Guia para novatos de Aircrack-ng en Linux

Idea y trabajo inicial: ASPj Aadidos por: mucha buena gente ltima actualizacin: Mayo 14, 2007 Traduccin: Por Spanish actualizada a 16/07/2007 Este tutorial le dar los conocimientos bsicos para empezar a usar la suite aircrack-ng. Es imposible cubrir todos los escenarios, por lo tanto tendr que poner algo de su parte e investigar por su cuenta. El Foro y elWiki tienen muchos otros tutoriales e informacin. Aunque no cubre todos los pasos desde el inicio hasta el final, el manual Simple WEP Crack explica de forma detallada el uso de la suite aircrack-ng. En los ejemplos, la opcin doble guin bssid se muestra como - -bssid. Acurdate de borrar el espacio entre los dos guiones cuando lo uses en la vida real. Esto tambien se aplica a - -ivs, - -arpreplay, - -deauth y - -fakeauth.

Configurando el Hardware, Instalando Aircrackng

El primer paso para conseguir que aircrack-ng funcione correctamente en su distribucin Linux es instalar y parchear el driver adecuado para su tarjeta wireless. Algunas tarjetas pueden funcionar con varios drivers, de los cuales algunos tienen las caractersticas necesarias para usar aircrack-ng, y los otros no. Sobra decir, que usted necesita una tarjeta wireless compatible con la suite aircrack-ng. Si es completamente compatible podr inyectar paquetes y crackear un punto de acceso wireless en menos de una hora. Para averiguar si su tarjeta es compatible, mire la pgina de hardware compatible. Lea este manual en castellano Es mi tarjeta wireless compatible? si no sabe que tipo de tarjeta tiene o si no sabe que tarjeta comprar. Primero, necesita saber que chipset tiene su tarjeta wireless y que driver necesita. Podr averiguarlo usando la informacin proporcionada en el prrafo anterior. En la seccin de drivers encontrar que driver necesita para su especfico chipset. Descrguelo y tambien busque el parche correspondiente en http://patches.aircrack-ng.org. (Estos parches son necesarios para la inyeccin de paquetes.) Como yo soy propietario de una tarjeta USB con chipset Ralink, veremos los pasos para conseguir que funcione con Aircrack-ng. Para poder compilar e instalar los drivers, necesitas los kernel-sources de la distribucin que tengas instalada. Si posee otro tipo de tarjeta, revise la pgina de instalacin de drivers para ver las instrucciones adecuadas.

Guia de instalacin RaLink USB rt2570

Si tiene una tarjeta con chipset rt2570 (como por ejemplo D-Link DWL-G122 rev. B1 o Linksys WUSB54G v4) debe de utilizar los drivers dehttp://homepages.tudarmstadt.de/~p_larbig/wlan/ Estos son drivers especiales que han sido modificados, que soportan inyeccin y que Y por supuesto que estos drivers tambien funcionan en modo normal. Vamos a descomprimir, compilar e instalar los drivers:
tar xfj rt2570-k2wrlz-1.3.0.tar.bz2 cd rt2570-k2wrlz-1.3.0/Module make

make install

El ltimo paso ha de hacerse como root. Use su o cambie al usuario root. Despues podremos cargar el mdulo en el kernel:
modprobe rt2570

Conecte su tarjeta, debera ser reconocida como rausb0. Ejecute iwconfig para ver la lista de sus tarjetas wireless y comprobar si todo ha ido bien.

Instalacin de Aircrack-ng
Source
Descargue la ltima versin de aircrack-ng desde: http://www.aircrack-ng.org Los siguientes comandos puede que sea necesario cambiarlos si usa una versin ms reciente del programa. Descomprimir, compilar e instalar:
tar xfz aircrack-ng-0.7.tar.gz cd aircrack-ng-0.7 make make install

Como es normal, el ltimo paso necesita hacerse como root, use su o conectese como root (use sudo make para Ubuntu).

