Einleitung
Ich habe eine deutsche Zusammenfassung, des Tutorials "How to crack WEP with no wireless clients" geschrieben. Vielleicht ist es für den einen, oder anderen, der nicht so gerne Englisch liest, ganz hilfreich.
Ich gehe hier nicht auf verwendete Hardware und Treiber ein. Das ist ein Thema für sich und wurde schon ausführlich genug beschrieben.
Ich möchte hier nur kurz zusammenfassen, wie man ein WEP verschlüsseltes W-LAN knacken kann, wenn kein Client (mit dem Acces Point) verbunden ist.
Wenn kein Client verbunden ist, kann man fast keine brauchbaren Datenpakete und somit IVS's sniffen. Deswegen müssen wir selbst "Traffic erzeugen".
Das machen wir, indem wir ein ARP Packet einschleusen, und das immer wieder und immer wieder. (Geht automatisch)
Dann sendet der Router nämlich doch IVS's aus, die wir dann schön capturen können.
Dennoch empfehle ich, dass original Tutorial, auf dem meine Ausführungen basieren, zu lesen.
Hier nocheinmal der Link: KLICK
Dort werden einige Probleme abgehandelt, die evtl. auftreten und einiges wird tiefgründiger erklärt.
Ich arbeite mit Backtrack 3, sollte ich vllt. noch erwähnen.
Vorbereitung
Ich empfehle, dieses Verfahren an eurem eigenem W-LAN Zuhause, auszuprobieren.
Dort solltet ihr alle Daten kennen, die benötigt werden.
Das müssen wir wissen:
- Mac Adresse der W-LAN Karte - müsste auf dem Gerät draufstehen, wenn nicht mal mit NetStumbler schauen, oder googelt wie ihr die Mac rausbekommt.
- Mac Adresse des Access Points (Router) - sollte ebenfalls auf dem Gerät stehen. Wenn nicht, dann lasst kurz Airodump anlaufen, da seht ihr sie unter BSSID.
- Netzwerkname - sollte bei eurem eigenem klar sein. Ansonsten mal im Router Panel schauen.
- Access Point Channel (auf welchem Kanal läuft euer W-LAN) - sollte auch bekannt sein, sonst im Router nachschauen.
- Name eurer W-LAN Karte, z.B. "rausb0" - Ihr erfahrt weiter unten, wie ihr den Namen erfahrt.
Schreibt euch am besten alle diese Daten auf, damit ihr sie schnell zur Hand habt.
Ich benutze folgende Angaben, ändert diese einfach um.
- Mac Router: 00:16:38:70:37:55
- Mac WLAN-Stick: 00:21:91:7B:EB:9E
- Netzwerkname: l33tzWLAN
- Channel: 11
- Interface: rausb0
Im weiteren Verlauf, tauchen oft diese Parameter auf:
-a und -b ... damit ist die Mac Adresse des Routers gemeint.
-h ... damit ist die Mac Adresse der W-LAN Karte gemeint.
Gut, fangen wir an. ^^
1. Karte in den Monitor Mode schalten
Hier erfahrt ihr auch, wie ihr die W-LAN Karte ansprechen müsst.
Einfach in der Konsole folgendes eingeben:
dann werden eure Interfaces aufgelistet. Ihr müsst den Namen, der links steht verwenden.
Bsp. "rausb0"
Dann startet den Monitor Mode auf dem Access Point Channel:
Code:
airmon-ng start rausb0 11
Zur Veranschaulichung:
2. Fake Authentifizierung durchführen
Hier brauchen wir jetzt unbedingt den Netzwerknamen und eure Karte muss auch mit aireplay kompatibel sein.
Dieser Schritt ist notwendig, da der Router nur Pakete akzeptiert, wenn ihm die Mac Adresse des Clienten bekannt ist.
Das ist wichtig für nachher, wenn wir das ARP Packet injecten.
Also, authentifizieren wir unsere W-LAN Karte mit dem Router.
Code:
aireplay-ng -1 0 -e l33tzWLAN -a 00:16:38:70:37:55 -h 00:21:91:7B:EB:9E rausb0
Für die Augen:
3. PRGA sniffen
PRGA = pseudo random generated Algorithm
Wie man an dem "Pseudo" schon sieht, ist dieser Algorithmus nicht wirklich zufällig. Den brauchen wir, damit wir ein Paket bauen können, dass wir nachher injecten können.
