Basics of Data Protection

Лабораторна робота №4. Вибір сумісного з Kali Linux USB Wi-Fi адаптера.
Аналіз вразливостей з Aircrack-ng

4.1. Вибір сумісного з Kali Linux USB Wi-Fi адаптера

Щоб проводити тест на проникнення бездротових мереж з Kali Linux

потрібен сумісний USB Wi-Fi адаптер (у простолюді «свисток»). Він потрібен,
щоб мати можливість переходити в режим монітора (спостереження),
проводити інжекти пакетів і робити різні інші речі, які ми зазвичай робимо при
бездротовому пентесті.
При пошуку адаптера, який працює з Kali, в першу чергу потрібно
звертати увагу на чіпсет, який застосовується для його виготовлення.
У цій роботі перераховані деякі із сумісних з Kali чіпсетів, а також
розказано про адаптери, в яких вони застосовуються і які можна знайти у
вільному продажу. Ось список цих чіпсетів:
Atheros AR9271
Ralink RT3070
Ralink RT3572
Realtek 8187L (бездротові G адаптери)
Якщо ви знайшли якусь нову бездротову карту Wi-Fi, яка не вказана у
списку, але в якій використаний один із цих чіпсетів, то з високою ймовірністю
вона також підійде для тестів з Kali.
Якщо ви купуєте картку не з рекомендованого списку, то пам'ятайте,
головне орієнтуватися на чіпсет, а не назву виробника.
Також рекомендується не купувати бездротові карти, які підтримують
лише стандарт Wi-Fi G (хоча вони й коштують дешевше). Краще купуйте
пристрій з підтримкою стандарту N, оскільки такі пристрої об'єднуються з G і
можуть використовуватися і з N і з G. Більшість роутерів і пристроїв в даний
час працюють за стандартом N.
 Basics of Data Protection

Ще варто звернути увагу на охоплення, яке матиме адаптер. Маленькі

USB адаптери зручні в силу свого розміру, але потрібно пам'ятати, що їх
діапазон роботи буде менше в порівнянні з адаптерами з великою антеною на
5 dbi або 9 dbi.
Адаптери Alfa продовжують домінувати у пентестингу. Тут перелік
кращих сумісних з Kali Linux USB Wi-Fi адаптерів з посиланнями на онлайн
магазин.
Адаптери, які використовують чіпсет Ralink RT3070
Alfa AWUS036NH 2.4 GHz
Alfa AWUS036NEH 2.4 GHz
Panda PAU05 2.4 GHz
Адаптери, які використовують чіпсет AR9271
Alfa AWUS036NHA
TP-LINK TL-WN722N 2.4 GHz
Адаптери, які використовують чіпсет RT3572
Alfa AWUS051NH двочастотна 2.4 GHz та 5.8 GHz
Зверніть увагу на цей бездротовий адаптер, він є одним із
найулюбленіших у пентестерів. Також важливий його плюс – це підтримка
частот 2.4 GHz та 5.8 GHz.
Бездротові USB адаптери з підтримкою лише стандарту G, чіпсет Realtek
8187L
Наступні USB адаптери були в минулому бестселерами, але оскільки
вони підтримують лише бездротовий стандарт G, їх можна назвати
застарілими. Під минулим тут мається на увазі 2-5 років тому. Під
«застарілими» тут мається на увазі «не працюватимуть щодо найновіших ТД,
у яких налагоджено роботу лише за стандартом N».
Alfa AWUS036H USB адаптер 2.4 GHz
Netgear WG111v2 USB адаптер 2.4 GHz
Sabrent NT-WGHU USB адаптер 2.4 GHz
Дешевий адаптер далекого радіусу дії, який працює з Kali
 Basics of Data Protection