YUM

Si est usando un sistema como Redhat Linux o Fedora Core puede instalar aircrack-ng con yum. Primero tiene que aadir el repositorioDag Wieers o Dries.
su yum -y install aircrack-ng

RPM
Si est usando un sistema basado en rpm hay una forma muy sencilla de instalar aircrack-ng. (Por ejemplo en Redhat Linux 4)
su rpm -ihv http://dag.wieers.com/rpm/packages/aircrack-ng/aircrack-ng-0.71.el4.rf.i386.rpm

IMPORTANTE: Revise http://dag.wieers.com/rpm/packages/aircrack-ng/ para conseguir la ltima versin de la suite aircrack-ng y adapte el comando arriba indicado.

Conocimientos bsicos IEEE 802.11

Ok, ahora que tenemos todo preparado, podemos hacer un pit stop y aprender algo sobre como funcionan las redes wireless.

El prximo captulo es muy importante, si algo no funciona como esperabamos. Conocer el modo de funcionamiento de una red wireless nos ayudar a resolver algn problema o nos permitir al menos, describirlo mucho mejor para que alguien nos ayude. Esta parte es un poco cientfica y quizs usted sienta la necesidad de saltarsela. Pero, estos conocimientos son necesarios para crackear redes wireless.

Como se encuentra una red wireless

Esta es una pequea introduccin sobre el manejo de redes que funcionan a travs de un punto de acceso (AP). Cada AP envia alrededor de 10 paquetes llamados beacon frames cada segundo. Estos beacon frames contienen la siguiente informacin: Nombre de la red (ESSID) Si usa encriptacin (y de que tipo; presta atencin, que a veces puede no ser legible) Que velocidades soporta el AP En que canal se encuentra la red Esta informacin aparecer en la utilidad que use para conectarse a la red. Se muestra cuando ordena a su tarjeta que escanee o busque (scan) las redes que estn a nuestro alcance con iwlist <interface> scan y tambien cuando ejecutamos airodump-ng. Cada AP tiene una direccin MAC que es nica (48 bit, 6 pares de nmeros hexadecimales). por ejemplo 00:01:23:4A:BC:DE. Y cada cliente tiene otra direccin MAC, de tal forma que se comunicacn entre si usando esas direcciones MAC. Las direcciones MAC son nicas, en teoria no hay dos aparatos en el mundo que tengan la misma MAC.

Conectando con una red

Si quiere conectarse a una red wireless, tiene varias posibilidades. En la mayora de los casos se usa un sistema de autenticacin abierta (Open Authentication). (Opcional: Si quieres aprender ms acerca de la autenticacin lee este documento en ingls out.) Autenticacin abierta (Open Authentication): 1. El cliente le pregunta al AP acerca de la autenticacin. 2. El AP contesta: OK, ests autenticado. 3. El cliente pregunta al AP sobre la asociacin 4. El AP contesta: OK, ests conectado. Este es un resumen muy simple y fcil de entender, pero puede encontrar algn problema cuando intenta la conexin: WPA/WPA2 est en uso, y necesitas autenticacin EAPOL. El AP te denegar la conexin en el segundo pao. El punto de acceso tiene configurada una lista de clientes permitidos (se denomina filtrado MAC), y no permite conectarse a nadie mas. El punto de acceso usa autenticacin compartida (Shared Key Authentication). Necesitar suplantar la clave WEP correcta para conseguir la conexin. (Mire el tutorial en castellano Como hacer una

autenticacin falsa con clave compartida para aprender tcnicas avanzadas.)

