Aircrack-ng

Aus Wardriving-Forum.de Enzyklopädie
Wechseln zu: Navigation, Suche
Halbsperrung
Die Seite wurde so gesperrt, dass nur registrierte Benutzer diese ändern können. Bitte melde dich an, fals du ihn Editieren willst!

Aircrack-ng

Beschreibung

Aircrack macht es möglich in WEP,WPA/WPA2-PSK geschützte WLANs einzudringen.

Das Programm analysiert die gesendete Datenpakete aus airodump-ng und die zu jedem WEP-Paket gehörenden 24-Bit langen Initialisierungsvektoren (IVs). Mit genügend vielen mitgeschnittenen Paketen bzw. schwachen IVs kann das Programm Aircrack auf den WEP-Schlüssel schließen. Dabei handelt es sich im Wesentlichen um einen statistisch-mathematischen Angriff, d. h. theoretisch ist es möglich, mit genügend vielen IVs auf den WEP-Schlüssel rückzuschließen. Je nach Länge des verwendeten Schlüssels benötigt man 100.000 bis 250.000 IVs (bei 40-Bit-Schlüsseln) oder 500.000 bis 1.000.000 IVs (bei 104-Bit-Schlüsseln) oder auch viel mehr.

Es genügt eine Anzahl von 50.000 Paketen für eine 50-%-Chance einen 128-Bit-Schlüssel zu errechnen. Der Erfolg ist nicht garantiert und hängt u. a. von einer Vielzahl weiterer Faktoren ab. Mittlerweile implementiert Aircrack moderne Angriffe wie den KoreK-Angriff. Der Angriff kann um aktive Methoden ergänzt werden, um schneller eine große Zahl an Paketen mitschneiden zu können. Auf diese Weise ist es möglich in ein per WEP gesichertes Netzwerk innerhalb weniger Minuten einzubrechen.

Mit WPA verschlüsselte Netzwerke kann Aircrack mittels eines Wörterbuchangriffs angreifen, indem es den beim Verbindungsaufbau stattfindenden Four-Way-Handshake einer WPA-Verbindung mitliest und diesen anschließend mittels Brute-Force zu entschlüsseln versucht.

Wie funktioiert es?

Die erste Methode ist die PTW Methode (Pyshkin, Tews, Weinmann). The PTW method is fully described in the paper found on [web site]. In 2005, Andreas Klein präsentierte diese neue Attacke. Er zeigte, dass mit der PTW-Attacke, ein WLAN mit viel weniger Paketen als mit der normalen Vorgehensweise geknackt werden kann. Diese Attacke benutzt erweiterte FMS Techniken, die im nächsten Kapitel erklärt werden. Ein wichtiges Detail dieser Attacke ist, dass sie z.B. auch mit "ARP-Request" funktioniert.

Die zweite Methode ist die FMS/Korek - Methode, welche mehrere Techniken beinhaltet. Der Link Techniques Papers auf der Linkseite erklärt diese Techniken genauer.

In der PTW-Attacke werden mehrere Techniken verwendet:

 * FMS ( Fluhrer, Mantin, Shamir) Attacke - statistische Technik
 * Korek Attacke - statistische Technik
 * Bruteforcing

When using statistical techniques to crack a WEP key, each byte of the key is essentially handled individually. Using statistical mathematics, the possibility that a certain byte in the key is correctly guessed goes up to as much as 15% when the right initialization vector (IV) is captured for a particular key byte. Essentially, certain IVs "leak" the secret WEP key for particular key bytes. This is the fundamental basis of the statistical techniques.

By using a series of statistical tests called the FMS and Korek attacks, votes are accumulated for likely keys for each key byte of the secret WEP key. Different attacks have a different number of votes associated with them since the probability of each attack yielding the right answer varies mathematically. The more votes a particular potential key value accumulates, the more likely it is to be correct. For each key byte, the screen shows the likely secret key and the number of votes it has accumulated so far. Needless to say, the secret key with the largest number of votes is most likely correct but is not guaranteed. Aircrack-ng will subsequently test the key to confirm it.

Looking at an example will hopefully make this clearer. In the screenshot above, you can see, that at key byte 0 the byte 0xAE has collected some votes, 50 in this case. So, mathematically, it is more likely that the key starts with AE than with 11 (which is second on the same line) which is almost half as possible. That explains why the more data that is available, the greater the chances that aircrack-ng will determine the secret WEP key.

However the statistical approach can only take you so far. The idea is to get into the ball park with statistics then use brute force to finish the job. Aircrack-ng uses brute force on likely keys to actually determine the secret WEP key.