Це приклад дешевого адаптера далекого радіусу дії (48 dBi), який

використовує чіпсет Ralink 3070, який добре працює з Kali. Він має проблеми
з будь-якими версіями Windows, крім Windows 7 і він не працює з Mac. Якщо
вам потрібні адаптери з гарною підтримкою, перегляньте вищезгадані,
виберіть ті з них, які підтримують стандарт N.
High Power SignalKing Signal King 48DBI
Адапетри 4G сумісні з Kali Linux
NooElec NESDR Mini 2 USB RTL-SDR та ADS-B Receiver Set, RTL2832U
& R820T2 Tuner, MCX Input.
RTL-SDR тюнер – цей свисток може збирати різні 4G сигнали з Kali
Linux. Захоплені дані можуть бути проаналізовані, особливо це стосується
LTE та GSM, але слід розуміти, що ці сигнали повністю зашифровані. Цей
прилад досить функціональний, хоч і недорогий – менше 25 доларів (при
нормальному курсі це зовсім недорого).

4.2. Аналіз вразливостей з Aircrack-ng

Програмний пакет aircrack-ng включає:

Ім'я Опис
aircrack-ng Зламує ключі WEP та WPA (Перебір за словником).
airdecap-ng Розшифровує перехоплений трафік за відомого ключа.
airmon-ng Виставляє різні карти в режим моніторингу.
aireplay-ng Пакетний інжектор (Linux та Windows).
airodump-ng Аналізатор трафіку: Поміщає трафік у файли PCAP
або IVS та показує інформацію про мережі.
airtun-ng Створює віртуальний інтерфейс тунелювання.
packetforge-ng Створює зашифровані пакети для ін'єкції.
ivstools Інструменти для злиття та конвертування.
Airbase-ng Надає техніку для атаки клієнта.
airdecloak-ng Забирає WEP-маскування з файлівpcap.
 Basics of Data Protection

airolib-ng Зберігає та керує списками ESSID та паролів, обчислює

парні майстер-ключі.
airserv-ng Відкриває доступ до бездротової мережі з інших
комп'ютерів.
buddy-ng Сервер-помічник дляeasside-ng, запущений на віддаленому
комп'ютері.
easside-ng Інструмент для комунікації з точкою доступу без WEP-
ключа.
tkiptun-ng Атака WPA/TKIP.
wesside-ng Автоматичний інструмент відновлення WEP-ключа.

Aircrack-ng - це програма зі злому ключів 802.11 WEP та WPA/WPA2-

PSK.
Aircrack-ng може відновити WEP ключ, коли буде захоплено досить
зашифрованих пакетів у програмі airodump-ng. Ця частина набору aircrack-ng
визначає WEP ключ, використовуючи два фундаментальні методи. Перший
метод – за допомогою підходу PTW (Pyshkin, Tews, Weinmann). Метод злому
за умовчанням – це PTW. Він робиться на дві стадії. На першому етапі aircrack-
ng тільки використовує пакети ARP. Якщо ключ не знайдено, вона
використовує всі пакети в захопленні. Будь ласка, пам'ятайте, що не всі пакети
можуть бути використані для методу PTW. Важливе обмеження в тому, що
PTW атака в даний час може зламати тільки 40 і 104 бітні WEP ключі. Головна
перевага підходу PTW в тому, що потрібно зовсім небагато пакетів даних для
злому WEP ключа. Другий метод – це метод FMS/KoreK.
Додатково програма пропонує метод атаки за словником для виявлення
ключа WEP.
Для зламування загальних ключів WPA/WPA2 використовується лише
метод атаки за словником. Підтримка SSE2 увімкнена для значного
прискорення обробки WPA/WPA2 ключа. «Чотириходове рукостискання»
потрібне для введення. Для WPA рукостискань повне рукостискання
 Basics of Data Protection

складається з чотирьох пакетів. Тим не менш, aircrack-ng здатний успішно

працювати навіть із двома пакетами. EAPOL пакети (2 та 3) або пакети (3 та 4)
розглядаються як повне рукостискання.
Домашня сторінка: http://aircrack-ng.org/
Автор: Thomas d'Otreppe, Початкова робота: Christophe Devine
Ліцензія: GPLv2
Довідка по aircrack-ng
Використання:
aircrack-ng [опції] <.cap / .ivs файл(и)>
Загальні опції:

-a <amode> : режим атаки брутфорс (1/WEP, 2/WPA-PSK)

-e <essid> : вибір мети: мережний ідентифікатор
-b <bssid> : вибір мети: MAC точки доступу
-p <nbcpu> : # CPU для використання (за замовчуванням: всі CPU)
-q : увімкнути тихий режим (не виводити статус)
-C <macs> : поєднати дані точки доступу в одну віртуальну
-l <файл> : записати ключ до файлу

Опції статичного злому WEP:

-c : пошук лише буквено-цифрових символів

-t : пошук тільки бінарно закодованих десятичних символів
-h : пошук цифрових ключів для Fritz!BOX
-d <mask> : використовувати маску ключа (A1:XX:CF:YY)
-m <maddr> : MAC для фільтрації корисних пакетів
-n <nbits> : довжина ключа WEP : 64/128/152/256/512
-i <index> : індекс ключа WEP (від 1 до 4), за замовчуванням: будь-який
-f <fudge> : фактор ймовірності брутфорсу за замовчуванням: 2
-k <korek> : вимкнути один метод атаки (від 1 до 17)
 Basics of Data Protection

-x або -x0: відключити брутфорс для останніх keybytes

-x1 : брутфорсинг останніх keybyte (за замовчуванням)
-x2 : увімкнути брутфорс останніх 2 keybytes
-X: відключити багатопотоковий брутфорс
-y: експериментальний режим одиночного брутфорсу
-K: використовувати тільки старі атаки KoreK (до PTW)
-s : під час злому показувати всі ключі в ASCII
-M <число>: задати максимальну кількість IV для використання
-D: розкриття WEP, пропустити зламані потоки ключів
-P <число> : налагодження PTW : 1: вимкнути Klein, 2: PTW
-1 : запустити лише 1 спробу для зламування ключа з PTW

опції злому WEP та WPA-PSK:

-w <words> : шлях до словника(словників)

опції WPA-PSK:

-E <файл> : створити файл проекту EWSA v3

-J <файл>: створити файл захоплення Hashcat
-S: тест швидкості злому WPA
-r <БД> : шлях до бази даних airolib-ng (Не може використовуватись з -
w)

Інші опції:

-u : Показати # про CPUs та підтримку MMX/SSE

--help : Показати повідомлення довідки
Посібник з aircrack-ng
Загальні опції:
 Basics of Data Protection

-a <amode>
Режим атаки брутфорсом, 1 або WEP для WEP і 2 або WPA для WPA-
PSK.
-e <essid>
Вибрати цільову мережу на основі ESSID. Ця опція також потрібна для
злому WPA, якщо SSID прихований.
-b <bssid> або --bssid <bssid>
Вибрати цільову мережу на основі MAC адреси.
-p <nbcpu>
Встановити кількість використовуваних CPU (доступно лише на SMP
системах). За промовчанням використовуються всі доступні CPU.
-q
Якщо вказано цей ключ, інформація про стан не відображається.
-C <macs> або --combine <macs>
Об'єднати ці MAC адреси ТД (розділені комою) в одну віртуальну.
-l <файл>
Записати ключ до файлу.
-E <файл>
Створити файл проекту Elcomsoft Wireless Security Auditor (EWSA)
v3.02.
Опції статичного злому WEP:
-c
Пошук лише буквено-цифрових символів.
-t
Пошук лише бінарно закодованих десятирічних символів.
-h
Пошук числа ключів для Fritz!BOX
-d <mask> або --debug <mask>
Вказати маску ключа. Наприклад: A1: XX: CF
-m <maddr>
 Basics of Data Protection

Зберігати тільки IV прийшли з пакетів, які відповідають цій MAC-адресі.