Simple sniffing y cracking Descubriendo redes

Lo primero que debemos hacer es buscar las redes que tenemos a nuestro alrededor y decidir cual queremos atacar. La suite aircrack-ng incluye airodumpng para esto - pero otros programas como Kismet tambien se pueden usar. Antes de empezar a usar estos programas, es necesario poner la tarjeta wireless en lo que se llama modo monitor. El modo monitor es un modo especial que permite que su PC escuche y capture cada paquete wireless. Este modo monitor tambien permite inyectar paquetes a una red. La inyeccin ser explicada ms adelante en este tutorial. Para poner su tarjeta wireless en modo monitor:
iwconfig rausb0 mode monitor

o
airmon-ng start rausb0

Para confirmar que est en modo monitor, ejecuta iwlist o iwconfig y mire en que modo se encuentra. La pgina sobre airmon-ng del Wiki tiene informacin genrica y como ejecutarlo para otras tarjetas. Despues, inicie airodump-ng para buscar redes:
airodump-ng rausb0

rausb0 es el nombre de la tarjeta wireless o interface. Si est usando una tarjeta con otro chipset que no sea el rt2570 tendr que usar un nombre de interface diferente. Echele un vistazo a la documentacin de su driver. Al ejecutar airodump-ng ver una pantalla como esta:

airodump-ng va saltando de canal en canal y muestra todos los puntos de acceso de los que recibe beacons. Los canales 1-14 se usan para 802.11b y g (en EE.UU,

solo est permitido usar 1-11; en Europa 1-13; y en Japn 1-14). Los canales del 36 al 149 son usados para 802.11a. El canal actual se muestra en la parte superior izquierda de la pantalla de airodump. Despues de muy poco tiempo algunos APs y (si tenemos suerte) algunos clientes asociados aparecern en airodump. El bloque de datos superior muestra los puntos de acceso encontrados: BSSID PWR Beacons Data CH MB ENC ESSID La direccin MAC del AP Fuerza de la seal. Algunos drivers no la muestran y aparece -1 Nmero de beacon frames recibidos. Si no conoce la fuerza de la seal, puede estimarla a travs del nmero de beacons: cuantos ms beacons capturemos, ms fuerte ser la seal Nmero de frames de datos recibidos Canal en el que el AP est funcionando Velocidad o modo del AP. 11 es para 802.11b, 54 para 802.11g. Valores entre estos dos son una mezcla de ambos Encriptacin: OPN: no hay encriptacin, WEP: encriptacin WEP, WPA: encriptacin WPA o WPA2, WEP?: WEP o WPA (no se sabe todava) El nombre de la red. Algunas veces est oculto

El bloque de datos inferior muestra los clientes encontrados: BSSID PWR Packets Probes La MAC del AP al que este cliente est asociado Nivel de seal. Algunos drivers no lo muestran Nmero de frames de datos recibidos Nombre de las redes (ESSIDs) a las que este cliente probo o intent conectarse

STATION La MAC de ese cliente

Para continuar, debera buscar una red con un cliente conectado, porque crackear redes sin clientes es una tcnica ms avanzada (Mire este post traducido al castellano Como crackear WEP sin clientes). Adems debera de usar encriptacin WEP y recibir una seal fuerte. Quizs pueda orientar su antena para mejorar la seal. Con frecuencia unos pocos centmetros provocan una diferencia sustancial en el nivel de seal. En nuestro ejemplo la red 00:01:02:03:04:05 es la nica qque tiene un cliente asociado. Y adems tiene un buen nivel de seal, por lo que es un buen candidato para practicar.

Sniffing IVs
Cuando queremos centrarnos en una red en concreto no necesitamos que airodump vaya saltando de canal en canal. Por lo que vamos a poner la tarjeta a escuchar en ese nico canal y guardar todos los datos en nuestro disco duro para usarlos mas adelante para obtener la clave wep:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w dump rausb0

Con el parmetro -c indicamos el nmero del canal y con el parmetro -w el nombre del archivo en el que se guardarn los datos (dump). Con el parmetro bssid indicamos la direccin MAC del AP y limitamos la captura a ese AP. El parmetro bssid es opcional y solo est disponible en las ltimas versiones de airodump-ng.