This is where the fudge factor comes in. Basically the fudge factor tells aircrack-ng how broadly to brute force. It is like throwing a ball into a field then telling somebody to ball is somewhere between 0 and 10 meters (0 and 30 feet) away. Versus saying the ball is somewhere between 0 and 100 meters (0 and 300 feet) away. The 100 meter scenario will take a lot longer to search then the 10 meter one but you are more likely to find the ball with the broader search. It is a trade off between the length of time and likelihood of finding the secret WEP key.

For example, if you tell aircrack-ng to use a fudge factor 2, it takes the votes of the most possible byte, and checks all other possibilities which are at least half as possible as this one on a brute force basis. The larger the fudge factor, the more possibilities aircrack-ng will try on a brute force basis. Keep in mind, that as the fudge factor gets larger, the number of secret keys to try goes up tremendously and consequently the elapsed time also increases. Therefore with more available data, the need to brute force, which is very CPU and time intensive, can be minimized.

In the end, it is all just "simple" mathematics and brute force!

For cracking WEP keys, a dictionary method is also included. For WEP, you may use either the statistical method described above or the dictionary method, not both at the same time. With the dictionary method, you first create a file with either ascii or hexadecimal keys. A single file can only contain one type, not a mix of both. This is then used as input to aircrack-ng and the program tests each key to determine if it is correct.

The techniques and the approach above do not work for WPA/WPA2 pre-shared keys. The only way to crack these pre-shared keys is via a dictionary attack. This capability is also included in aircrack-ng.

With pre-shared keys, the client and access point establish keying material to be used for their communication at the outset, when the client first associates with the access point. There is a four-way handshake between the client and access point. airodump-ng can capture this four-way handshake. Using input from a provided word list (dictionary), aircrack-ng duplicates the four-way handshake to determine if a particular entry in the word list matches the results the four-way handshake. If it does, then the pre-shared key has been successfully identified.

It should be noted that this process is very computationally intensive and so in practice, very long or unusual pre-shared keys are unlikely to be determined. A good quality word list will give you the best results. Another approach is to use a tool like john the ripper to generate password guesses which are in turn fed into aircrack-ng.

Explanation of the Depth Field and Fudge Factor

The best explanation is an example. We will look at a specific byte. All bytes are processed in the same manner.

You have the votes like in the screen shot above. For the first byte they look like: AE(50) 11(20) 71(20) 10(12) 84(12)

The AE, 11, 71, 10 and 84 are the possible secret key for key byte 0. The numbers in parentheses are the votes each possible secret key has accumulated so far.

Now if you decide to use a fudge factor of 3. Aircrack-ng takes the vote from the most possible byte AE(50):

50 / 3 = 16.666666

Aircrack-ng will test (brute force) all possible keys with a vote greater than 16.6666, resulting in

AE, 11, 71

being tested, so we have a total depth of three:

0 / 3 AE(50) 11(20) 71(20) 10(12) 84(12)

When aircrack-ng is testing keys with AE, it shows 0 / 3, if it has all keys tested with that byte, it switches to the next one (11 in this case) and displays:

1 / 3 11(20) 71(20) 10(12) 84(12)


Usage
 aircrack-ng [options] <capture file(s)>

Du kannst auch mehrere Dateien auswählen(Im .cap oder .ivs Format. Du kannst auch airodump-ng und aircrack-ng gleichzeitig laufen lassen. Aircrack-ng wird automaitsch aktualisieren wenn neue IVs verfügbar sind.

Hier ist eine Zusammenfassung aller vorhandenen Optionen:

^Option^Param.^Description^ |-a|amode|Force attack mode (1 = static WEP, 2 = WPA/WPA2-PSK).| |-e|essid|If set, all IVs from networks with the same ESSID will be used. This option is also required for WPA/WPA2-PSK cracking if the ESSID is not broadcasted (hidden).| |-b|bssid|Select the target network based on the access point's MAC address.| |-p|nbcpu|On SMP systems: # of CPU to use. This option is invalid on non-SMP systems.| |-q|//none//|Enable quiet mode (no status output until the key is found, or not).| |-c|//none//|(WEP cracking) Restrict the search space to alpha-numeric characters only (0x20 - 0x7F).| |-t|//none//|(WEP cracking) Restrict the search space to binary coded decimal hex characters.| |-h|//none//|(WEP cracking) Restrict the search space to numeric characters (0x30-0x39) These keys are used by default in most Fritz!BOXes.| |-d|start|(WEP cracking) Set the beginning of the WEP key (in hex), for debugging purposes.| |-m|maddr|(WEP cracking) MAC address to filter WEP data packets. Alternatively, specify -m ff:ff:ff:ff:ff:ff to use all and every IVs, regardless of the network.| |-n|nbits|(WEP cracking) Specify the length of the key: 64 for 40-bit WEP, 128 for 104-bit WEP, etc. The default value is 128.| |-i|index|(WEP cracking) Only keep the IVs that have this key index (1 to 4). The default behaviour is to ignore the key index.| |-f|fudge|(WEP cracking) By default, this parameter is set to 2 for 104-bit WEP and to 5 for 40-bit WEP. Specify a higher value to increase the bruteforce level: cracking will take more time, but with a higher likelyhood of success.| |-k|korek|(WEP cracking) There are 17 korek statistical attacks. Sometimes one attack creates a huge false positive that prevents the key from being found, even with lots of IVs. Try -k 1, -k 2, ... -k 17 to disable each attack selectively.| |-x/-x0|//none//|(WEP cracking) Disable last keybytes brutforce.| |-x1|//none//|(WEP cracking) Enable last keybyte bruteforcing (default).| |-x2|//none//|(WEP cracking) Enable last two keybytes bruteforcing.| |-X|//none//|(WEP cracking) Disable bruteforce multithreading (SMP only).| |-y|//none//|(WEP cracking) This is an experimental single bruteforce attack which should only be used when the standard attack mode fails with more than one million IVs| |-w|words|(WPA cracking) Path to a wordlist or "-" without the quotes for standard in (stdin).| |-z|//none//|Invokes the PTW WEP cracking method.|

Usage Examples

WEP !!!!

Kurzes Videotutorial dazu: WEP-Cracking mit Aircrack bei aktivem MAC-Filter

Am einfachsten ist es, einen WEP-Schlüssel zu errechnen. Wenn man das selbst einmal ausprobieren möchte, kann man sich hier eine Test - .cap Datei [[1]]herunterladen. Der Schlüssel in der Testdatei entspricht dem im oberen Bildschirm, nicht aber dem im unteren Beispiel!

aircrack-ng 128bit.ivs

Aufschlüsselung:

 *128bit.ivs ist das Capture-File.

Das System antwortet:

  Opening 128bit.ivs
  Read 684002 packets.
 
  #  BSSID              ESSID                     Encryption
 
  1  00:14:6C:04:57:9B                            WEP (684002 IVs)
 
  Choosing first network as target.

Wenn Daten von mehreren Netzen aufgezeichnet wurden, kann man seine Wahl mit der jeweiligen Ziffer wählen. Standartmäßig geht Aircrack davon aus, dass ein 128 Bit-Key vorliegt.

Jetzt startet der eigentliche Entschlüsselungsprozess. Sollte das Programm den Schlüssel erfolgreich berechnet haben, sieht der Bildschirm so aus:

                                               Aircrack-ng 0.7 r130
 
 
                               [00:00:10] Tested 77 keys (got 684002 IVs)
 
  KB    depth   byte(vote)
   0    0/  1   AE( 199) 29(  27) 2D(  13) 7C(  12) FE(  12) FF(   6) 39(   5) 2C(   3) 00(   0) 08(   0) 
   1    0/  3   66(  41) F1(  33) 4C(  23) 00(  19) 9F(  19) C7(  18) 64(   9) 7A(   9) 7B(   9) F6(   9) 
   2    0/  2   5C(  89) 52(  60) E3(  22) 10(  20) F3(  18) 8B(  15) 8E(  15) 14(  13) D2(  11) 47(  10) 
   3    0/  1   FD( 375) 81(  40) 1D(  26) 99(  26) D2(  23) 33(  20) 2C(  19) 05(  17) 0B(  17) 35(  17) 
   4    0/  2   24( 130) 87( 110) 7B(  32) 4F(  25) D7(  20) F4(  18) 17(  15) 8A(  15) CE(  15) E1(  15) 
   5    0/  1   E3( 222) 4F(  46) 40(  45) 7F(  28) DB(  27) E0(  27) 5B(  25) 71(  25) 8A(  25) 65(  23) 
   6    0/  1   92( 208) 63(  58) 54(  51) 64(  35) 51(  26) 53(  25) 75(  20) 0E(  18) 7D(  18) D9(  18) 
   7    0/  1   A9( 220) B8(  51) 4B(  41) 1B(  39) 3B(  23) 9B(  23) FA(  23) 63(  22) 2D(  19) 1A(  17) 
   8    0/  1   14(1106) C1( 118) 04(  41) 13(  30) 43(  28) 99(  25) 79(  20) B1(  17) 86(  15) 97(  15) 
   9    0/  1   39( 540) 08(  95) E4(  87) E2(  79) E5(  59) 0A(  44) CC(  35) 02(  32) C7(  31) 6C(  30) 
  10    0/  1   D4( 372) 9E(  68) A0(  64) 9F(  55) DB(  51) 38(  40) 9D(  40) 52(  39) A1(  38) 54(  36) 
  11    0/  1   27( 334) BC(  58) F1(  44) BE(  42) 79(  39) 3B(  37) E1(  34) E2(  34) 31(  33) BF(  33) 
 
            KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ] 

Mit diesem Schlüssel kann man sich jetzt mit dem Netzwerk verbinden.

Als nächstes wollen wir uns das Cracken mittels einer Wörterbuchdatei ansehen. Diese Wörterbücher können jeweils in ASCII oder Hexadezimal vorliegen, nicht aber beides in einem File.

WEP Schlüssel können entweder in ASCII oder in hexadezimaler Form angegeben werden. Diese Tabelle zeigt die jeweilige Schlüssellänge:

| WEP Schlüssellänge in Bits | Hexadezimale Zeichen | ASCII-Zeichen | | 64 | 10 | 5 | | 128 | 26 | 13 | | 152 | 32 | 16 | | 256 | 58 | 29 |

Beispiel: 64 bit ASCII KEY: "ABCDE"

Beispiel: 64 bit hexadazimaler KEY: "12:34:56:78:90" (Beachte das ":" zwischen jeden zwei Zeichen.)

Beispiel: 128 bit ASCII KEY: "ABCDEABCDEABC"

Beispiel: 128 bit hexadezimaler KEY: "12:34:56:78:90:12:34:56:78:90:12:34:56"


Befehl zum Knacken eines 64 BIT WEP-Schlüssels:

aircrack-ng -w h:hex.txt,ascii.txt -a 1 -n 64 -e teddy wep10-01.cap

Aufschlüsselung:

 * -w h:hex.txt,ascii.txt sind die Wörterbuchdateien. Für hexadezimale Dateien muss man ein "h:" vor den Dateinamen schreiben
 * -a 1: der Schlüssel ist ein WEP Schlüssel
 * -n 64: Der Schlüssel ist 64 Bit lang. Verändere diesen Wert, wenn du z.B. eine 128-Bit Wörterbuchdatei hast.
 * -e teddy: Die ESSID des Accesspoints. Mit "-b" kann man zusätzlich die MAC-Adresse angeben.
 * wep10-01.cap: Die Daten, bzw. die IV´s die wir mit Airodump gesammelt haben.


Dies wird am Bildschirm angezeigt:

                                               Aircrack-ng 0.7 r247
  
  
                               [00:00:00] Tested 2 keys (got 13 IVs)
  
  KB    depth   byte(vote)
   0    0/  0   00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 
   1    0/  0   00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 
   2    0/  0   00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 
   3    0/  0   00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 
   4    0/  0   00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 00(   0) 
  
                        KEY FOUND! [ 12:34:56:78:90 ] 
       Probability: 100%

Jetzt wollen wir uns die PTW-Attacke ansehen. Diese Funktioniert bei 64- und 128 Bit Schlüsseln.

Folgendes wird in die Kommandozeile eingegeben:

  aircrack-ng -z ptw*.cap  

Aufschlüsselung:

 * -z: Der Parameter besagt, dass die PTW-Attacke angewendet werden soll.
 * ptw*.cap: Das Capture-File (von Airodump).

Das System antwortet:

  Opening ptw-01.cap
  Read 171721 packets.
     
  #  BSSID              ESSID                     Encryption
  
  1  00:14:6C:7E:40:80  teddy                     WEP (30680 IVs)
  
  Choosing first network as target.

Dann:

                                               Aircrack-ng 0.9
  
                               [00:01:18] Tested 0/140000 keys (got 30680 IVs)
  
  KB    depth   byte(vote)
   0    0/  1   12( 170) 35( 152) AA( 146) 17( 145) 86( 143) F0( 143) AE( 142) C5( 142) D4( 142) 50( 140) 
   1    0/  1   34( 163) BB( 160) CF( 147) 59( 146) 39( 143) 47( 142) 42( 139) 3D( 137) 7F( 137) 18( 136) 
   2    0/  1   56( 162) E9( 147) 1E( 146) 32( 146) 6E( 145) 79( 143) E7( 142) EB( 142) 75( 141) 31( 140) 
   3    0/  1   78( 158) 13( 156) 01( 152) 5F( 151) 28( 149) 59( 145) FC( 145) 7E( 143) 76( 142) 92( 142) 
   4    0/  1   90( 183) 8B( 156) D7( 148) E0( 146) 18( 145) 33( 145) 96( 144) 2B( 143) 88( 143) 41( 141) 
  
