Logo Tom's Hardware

Passo 4 - generare traffico da catturare

Dicono che è facile, voi sareste capaci? In questo articolo vi spiegheremo passo per passo come rompere una chiave WEP.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Passo 4 - generare traffico da catturare

Ora che abbiamo un AP obiettivo, protetto da WEP, abbiamo bisogno di catturare abbastanza IV con airdump, così da permettere ad aircrack-ng di fare il suo lavoro. La colonna #Data di airodump-ng dice quanti IV sono stati catturati e la colonna #/s quanti pacchetti vengono catturati al secondo.

Se riguardate la Figura 4, potrete vedere che sono stati catturati 246 IV, ad una velocità così bassa che non viene nemmeno registrata in termini di IV/Sec., nei 9 minuti in cui il programma è stato in esecuzione, prima di catturare l'immagine della schermata. Considerando che avremmo bisogno di almeno 20000 IV per rompere una chiave WEP64, abbiamo assolutamente bisogno di velocizzare un po' il sistema!

Di quanti IV ho bisogno?

Il numero di IV di cui si ha bisogno dipende dalla lunghezza della chiave WEP da rompere, dalla tecnica usata e da una buona dose di fortuna (o, più precisamente, rientrare nella casistica della probabilità).

La FAQ di aircrack-ng afferma che una chiave WEP64 solitamente necessita di almeno 300000 IV, mentre una WEP 128 ne richiede poco più di 1500000 (!).

Fortunatamente, la tecnica PTW di aircrack-ng 0.9 abbassa significativamente il numero di IV necessari a circa 20000 e 40000, rispettivamente per chiavi WEP a 64 e 128 bit, ma funziona solo con pacchetti ARP catturati in modalità full (non --ivs).

Qui è dove aireplay-ng entra in gioco. Questo programma viene usato per generare del traffico da catturare utilizzando diverse tecniche di frame injection; nel nostro caso utilizzzeremo un Attacco ARP Request Replay. Senza packet injection potrebbero volerci giorni per raccogliere sufficienti IV!

Un attacco Replay cattura semplicemente un pacchetto generato da un STA bersaglio, inganna la fonte da cui ha catturato il pacchetto, e lo ritrasmette indietro molte volte, generando molto più traffico di quello che avremmo normalmente. Dato che il traffico sembra arrivare da un client valido, non interferisce con le normali operazioni di rete, portando così a termine i propri compiti di generazione di IV in breve tempo.

I perfetti candidati alla cattura sono i pacchetti ARP (Address Resolution Protocol), dato che sono piccoli (68 Byte), e in formato fisso e facilmente riconoscibile. Sono anche l'unico tipo di pacchetto con cui lavora il ben più veloce metodo PTW.

NOTA: La seguente procedura non utilizza il metodo PTW, perché non è incluso nell'attuale distribuzione BT2. Se volete usare quel metodo date un'occhiata all'Appendice 1, alla fine di questo articolo.

Prima bisogna far ripartire airodump-ng, ma questa volta col canale e l'indirizzo MAC (BSSID) dell'AP obiettivo. Digitate la seguente linea dentro la riga di comando sostituendo il numero del canale [Canale AP] e l'indirizzo MAC [BSSID AP] che avete precedentemente ottenuto durante la prima esecuzione di airodump-ng:

NOTA: Alcuni dei seguenti comandi sono stati scritti su più linee per rientrare nei limiti di impaginazione dell'articolo. Ricordatevi di inserirli in un'unica linea di comando.

airodump-ng --ivs --channel [Canale AP] --bssid [BSSID AP] --write capturefile ath0

I pacchetti così catturati verranno nuovamente salvati in un file nella directory /root e avranno un nome nel formato capturefile_nn.ivs dove nn è un numero a due cifre, per esempio capturefile_01.ivs. Nel nostro caso, la riga di comando finale assomiglia a:

airodump-ng --ivs --channel 5 --bssid 00:06:25:B2:D4:19 --write capturefile ath0

La Figura 5 mostra i risultati dell'esecuzione del comando. Notate che questa volta vediamo solo il Canale 5, l'AP linksys e il suo client.

Figura 5: Risultati della cattura di pacchetti da un AP. (Cliccate sull'immagine per ingrandirla)

Notate che le colonne #Data e #/s mostrano una bassa velocità di cattura, come ci aspettavamo. Velocizziamo un po' il tutto con aireplay-ng. Aprite un'altra finestra di shell e digitate il seguente comando sostituendo le informazioni della WLAN obiettivo per [BSSID AP] e [MAC client da airodump]

aireplay-ng --arpreplay -b [BSSID AP] -h [MAC client da airodump] ath0

Questo lancerà l'ARP Replay sull'AP destinazione, camuffando l'indirizzo MAC dell'STA associato. Nella WLAN del nostro esempio, la linea di comando finale assomiglia a:

aireplay-ng --arpreplay -b 00:06:25:B2:D4:19 -h 00:1A:70:7F:79:F2 ath0

La Figura 6 mostra aireplay-ng dopo la partenza e prima che inizi la fase di risposta.

Figura 6: aireplay-ng alla partenza, prima che inizi a rispondere. (Cliccate sull'immagine per ingrandirla)

La chiave indicatrice è "sent 0 packets", nell'ultima linea. Notate che se i driver o il dispositivo che state utilizzando non supportano packet injection, aireplay avrà un risultato simile a quello mostrato nella Figura 7:

Figura 7: aireplay senza packet injection. (Cliccate sull'immagine per ingrandirla)

Per controllare che i vostri driver supportino l'injection, date un'occhiata alla documentazione offerta da aircrack-ng a questa pagina.

Leggi altri articoli