Tambien se puede aadir el parmetro ivs. Con esto airodump-ng solo capturar los IVs con lo cual el arechivo ser ms pequeo y ocupar menos espacio de disco. Para ser capaz de obtener la clave WEP necesitar entre 250.000 y 500.000 diferentes vectores de inicializacin (IVs). Cada paquete de datos contiene un IV. Los IVs pueden repetirse, por lo que el nmero de diferentes IVs es normalmente un poco menor que el nmero de paquetes de datos capturados. Por lo tanto hay que esperar y capturar de 250.000 a 500.000 paquetes de datos (IVs). Si la red tiene poco trfico nos llevar bastante tiempo. Se puede aumentar el trfico de la red usando un ataque de inyeccin (reenvio de paquetes). Mire el captulo siguiente.

Cracking
Si ha conseguido suficientes IVs en uno o mas archivos, puede probar a crackear la clave WEP:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap

La MAC despues de la opcin -b es el BSSID del AP objetivo y dump-01.cap es el nombre del archivo que contiene los paquetes capturados. Puede usar mltiples archivos, para ello uncluya el nombre completo de todos ellos o puede usar el * como comodin, por ejemplo: dump*.cap. Para ms informacin sobre las opciones de aircrack-ng, descripcin de los mensajes y su uso mire este manual. El nmero de IVs necesarios para crackear una clave no es un nmero fijo. Esto se debe a que algunos IVs son ms dbiles (weak) y nos dan ms informacin sobre la clave que otros. Por lo tanto, si tiene suerte podr obtener una clave con solo 100.000 IVs. Pero esto no es muy frecuente y si lo dejas aircrack-ng se estar ejecutando durante mucho tiempo (una semana o incluso ms si le ponemos un fudge factor mayor con la opcin -f) y despues de todo nos dir que no ha podido encontrar la clave. Si tuviese ms IVs obtendriamos la clave ms rpido, como mucho en un par de minutos. Por experiencia de 250.000 a 500.000 IVs son suficientes para crackear la clave wep. Hay algunos APs que usan un algoritmo para no generar IVs dbiles. El resultado es que no podremos conseguir ms que un nmero limitado de IVs diferentes del AP o que necesitaremos millones (por ejemplo 5 o 7 millones) para crackear la clave. Busca en el Foro, que hay algunos posts sobre casos como este y sobre que hacer.

Ataques activos Soporte de inyeccin

Muchas tarjetas no soportan la inyeccin. Echele un vistazo a la pgina de tarjetas compatibles, y fjese en la columna de aireplay. Esta lista, a veces, puede no estar actualizada, por lo tanto si ve un NO para el driver de su tarjeta wireless, no de todo por perdido aun; puede buscar en la pgina web del driver, en las denominadas mailing list o en nuestro Foro. Si usted fuese capaz de reinyectar usando un driver que no aparece como soportado en nuestra lista, no dude en actualizar la tabla de la pgina de tarjetas compatibles y aadir un link a un tutorial de como hacerlo. El primer paso es comprobar que realmente la inyeccin funciona con su tarjeta y driver. La forma ms fcil de comprobarlo es probar el test de inyeccin. Asegrate de realizar este test antes de continuar. Su tarjeta debe ser capaz de inyectar para poder realizar los siguientes pasos de forma correcta.