                        KEY FOUND! [ 12:34:56:78:90 ] 
       Decrypted correctly: 100%

WPA

Nun zum entschlüsseln von WPA/WPA2 Schlüsseln. Airckrack-ng kann mit beiden Typen umgehen.

aircrack-ng -w password.lst *.cap\\ Where:

  *-w password.lst is the name of the password file.  Remember to specify the full path if the file is not located in the same directory.
  **.cap is name of group of files containing the captured packets.  Notice in this case that we used the wildcard * to include multiple files.

Ausgabe des Programms:

  Opening wpa2.eapol.cap
  Opening wpa.cap
  Read 18 packets.
 
  #  BSSID              ESSID                     Encryption
 
  1  00:14:6C:7E:40:80  Harkonen                  WPA (1 handshake)
  2  00:0D:93:EB:B0:8C  test                      WPA (1 handshake)
 
  Index number of target network ? 

Beachte: Hier gibt es mehrere Netzwerke. Wir wählen das Zweite. Ausgabe des Programms:

                                Aircrack-ng 0.7 r130
 
 
                  [00:00:03] 230 keys tested (73.41 k/s)
 
 
                          KEY FOUND! [ biscotte ]
 
 
     Master Key     : CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6 
                      39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE 
 
     Transcient Key : 33 55 0B FC 4F 24 84 F4 9A 38 B3 D0 89 83 D2 49 
                      73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08 
                      AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97 
                      D9 6F 76 5B 8C D3 DF 13 2F BC DA 6A 6E D9 62 CD 
 
     EAPOL HMAC     : 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD 

Jetzt haben wir den Schlüssel und können uns zum Netzwerk verbinden.

Tipps

Generelle Informationen zum Knacken von WEP-Schlüsseln

Klar, die einfachste Methode, ein WEP-gesichertes Netzwerk zu knacken, ist natürlich "aircrack-ng file-02.cap". Es gibt aber einige Parameter, mit denem man die Warscheinlichkeit, dass Aircrack den Schlüssel richtig berechnet, erhöhen kann.

If you are capturing arp request/reply packets, then the fastest approach is to use "aircrack-ng -z ". You can then skip the balance of this section since it will find the key very quickly assuming you have collected sufficient arp request/reply packets!

Die vorherrschende Methode ist, so viele Initialisierungsvektoren (IV´s) zu sammeln, bis Aircrack den Schlüssel berechnen kann. Normalerweise benötigt man für ein 64 Bit WEP ca. 250.000 IV´s, für ein mit 128 Bit verschlüsseltes ca. 1.5 Millionen. Für noch besser gesicherte Netzwerke benötigt man auch mehr IV´s. Then there is luck. Mit viel Glück können Schlüssel schon mit 50.000 Initialisierungsvektoren errechnet werden. Dies funktioniert aber sehr selten. Im Gegensatz dazu kann man auch manchmal mehrere Millionen IV´s benötigen! Eine exakte Zahl der benötigten Initialisierungsvektoren anzugeben ist unmöglich, da dies von AP zu AP verschieden ist.

Normalerweise startet man den Crack-Vorgang sowieso nicht unter 200.000 gesammelten IV´s. Wenn man Aircrack zu früh startet, wird es zu viel Zeit damit benötigen, den Key mittels der Bruteforce-Methode zu erraten, als mit dem eigentlichen Berechnen durch die IV´s. Wir beginnen mit einem 64-Bit Key: "aircrack-ng -n 64 captured-data.cap".

Ein so gesichertes Netz kann meist innerhalb von 5 Minuten oder noch weniger mit relativ wenigen IVs entschlüsselt werden. Es ist immer wieder überraschend, wie viele Netzwerke nur 64 Bit WEP benutzen! Sollte der Schlüssel innerhalb von 5 Minuten zurückgerechnet worden sein, benutze Aircrack im normalen Modus: "aircrack-ng captured-data.cap".

Bei allen 100.000 gesnifften IVs probiere zusätzlich noch einmal "aircrack-ng -n 64 captured-data.cap" für 5 Minuten aus.

Wenn du es einmal geschafft hast, mit 600.000 IVs ein 64 Bit WEP zu entschlüsseln, probiere es an einem 128-Bit-Netzwerk.

Solltest du nun etwa 2 Millionen IVs gesammelt haben, füge den Parameter -f 4 (Fudge Factor) hinzu.

Immer wenn du IVs sammest, denke an die goldene Regel: "Je mehr IVs, desto besser!" ;)

Lass uns noch eine Funktion ansehen, mit denen man den Crackvorgang beeinflussen kann: Zum Beispiel: Wenn du einen, nur aus Zahlen bestehenden Key hast, können schon weniger als 50.000 IVs mit dem Parameter "-t" reichen. Ohne diesen Parameter würdest du etwa 200,000 IVs benötigen. Es lohnt sich also, diese verschiedenen Parameter auszuprobieren; dies kann den Vorgang erheblich beschleunigen.

Wie entscheide ich, welche Optionen ich benutzen soll?

Während Aircrack den Key berechnet, zeigt es den Anfang des Schlüssels. Wenn die "Key-Bytes" eine hohe Wahrscheinlichkeit haben, ist dieses Zeichen meist korrekt. Wollen wir mal sehen was man damit alles anstellen kann.

If the bytes (likely secret keys) are for example: 75:47:99:22:50 then it is quite obvious, that the whole key may consist only of numbers, like the first 5 bytes. So it MAY improve your cracking speed to use the -t option only when trying such keys. See [Binary Coded Decimal] for a description of what characters -t looks for.

Wenn die Bytes; zum Beispiel so aussehen: 37:30:31:33:36 ist es hilfreich die Option "-h" zu verwenden. Der FAQ-Eintrag Converting hex characters to ascii enthält Links dazu.

And if the first few bytes are something like 74:6F:70:73:65, and upon entering them into your hexeditor or the links provided in the previous sentence, you see that they may form the beginning of some word, then it seems likely an ASCII key is used, thus you activate -c option to check only printable ASCII keys.

If you know the start of the WEP key in hexadecimal, you can enter with the "-d" parameter. Lets assume you know the WEP key is "0123456789" in hexadecimal then you could use "-d 01" or "-d 0123", etc.

Another option to try when having problems determining the WEP key, is the "-x2" option which causes the last two keybytes to be brute forced instead of the default of one.

Wie kann ich einen hexadezimalen Schlüssel in ASCII umwandeln?

Siehe nächster Eintrag

Was mache ich jetzt mit dem Schlüssel?

Wenn Aircrack den Schlüssel erfolgreich berechnet hat, gibt es ihn in hexadezimalen Format aus. Dies sieht dann so aus:

  KEY FOUND! [11:22:33:44:55]


Diesen Schlüssel kann man gleich eingeben, allerdings ohne die Doppelpunkte. Es ist meist nicht möglich, den Key in ASCII umzuwandeln, es sei denn, dass der Key augenscheinlich aus möglichen Buchstaben besteht. Dann wird ihn Aircrack auch in ASCII umwandeln und anzeigen.

Wenn du wissen willst, wie man Hexadezimale Zeichen in Ascii umwandelt, ist folgender Link hilfreich:[entry].

Wir geben generell keinen Support, wie man sich mit einem WLAN-Netzwerk verbindet. Man kann dies aber leicht im WWW lesen.

Zudem zeigt Aircrack die Wahrscheinlichkeit, dass der Schlüssel korrekt ist. Meist liegt diese Wahrscheinlichkeit bei 100 %.

Achtung: Hier noch einmal der Hinweis, dass das Knacken von WLANs ohne des Einverständnis des Besitzers illegal und somit strafbar ist!

Wie kann man einen hexadazimalen Schlüssel in eine Passphrase konvertieren?

Viele Leute fragen, ob man einen hexadezimalen Schlüssel wieder zurück zur "Passphrase" zurück konvertieren kann. Die Antwort ist: Nein.

Damit wir verstehen, wieso das nicht funktioniert, müssen wir uns ansehen, wie Aircrack diese Passphrase erstellt.

Einige Hersteller haben einen Hexadezimal-Key Generator. Für dieses gibt es keine Standarts. Sie benutzen oft Passphrasen mit Sonderzeichen, Leerzeichen und ähnlichen. Wie auch immer, normalerweise werden die Passphrasen bis zu 16 Bits mit Nullen aufgefüllt, und der Rest ist die MD5 Checksumme des WEP-Schlüssels. Wie gesagt: Jeder Hersteller benutzt hier seine eigene Methode.

Es gibt also keine Möglichkeit, diese Passphrase anzeigen zu lassen.

Wenn du die originale Passphrase ausprobieren willst, Latin SuD hat ein Tool geschrieben mit dem man den Vorgang rückgängig machen kann. Hier [[2]] klicken für das Programm.

Ein Passphrase hat keinen Einfluss auf das Knacken eines WLANs. Der Vorgang dauert genau so lange.

Merke: Ein WEP-Schlüssel als hexadezimal oder Passphrase ist meist normaler Text. Die meisten Betriebssysteme unterstützen normale ASCII und HEX Codes. Passphrasen können beliebig lang sein. ASCII sind meist bei 5 oder 13 Zeichen begrenzt.(40 Bit und 104 Bit).

Der Windows WZC-Dienst (Windows Zero Configuration Tool) unterstützt nur WEP Keys mit einer Länge von 5 oder 13 Zeichen!

Test-Dateien zum Ausprobieren

Im "test"-Ordner von Aircrack-ng gibt es ein paar Dateien, mit denen man das Knacken ausprobieren kann::

 * wpa.cap:  Eine Datei mit einem WPA-Handshake. Der Schlüssel ist "biscotte". Benutze das Wörterbuch (password.lst) im selben Verzeichnis.
 * wpa2.eapol.cap: Eine Datei mit einem WPA-Handshake. Der Schlüssel ist "12345678". Benutze das Wörterbuch im selben Verzeichnis.
 * [[3]]: Eine 128 Bit WEP .cap-Datei. Der Schlüssel ist: "AE:5B:7F:3A:03:D0:AF:9B:F6:8D:A5:E2:C7".
 * [[4]]: Eine 64 Bit Datei, die mit der PTW-Attacke verwendet werden kann. Der Schlüssel ist: "1F:1F:1F:1F:1F".

Wörterbuchdateien

Wörterbücher für die WPA/WPA2 Bruteforce-Attacke müssen einen Schlüssel pro Zeile enthalten.

Das Ende von Dateien unter Windows und Linux ist verschieden. Für Details: [entry] Es gibt Konverter für Linux und Windows. Diese können unter beiden Betriebssystemen beide Formate verarbeiten. Es ist aber dem Leser überlassen, nach solch einem Editor zu googlen ;-)

Wie auch immer, beide Versionen von Aircrack; unter Windows und Linux sollten mit beiden Formaten umgehen können.

Hexadezimale Wörterbuchdatei

Dies ist kein Teil der Aircrack-ng, der Entwickler SuD stellt aber ein hexadezimales Wordlist-File zum Download bereit

  http://tv.latinsud.com/wepdict/

Weitere Tipps

Wenn du mehrere .cap-Dateien verwenden willst, benutze folgende Eingaben.

Beispiele:

 *aircrack-ng -w password.lst wpa.cap wpa2.eapol.cap
 *aircrack-ng *.ivs
 *aircrack-ng test*.ivs

Zur Angabe von mehreren Wörterbuchdateien, benutze folgende Eingaben.

Beispiele:

 * aircrack-ng -w password.lst,secondlist.txt wpa2.eapol.cap
 * aircrack-ng -w firstlist.txt,secondlist.txt,thirdlist.txt wpa2.eapol.cap

Aircrack-ng beinhaltet selst eine kleine Wörterbuchdatei namens password.lst. Diese Datei befindet sich im "test" -Ordner. Unter diesem Link [entry]findet man gute Wörterbücher. Auch interessant ost [[5]].

Ein Eintrag im Wörterbuch muss genau mit dem Schlüssel übereinstimmen, sonst findet Aircrack den Schlüssel nicht. Daher ist die Qualität des Wörterbuchs entscheidend für den Erfolg der Attacke.

Die Seite tutorials page beinhaltet das Folgende Tutorial How to crack WPA/WPA2? wo diese Schritte noch einmal im Detail behandelt werden.

Wie vorher schon angesprochen, zeigt Aircrack alle Netze an, von denen Daten mitgeschnitten wurden. Diese können per Druck auf die jeweilige Taste, oder durch die Optionen "-b" und "-e" ausgewählt werden.

Eine Möglichkeit, um WEP Passwörter zu erstellen, ist das Programm John The Ripper. Man gibt folgendes in die Konsole ein:

  john --stdout --wordlist=specialrules.lst --rules | aircrack-ng -e test -a 2 -w - /root/capture/wpa.cap

Achtung: Nur Passwörter von 8-64 Stellen sind möglich. Mit diesem Befehl kann man das einfach angegeben:

  awk '{ if ((length($0) > 7) && (length($0) < 64)){ print $0 }}' inputfile

oder

  grep -E '^.{8,63}$' < inputfile
Es funktioniert nicht! Was tun?

Fehlermeldung: "Please specify a dictionary (Parameter -w)"

Dieser Fehler besagt, dass das Wörterbuch nicht gefunden wurde, bzw. der Pfad zur Datei nicht stimmt.

Fehlermeldung: "fopen(dictionary)failed: No such file or directory"

Dies ist der gleiche Fehler wie der vorhergehende. Die Problemlösung ist die gleiche.

Negative Votes

Es gibt Fälle, wo WEP-Keybytes "negative Votes" haben. Dies ist eine Sicherheitsmaßnahme von Aircrack, die sichert, dass kein falscher Schlüssel berechnet wird. Die Idee dahinter ist, dass die Wahrscheinlichkeit des berechneten Schlüssels möglichst hoch ist. Wenn du eine Menge negativer Votes bekommst, stimmt irgendetwas nicht. Meist ist die Lösung, dass du versuchst, einen WPA-Schlüssel zu knacken oder dass sich der Schlüssel während des Sammeln der IVs geändert hat. Erinnere dich, dass ein WPA/WPA2- geschütztes Netzwerk nur durch Wörterbuch- oder Bruteforceattacken geknackt werden kann! Sollte sich der Schlüssel während des IV-Sammelns geändert haben, kannst du das .cap - File nicht mehr verwendet werden! Du musst ein neues File sniffen.

"An ESSID is required. Try option -e" Meldung

Du hast erfolgreich einen Handshake mitgesnifft und bekommst folgende Meldung?

  Opening wpa.cap
  Read 4 packets.
  
           #     BSSID                      ESSID                   ENCRYPTION
           1     00:13:10:F1:15:86                                WPA (1) handshake
  Choosing first network as target.
  
  An ESSID is required. Try option -e.

Lösung: Du musst mit dem Parameter "-e" die ESSID (Netzwerkname) des Netzes angeben. Sonst kann das Programm den Schlüssel nicht berechnen. Der Befehl lautet also -e "<SSID>" anstatt -e "" . So sollte Aircrack den Schlüssel finden.

Die PTW-Attacke funktioniert nicht

Die PTW-Attacke funktioniert nur bei Datenpaketen, die mittels "ARP-Request" gewonnen wurden. Wenn also deine Datei Datenpakete, die mittels einer Anderen Attacke gewonnen wurden, enthält, wird PTW nicht funktionieren. Mit der relativ neuen PTW-Attacke kann ein 64 Bit WEP Netzwerk mit weniger als 20,000 IVs und ein 128 Bit WEP mit 40,000 IVs geknackt werden. PTW benötigt das ganze Datenpaket, also nicht nur die IVs. Du kannst also den "-ivs" Parameter in Airodump nicht anwenden. Mit PTW können nur 64- und 128 Bit Netze geknackt werden.

Fehlermeldung "fixed channel"

Dieser Fehler steht in der ersten Zeile von Airodump. Er ist hier fett markiert.

  CH  9 ][ Elapsed: 28 s ][ 2007-09-03 13:23 ][ fixed channel wlan0: 8                                         
                                                                                                                
   BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                                
   00:14:6C:7E:40:80   64  73      208        0    0   9  11  WEP  WEP         teddy                            
                                                                                                                
   BSSID              STATION            PWR   Rate  Lost  Packets  Probes 

Dieser Fehler tritt auf, wenn du Airodump auf einen bestimmten Kanal eingestellt hast (also kein ChannelHopping) und eine andere Anwendung diesen Kanal ändert.

Dieser Befehl sieht so aus:

  airodump-ng --channel 9 wlan0 or airodump-ng -c 9 wlan0

Um dieses Problem zu lösen, musst du das Programm, dass den Kanal ändert, ausfindig machen und es beenden.

Wenn dieses Problem einmal aufgetreten ist, musst du deine WLAN-Karte mittels folgender Befehle wieder initialisieren:

airmon stop wlan0 airmon start wlan0

Dabei ist wlan0 deine WLAN-Karte.

Danach musst du Airodump neu starten. Jetzt sollte alles wie gewohnt laufen.

Fehlermeldung: "read(file header) failed: Success"

Wenn du diese Fehlermeldung bekommst, hast du eine .cap- Datei angegeben die keine Daten (also 0 Byte) enthälz.

Dies erfolgt meist bei dieser Befehlssyntax:

  aircrack-ng -z -b XX:XX:XX:XX:XX:XX *.cap

Du musst einfach nur die betreffende Datei löschen. Danach funktioniert alles wie immer.