Dazu gibt es jetzt 2 Wege. Einmal die Fragmention- und einmal die ChopChop Attack.
Ihr könnt euch einen aussuchen, jedoch funktioniert nicht jeder Weg, bei jedem WLAN. (Ist auch vom Router abhängig.)
Ich benutze die ChopChop Attacke.
ChopChop:
Code:
aireplay-ng -4 -h 00:21:91:7B:EB:9E -b 00:16:38:70:37:55 rausb0
Fragmention:
Code:
aireplay-ng -5 -b 00:16:38:70:37:55 -h 00:21:91:7B:EB:9E rausb0
Screen's von der ChopChop Attacke:
Zuerst sammelt er ein Paket und fragt dann ob er dieses verwenden soll.
Wählt "y" für ja. Unter Umständen funktioniert das Paket nicht. Dann einfach nochmal probieren.
Dann heisst es abwarten. Manchmal dauert es einige Minuten.
Am Ende muss es so aussehen (Dateiname ist bei euch nat. anders.):
Die Datei mit der Endung "xor" ist die, die wir brauchen. kopiert euch am besten den Dateinamen.
4. ARP Packet bauen
Nun, da wir unseren PRGA haben, ist es ein leichtes uns ein Paket zu bauen, dass wir injecten können.
-y ist hier der Dateiname, den ihr kopieren solltet.
-k und -l sind die Ziel- und die Quell IP Adresse. Fast alle Router nutzen dafür 255.255.255.255. Also einfach so übernehmen.
-w arp-request ist der Dateiname, in dem das ARP Paket gespeichert wird.
Code:
packetforge-ng -0 -a 00:16:38:70:37:55 -h 00:21:91:7B:EB:9E -k 255.255.255.255 -l 255.255.255.255 -y replay_dec-0928-034811.xor -w arp-request
Ein Bild dazu:
5. Airodump zum sniffen starten
Wir starten jetzt schonmal Airodump. Er wird aber so gut wie keine Datenpakete auffangen. Jedenfalls nicht, solange wir nicht den nächsten Schritt durchgeführt haben.
Achtet vor allem im Bild auf die "Datenrate" (#/s) und darauf, dass kein Client verbunden ist. (Unter Station steht nix.)
lasst dieses Terminal-Fenster geöffnet. In den folgenden Schritten öffnet ihr jeweils ein neues Fenster.
-c ist der Channel
--bssid ist die Mac vom Router
-w capture ist der Dateiname, wohin er die gesnifften Daten speichert.
Code:
airodump-ng -c 11 --bssid 00:16:38:70:37:55 -w capture rausb0
Bild:
6. Das ARP Packet injecten
Nun ist es an der Zeit, unser gebasteltes Paket dem Router zu füttern. ^^
Ihr müsst nur den Dateinamen vom ARP Paket noch wissen.
Code:
aireplay-ng -2 -r arp-request rausb0
Lasst auch dieses Fenster geöffnet, denn er sendet ja dauerhaft, bis ihr abbrecht. Ihr könnt nun im anderen Fenster, wo Airodump läuft schon sehen, dass die Datenübertragung flott vorran geht. Es kommen viele Datenpakete an. Die Rate (#/s) sollte so zwischen 300 und 500 liegen.
7. Aircrack starten
Wir können jetzt schon nebenbei Aircrack starten. (Neues Terminal) Dann geht das cracken schneller. Es müssen im "schlimmsten" Falle 40 000 bis 80 000 IV's gecaptured werden, was aber nur ca. 15 Minuten höchstens dauert.
Code:
aircrack-ng -b 00:16:38:70:37:55 capture*.cap
Das "*" wird als Wildcard verwendet, sprich alle Dateien die mit "capture" anfangen und dann beliebig weitergehen und auf ".cap" enden, werden geöffnet.
Behaltet das Fenster mit Airodump im Auge und dort die Anzahl der Datenpakete. Wenns da so ca. 40 000 sind sollte Aircrack den Schlüssel langsam ausspucken.
letztes Bild:
Schlusswort
Ich empfehle nochmals, geht auf aircrack-ng.org und lest euch die Dokumentationen zu den einzelnen Programmen durch.
Dort erfahrt ihr genaueres über die einzelnen Parameter und so weiter.
Dieses Tut darf frei kopiert werden, solange der Autor (White Window) und vorallem die Quelle, auf der das Tut basiert, genannt wird.
Feedback ist gerne gesehen. Verzeiht mir den ein oder anderen Tipp-Fehler.