Necesita conocer el BSSID (direccin MAC del AP) y el ESSID (nombre de la red) de un AP que no tenga activado el filtrado MAC (por ejemplo el suyo) y debe estar en la zona de cobertura del AP. La primera cosa que ha de hacer es apuntar la MAC de su red WLAN. Normalmente hay una etiqueta con la MAC en el propio AP. Pero tambien puede averiguarla con el comando ifconfig (los 6 bytes hexadecimales que aparecen despus de HWaddr, separados por : o -). Cuando tenga todos los datos puede probar a conectarse a su AP usando aireplayng:
aireplay-ng --fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 -h 00:11:22:33:44:55 rausb0

El valor despues de la opcin -a es el BSSID de su AP, el valor despues de -h es la MAC de su WLAN. Si la inyeccin funciona debera ver algo como esto:
12:14:06 12:14:06 12:14:06 12:14:07 Sending Authentication Request Authentication successful Sending Association Request Association successful :-)

Si no 1. revise el ESSID, BSSID y su direccin MAC 2. asegurese de que el AP no tiene activado el filtrado MAC 3. pruebe contra otro AP 4. asegurese de que su driver est bien parcheado y soportado 5. en lugar de 0, pruebe 6000 -o 1 -q 10

Reenvio de ARP
Ahora que sabemos que funciona la inyeccin de paquetes, podemos aumentar la velocidad de captura de IVs: ARP-request reinjection

La idea

ARP funciona (explicado de una forma muy simple) emitiendo un paquete dirigido a todos los clientes (broadcasting) preguntando acerca de quien tiene una IP determinada y el cliente que la tiene contestar enviando una respuesta al AP. Como la encriptacin WEP no tiene proteccin contra la repeticin de paquetes, se puede capturar un paquete y reenviarlo una y otra vez de forma continuada. Por lo tanto usted solo tiene que capturar y reenviar un ARP-request enviado al AP para crear mucho trfico (y capturar los IVs).

El mtodo para vagos

Primero abr una ventana con airodump-ng capturando trfico. aireplayng y airodump-ng pueden ejecutarse al mismo tiempo. Espere por un cliente del cual se mostrar en la parte inferior su direccin MAC. Entonces inicie el ataque:
aireplay-ng --arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 rausb0

-b sirve para indicar el BSSID, -h la MAC del cliente conectado. Ahora hay que esperar unos minutos a que un paquete ARP sea transmitido. (o mirar el captulo siguiente). Si tiene xito, ver algo como esto:
Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets...

Si en algn momento quiere parar el ataque; puede hacerlo, y la prxima vez que quiera continuar ese ataque no tendr que esperar por ningn paquete ARP, sino que puede reusar el capturado previamente usando la opcin -r <nombre del archivo replay_arp>. Puede usar el mtodo PTW para obtener la clave WEP. Este mtodo reduce considerablemente el nmero de paquetes necesarios. Se deben capturar paquetes *.cap con airodump-ng, lo que significa que no se puede usar la opcin - - ivs. El comando con aircrack-ng sera aircrack -z <nombre de archivo>. Si en algn momento el nmero de paquetes de datos recibidos por airodump-ng para de crecer o lo hace de forma interrumpida, debera reducir la velocidad de envio de los paquetes. Puede hacer esto con la opcin -x <paquetes por segundo>. Yo normalmente empiezo con 50 y voy reduciendo el valor hasta que los paquetes se reciben de forma continuada. Mejorar la posicin de la antena tambien suele ayudar.

El mtodo agresivo
La mayora de los sistemas operativos limpian la cache de ARP cuando son desconectados. Si los clientes quieren reconectarse tienen que enviar ARP requests. Por lo tanto la idea es desconectar a un cliente para forzarlo a que se reconecte y as capturar un ARP-request. Otra ventaja es que podremos conocer el ESSID durante la reconexin, por lo que es muy til si el ESSID de su tarjeta est oculto. Deje corriendo airodump-ng y aireplay-ng. Abr otra ventana y ejecute un ataque de deauthentication:
aireplay-ng --deauth 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 rausb0

-a es el BSSID del AP, -c la MAC del cliente. Espere unos segundos y su arp replay debera comenzar a funcionar. La mayora de los clientes se reconectan de forma automtica. Pero el riesgo de que el cliente reconozca este ataque o que por lo menos le llame la atencin es muy alto.

Informacin ms detallada
Tutorial in french for aircrack-ng or in english o en espaol: