Come ottenere tanti IVs in pochi minuti
Esistono ulteriori strumenti che interferiscono più seriamente con il normale funzionamento della rete wireless e permettono di collezionare tutti gli IVs che occorrono in pochissimo tempo. Questo tipo di attacco è chiamato replay attack.
In questo attacco viene catturato un pacchetto generato dal Target Client e viene replicato più e più volte. Inoltre, utilizzando la tecnica dello spoofing, (l'invio di pacchetti facendo credere all'host di destinazione che il pacchetto provenga da un'altra sorgente) la rete crederà che il pacchetto provenga da un client valido.
Quello di cui abbiamo bisogno è catturare un pacchetto che sia stato generato dal deauth attack e avviare il replay attack usando proprio quel pacchetto. Un perfetto candidato per la cattura sono gli Address Resolution Protocol (ARP), i pacchetti che sono inviati durante la fase di ri-autenticazione, poiché sono molto piccoli (68 Byte) e hanno un formato semplice.
Passiamo a vedere la procedura da eseguire.
Per prima cosa riavviamo le AC e SC in modo da avere le macchine pulite.
Ora nella AC dobbiamo avviare aireplay nella modalità 2 ovvero "Replay interattivo di pacchetti" in modo che appena abbia sniffato un pacchetto ARP inizi a replicarlo.
Per eseguire questa operazione dobbiamo digitare:
| aireplay -2 -b |
Osservazioni:
- -d è l'indirizzo di destinazione dei pacchetti che vengono replicati, mettiamo un indirizzo falso tipo FF:FF:FF:FF:FF:FF
- -m e –n indicano rispettivamente la lunghezza minima e massima dei pacchetti. Se lo impostiamo a 68 probabilmente capteremo i pacchetti ARP
- -h è l'indirizzo che verrà scritto sui pacchetti inviati. Dobbiamo mettere il MAC del TC se vogliamo fare spoofing.
A questo punto avviamo aireplay nel SC in modo che venga forzata la de-autenticazione dei client (aireplay in modalità 0) così da generare pacchetti ARP necessari all' AC.
Per fare ciò dobbiamo digitare i seguenti comandi
| iwconfig wlan0 mode monitor |
| aireplay -0 5 –a |
Alcune note:
- In alternativa al commando 1 è possibile usare airmon.sh start wlan0 che è uno script contenuto in aircrack.
- Se omettiamo il parametri –c il comando di de-autenticazione verrà inviato in broadcast a tutti i client.
Ora dovremo ricorrere a tutta la nostra abilità manuale e coordinatoria perché non appena il AC avrà captato un pacchetto ARP dobbiamo velocemente nell'ordine:
In AC -> Indicare ad aireplay di iniziare la replicazione (ovvero premere ‘y') come è possibile vedere nella figura precedente.
In SC -> Chiudere aireplay per terminare il deauth-attack (ctrl-c)
In SC -> Avviare airodump per iniziare lo sniffing dei pacchetti
Dopo che abbiamo avviato airodump potremo vedere che il contatore di IVs aumenta alla velocità di circa 200 IVsec