”; y para iniciar la interface gráfica escribe “startx”

Una vez cargado Whax, abre una consola o “shell”:

El escritorio es “KDE” por lo que es sencillo de usar. (haz un simple click)

Despues escribe “airmon.sh” para ver las tarjetas que tienes y seleccionar la que quieras usar con el comando: “airmon.sh start «interface wifi»”

En esta imagen puedes ver que la tarjeta ha sido reconocida correctamente y que está activado el modo monitor. El modo monitor te permite capturar paquetes sin necesidad de estar conectado a ninguna red. ;)

En caso de estar usando una distribución linux, solo necesitarás instalar la suite aircrack: Descarga aircrack airodump, aireplay

2. Airodump:

Uso detallado de faq.gif}} airodump en windows y linux

Ahora podemos empezar a escanear en busca de redes wireless con airodump (parte de la suite aircrack).

Escribimos en una consola: “airodump [nombre de la interface] [nombre del archivo] [canal a escanear]”

Para escanear en todos los canales escribe el 0

Puedes añadir el parámetro 1 al final, para modificar la extensión del archivo a .ivs en lugar de .cap, la ventaja es que en este archivo no se guardan todos los paquetes sino solo los IVs, y por lo tanto el tamaño es mucho más reducido. « airodump ath0 out 0 1 »

Es recomendable que uses este método si no has creado una partición FAT32, sino puede que se te cuelgue el sistema en caso de no tener suficiente memoria RAM!!!

Si has creado o si tienes una partición FAT32 necesitas situarte en esa partición. Usa el comando «cd ..» para regresar al directorio anterior. O puedes usar “cd /root/mnt” y despues ir al directorio que corresponde a tu partición windows. Yo lo que hago es escribir «cd ..» y «cd mnt/hda6»

Una vez que airodump está funcionando veremos esto:

Yo vivo en una residencia de estudiantes, por lo que hay un montón de gente.

La columna BSSID se corresponde con la dirección Mac del punto de acceso (AP) La columna ESSID es el nombre de la red (MyWifiNetwork, Wanadoo-xxxx…)

La parte de arriba corresponde a los puntos de acceso detectados y en la parte inferior veremos los clientes de esos APs (los ordenadores que están conectados a cada red)

La columna que nos interesa es la que pone IVs, esos son los archivos que usaremos para crackear la clave WEP. (En versiones recientes de airodump la columna de IVs aparece con el nombre data)

En mi caso el AP de mi amigo es el único que no tiene el ESSID completamente borrado. Para una adecuada captura de los paquetes es necesario lanzar airodump escogiendo únicamente el canal en el que se encuentra el AP (el nuestro es 10)

airodump ath0 out 10

Para parar la captura pulsamos “Ctrl+C”. (esta es la forma de finalizar cualquier programa que se ejecute en una consola en Linux). Tambien estás obligado a parar la captura si quieres copiar la dirección mac para despues pegarla. Para copiar en Linux al “portapapeles” selecciona simplemente con el ratón y situa el cursor en el lugar donde lo quieras pegar y pulsa el botón central del ratón o “Shift+insert”.

Para más detalles sobre las opciones de airodump simplemente escribe [airodump] en la console y aparecerá la ayuda.

Aquí vemos que hay dos clientes y uno de ellos está conectado al AP que nos interesa a nosotros. ESTAMOS DE SUERTE, algunas veces los puntos de acceso tienen filtrado mac y solo permiten la asociación de una o varias MACs determinadas, y para ejecutar aireplay necesitaremos alguna de esas direcciones MAC, actuando como si nosotros fuesemos ese otro ordenador para tener acceso al AP.

Tan pronto como empezamos a capturar algún IV airodump nos dirá cual es el tipo de encriptación de la red: WEP, WPA o OPN (de open=abierta).

Ahora sabemos que la encriptación es WEP, que un cliente está conectado, y que está generando tráfico (350 paquetes enviados por el cliente en no mucho tiempo). Vamos a lanzar aireplay, un inyector de paquetes para acelerar el tráfico y capturar más IVs rápidamente.

Es necesario saber que para crackear una clave WEP de una red wifi, es mucho más fácil y más rápido cuanto mayor sea el tráfico existente en la red.

3. Aireplay:

Para ver todos los detalles consulta el aireplay manual

Al igual que airodump, aireplay forma parte de la suite aircrack

3.1. Falsa autenticación:

Mira el FAQ aireplay -1

Para lanzar aireplay abre otra consola en la misma pantalla con la ayuda del pequeño icono situado arriba a la izquierda. Tambies puedes renombrarlo haciendo click derecho. Lanzamos aireplay la primera vez sin preocuparnos sobre el bssid (dirección MAC) del cliente :

Los parametros son:

aireplay -1 0 –e [Essid] -a [Bssid del AP] –h [bssid de un cliente 
inventado] [interface] 

El parametro -b no es necesario para el ataque -1. “-1 0” significa ataque de falsa autenticación, y el cero es el tiempo que tardará en enviar un paquete de “sigo aquí” o “keep alive” para que permanezcamos asociados al AP. Si ponemos cero no se enviarán paquetes de “sigo aquí” pero hay APs a los que si no se les envia ningún paquete en un periodo de tiempo determinado procederá a desautenticar a ese cliente. Por esta razón puede ser que sea conveniente utilizar el parámetro “-1 30” con lo que se enviará un paquete de “sigo aquí” cada 30 segundos una vez asociado.

Podemos ver en la imagen que al usar una mac inventada el AP la rechaza, pero si probamos con la MAC del cliente real el ataque nos funciona:

La mayoría de los AP no tienen configurado ningún filtrado MAC y por lo tanto podremos usar cualquier MAC inventada. Una vez que has conseguido “association successful“ ya tienes tu primera victoria, ya que has sido aceptado por el punto de acceso como cliente.

Este ataque falla si la señal (power) es baja. En este caso puede que consigas “authentication successful” pero te falle la asociación o no sea inmediata:

Aquí el ejemplo es pequeño, pero tu fácilmente puedes tener 40 lineas :-S

En la siguiente imagen mostramos las relaciones entre los parámetros de aireplay y la captura de airodump :

Si ya hay un cliente conectado, no es necesario asociar a nadie y por tanto nos podemos saltar este apartado y pasar al 3.2. sin ningún problema..

3.2. Inyección de paquetes:

En detalle aireplay attack -3

Once the association is good, we relaunch aireplay changing some of the parameters.

You need to change the first parameter by “-3” that corresponds to an attack by packet injection. Then you need to add the parameter “-x” following a value that corresponds to the number of packets per seconds that aireplay will send. Here it is 600, Depending on the AP signal strength modify the parameter.

Also, following the capture file (airodump) add in the parameter –r. This parameter indicates in which file read to see if there are ARP’s inside. The ARPS are what will allow us to influence the traffic.

NO TE OLVIDES DE SITUARTE EN EL MISMO DIRECTORIO

To avoid to type it all, since the syntax is basically the same then the parameter -1 press the up arrow key to have what you have previously entered.

Aireplay grava los ARPS en un archivo que se crea cada vez que lo ejecutamos. El nombre está subrayado en la imagen de color rojo. Ese archivo se guarda en la carpeta desde donde lances el aireplay

It is that file that you then put in the parameter –r if you got ARPS, the ARPS are obtained by reading the file indicated but also by listening the the network, like airodump does.

Aquí, podemos ver que tenemos un arp. Tan pronto como conseguimos un ARP aireplay comienza a enviar paquetes. Y normalmente si todo va bien, los IVS empezarán a aumentar. Y este es nuestro caso, los IVs están creciendo :D:

Al mismo tiempo, los arps tambien aumentan:

El máximo de arps que guarda aireplay son 1024.

Para que te hagas una idea de la velocidad de captura de los IVs’s he guardado algunas imágenes de la pantalla completa; fíjate en el reloj.

      A las 16h25 190.000 IVs
      A las 16h30 290.000 IVs
      A las 16h43 650.000 IVs

4. Aircrack:

En detalle en FAQ

Necesitarás aproximadamente 300.000 IVs para una WEP de 64 bytes y 1.000.000 para una clave de 128 bytes. A veces puedes necesitar muchos mas, pero el proceso es muy rápido.

Debes lanzar Aircrack cuando tengas 300.000 IVs y si crees que la clave es de 64 bytes (tu lo tienes de saber, porque la red es tuya)

For that in the parameters of aircrack, you only need to add –n 64, and aircrack will try to crack the WEP key as if it was a 64 bytes WEP key, even if it is a 128 bytes key.

Personaly this tuto aimed a 128 bytes key (livebox) so I don’t send it with 64, But since I have approximately 700k ivs, I can start to launch aircrack while the capture of packets is still going on with airodump.

Abre una nueva shell y ejecuta aircrack.

Don’t forget to place yourself in the folder containing the files of airodump, if you have created a FAT32 partition

aircrack –x -0 nombre_archivo_captura

The Parameter –x stops the bruteforcing of the last 2 bytes, it accelerates the crack (normally)

The parameter -0 puts aircrack in color and it’s the only thing it does, but MAN doesn’t it look cool when some ones cracking and you see the matrix like coding in his screen.

Finaly the last parameter is the name of the capture file of airoduimp, you can also use the syntax “ *.cap “ and “ *.ivs “ to open all the files .cap and .ivs.

aircrack –x -0 *.cap *.IVs  

Once we have launched aircrack, it shows all the networks that it saw, the crypting, the number of IVs corresponding. You then only need to chose the right number and to launch aircrack

ahora comienza a buscar la clave:

http://www.tuto-fr.com/tutoriaux/crack-wep/images/aircrack-debut-crack-clef-wep.gif

The capture of airodump keeps going while the aircrack increments automatically all the new IVs and uses them to crack the key.

Now the only thing you need to do is let it run and the WEP key should show in red, if the crack works. Basically it works statically with a vote system counting the Ivs’s, more a byte has votes compared to the other bytes of the same row, more it has chances to be good.

Desafortunadamente para mí, no lo he conseguido por lo que tengo que capturar más IVs

I believe it is because there was barely any traffic, maybe even none.

Lo mejor es seguir capturando más IVs’s

When you recapture IVs’s, the best thing to do is to wait for the station, get new ARP’s and let Airodump run.

Personally I let airodump run and relaunched an aireplay removing the –r parameter so that it gets new ARP’s. So when the station reconnects new ARP’s are in movement and I capture them right away re injecting, it’s the best method.

If your not able to capture ARP let the capture run as long as possible and when a station is connected try an attack per desauthentication it should stimulate the ARP emission.

aireplay -0 + the usually ESSID and BSSID parameters 

So I left and when I came back I had around 2.6 mil IVs’s, more then enough.

Relaunching aircrack:

Bingo !!!!

We can see that comparing the 2 images the one where the attack failed and the one where it worked, we find basically the same numbers, which means we only needed new IVs’s.

If it would not work, play with the fudge factor of aircrack adding a –f parameter “-f number between 2 and 10” Example:“

aircrack –x -0 *.cap *.ivs –f 4 

by default the fudge factor is set to 2 aircrack uses 17 types of attacks created by Korek

You can chose to disable one of them after another if you have a lot of IVs’s but the crack fails Example:

Aircrack –x -0 *.cap *.ivs –k 4 

Podemos combianrlo con el “fudge factor” y otras opciones

If you ever have more then 3 mil IVs’s that you capture with a lot of traffic and the attack still fails there could be many reasons: -The network changed key, but you should know since you’re the owner. -The file of capture is corrupted -Your not too lucky…..

5. Configuración de la conexión:

Fantástico!!! tenemos la clave WEP, lo primero que podemos hacer es escribirla en un papel. Pero tenemos que tener cuidado de no equivocarnos, por ejemplo los 0 (ceros) no pueden ser o (os), ya que en “hexadecimal” las únicas posibilidades son los números del 0 al 9 y las letras de la A a la F.

Now that we have the WEP key, the only thing missing is the networks (IP plan) Howeever it is usually useless since most of the networks uses dhcp, it means an automatic IP: Your connected to an access point and we give you an IP.

You can so try to connect with windows (watch out you need to remove the “ : “ between the parts of the key and if there is a MAC filter, you need to Change your mac address under window or with Whax that has a module of connection.

5.1. Con whax:

To use you first need to put your card on managed mode, for that: « iwconfig ath0 mode managed »

And if you wish to go back to monitoring for more capture, you only need to type in « iwconfig ath0 mode monitor »

Si el AP tiene filtrado MAC cambia tu MAC por la de un cliente legítimo.

      MAC change under linux
      MAC change under windows

Then to open the assistant go to start menu then chose whax tool/wireless/wireless assistant and configure your network. (if dhcp doesnt work try under windows or go lower to find the ip planof the network

You can always test with a command like ” ping www.google.fr

5.2. En una shell:

Si estás utilizando Whax puedes hacerlo escribiendo los comandos en una shell.

Todos los parámetros de nuestra configuración los podemos ver escribiendo el comando:

iwconfig ath0 

Para poner la tarjeta en modo managed (para poder conectarnos):

iwconfig ath0 mode managed

Para introducir la clave wep:

iwconfig ath0 key xx:xx:xx:xx:xx:xx 

Puedes combinar parámetros en una linea:

iwconfig ath0 mode managed key xx:xx:xx:xx:xx:xx

5.3. Cambiar tu dirección mac:

5.3.1. En linux:

Si el AP tiene configurado un filtro de direcciones MAC tendrás que cambiar la tuya por una que sea aceptada (la tarjeta wireless es “station” en airodump)

Primero necesitas apagar la tarjeta wifi. Despues podrás cambiarla con ifconfig ath0 hw ether: XX:XX:XX:XX:XX:XX

Tened en cuenta que en algunos modelos de tarjetas este comando solo funciona si está en modo managed o en otras solo funciona en modo monitor. Último paso de la activación será activar la interface con: ifconfig ath0 up

Otra alternativa, para cambiar la dirección MAC en linux es usar el programa macchanger

Si no funciona la conexión puedes probar con windows o buscar en network address.

5.3.2. En windows:

En windows tambien podemos cambiar la dirección MAC de varias formas:

1.- Vete a « Inicio/Panel de control/Herramientras administrativas/Administrador de dispositivos/».

Escoge la categoría Adaptadores de red, elige tu tarjeta y haz click derecho para ver las propiedades de la tarjeta. Pincha en la etiqueta “Opciones avanzadas” y busca una categoría con el nombre “Network Adress” o similar. Para cambiar la MAC solo tendrás que introducir el valor correcto en la caja que tienes al efecto.

Hay que tener en cuenta que no todas las tarjetas wireless disponen de esta opción en el controlador de windows. Si no encuentras esta opción puedes usar alguno de los siguientes métodos:

2.- Cambiar el valor de la dirección MAC directamente en el “Registro de Windows”. Para ello vamos a «Inicio/Ejecutar» y escribimos “regedit”. Buscamos la clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\00XX (siendo 00XX nuestra tarjeta wireless, que en lugar de 00XX puede ser 0012, 0013….)

Ahora solo hay que crear un valor alfanumérico con el nombre “NetworkAddress” (presta atención al nombre, ya que tiene que coincidir exactamente con el aquí expuesto). Cerramos “regedit” y para que el cambio tenga efecto tendremos que deshabilitar y habilitar la tarjeta o reiniciar Windows.

Para comprobar que hemos cambiado la MAC podemos abrir una consola de MS-DOS (cmd) y escribir el comando “ipconfig /all”

3.- Tambien puedes usar “etherchange ”, un pequeño programa DOS para windows: Descarga etherchange.

Ejecuta el programa y elige la interface a la que le quieres cambiar la dirección MAC. Escribe la nueva MAC y el cambio surtirá efecto.

Para comprobarlo recuerda que puedes usar “ipconfig /all”.

6. Find the network address:

If the network dosnt have a Dhcp or if it isn’t activated, you need to find the plan of address, in most cases it Is 192.168.1.xxx with the access point 192.168.1.1 and the mask under 255.255.255.0

However there is a fast and easy way to find the ip of the access point with ethereal, a network sniffer.

You need the WEP key to find the IP

Launch ethereal «start/WHAX Tools/Sniffers/ethereal »

Configure ethereal to decrypt packets with the WEP key you just found, otherwise you won’t get IP’s. Do : « Edit/préférences/protocols/IEEE 802.11 » Configure the wep key, remember to select “assume packets have FCS”

Do « capture/options » Choose (ath0) Select (capture paquets in promiscuous mode) Select enable network name résolution

Para encontrar únicamente las que te interesan aplica un filtro. Un filtro típico que funciona muy bien es “(wlan.bssid == bssid of the AP) && (TCP)

Actualmente you chose to see only to see the packets sent by TCP and the bssid is the one specified

Bingo we found the IP

If you let it run a bit you will confirm the IP and maybe get more info

Por ejemplo vemos que mi amigo está usando el emule

There the work is done, you have the address of the network, the wep key, the mac of the station, only thing you need is to connect (all that for that) If encountering any problem, the support forum is there to help you. still read the tuto

Anexos

Ejemplo de una red abierta (OPN)

Inyección en windows:

Hay otros softwares para inyectar paquetes usando windows

Para chipsets como el atheros; descarga CommView for wifi

Chipset Prism: descarga airGobbler Packet Generator

FAQ

Consulta el FAQ en francés si dominas este idioma

Archivos:

  • Drivers y parches de aircrack
  • Aircrack-ng nueva generación de aircrack
  • Aircrack con dll peek.dll peek.dll, peek5.sys y cygwin1.dll
  • Winaircrack interface gráfica Winaircrack
  • Para conocer datos acerca de tu tarjeta wifi Wlandrv
  • XP drivers para chipset prism2 y WPA
  • drivers de todos los chipset.

FAQ

  • Lista de direcciones Mac

-Christophe Devine video Tutoriaux photoshop © Copyright 2005-2006 Tuto-fr.com par Billyboylindien Déclaré à la cnil: Dossier n° 1142196 Rc v2.0 Il y a actuellement 70 visiteur(s) connecté(s) !

spanish_tuto-fr.com_en_tutorial_tutorial-crack-wep-aircrack.php.1172518218.txt.gz · Last modified: 2007/02/26 20:30 (external edit)