Альтернативно, використовуйте -m ff:ff:ff:ff:ff:ff для використання всіх і
кожного IV незалежно від мережі (це відключає фільтрацію ESSID і BSSID).
-n <nbits>
Вказати довжину ключа: 64 або 40-біт WEP, 128 або 104-біт WEP і т.д.,
до 512 біт довжини. Значення за замовчуванням 128.
-i <індекс>
Зберігати лише IV, які мають ключовий індекс (від 1 до 4). Стандартна
поведінка - ігнорувати ключовий індекс у пакетах і використовувати IV
незалежно від нього.
-f <fudge>
За замовчуванням цей параметр встановлений у 2. Використовуйте вищу
величину для збільшення рівня брутфорсу: злом займе більше часу, але з
більшою ймовірністю успіху.
-k <korek>
Є лише 17 атак KoreK. Іноді одна атака створює величезне хибне
спрацьовування, що не дає знайти ключ, навіть з безліччю IV. Спробуйте -k 1,
-k 2, -k 17 для відключення кожної атаки.
-x або -x0
Вимкнути брутфорс останніх keybytes (не рекомендується)
-x1
Увімкнути брутфорсинг останнього keybyte (за замовчуванням)
-x2
Включити брутфорсинг останніх двох keybytes.
-X
Вимкнути багатострумовий брутфорсинг (тільки SMP).
-s
Показати ASCII версію ключа у правій частині екрана.
-y
 Basics of Data Protection

Це експериментальна атака одиничного брутфорсу, яку слід

використовувати коли стандартний режим атаки зазнає невдачі з більш ніж
одним мільйоном IV.
-z
Використовувати PTW (Andrei Pyshkin, Erik Tews та Ralf-Philipp
Weinmann) атаку (атака за замовчуванням).
-P <число> або --ptw-debug <число>
Налагодження PTW: 1 Вимкнути klein, 2 PTW.
-K
Використовуйте атаки KoreK замість PTW.
-D або --wep-decloak
Використовувати режим розкриття WEP.
-1 або --oneshot
запустити лише 1 спробу для злому ключа з PTW
-M <число>
Задати максимальне число IV, яке використовувати
Опції злому WEP та WPA-PSK
-w <words>
Шлях до файлу словника для зламу wpa. Вкажіть "-" для стандартного
введення. Списки словників: http://www.aircrack-
ng.org/doku.php?id=faq#where_can_i_find_good_wordlists
Опції злому WPA-PSK:
-S
тест швидкості злому WPA.
-r <базаданих>
Дорога до бази даних airolib-ng. Не можна використовувати з '-w'.
Інші опції:
-H або --help
Показати довідку
-u або --cpu-detect
 Basics of Data Protection

Забезпечує інформацію про кількість CPU та підтримку MMX/SSE

Приклади запуску aircrack-ng
Використовувати наданий список слів (-w /usr/share/wordlists/nmap.lst)
для спроби зламати пароль у захопленому файлі (capture-01.cap):
root@kali :~# aircrack-ng -w /usr/share/wordlists/nmap.lst capture-01.cap
Opening capture-01.cap
Read 2 packets.

# BSSID ESSID Encryption

1 38:60:77:23:B1:CB 6EA10E No data - WEP або WPA

Choosing first network as target.

Opening capture-01.cap
Установка aircrack-ng
Програма встановлена в Kali Linux.
Встановлення в інші операційні системи
Ця програма є з пакету Aircrack-ng. Тобто. її установки необхідно
встановити Aircrack-ng. Для більшості систем існують попередньо
скомпільовані файли, що можливі, можлива також установка з вихідних кодів.
Встановлення в Debian, Ubuntu, Mint
sudo apt-get install aircrack-ng
Встановлення у Windows
Для встановлення у Windows достатньо завантажити бінарні файли з
офіційного сайту.
Режими роботи Wi-Fi адаптера
Але для початку потрібно перекласти наш бездротовий адаптер
(мережеву карту) в monitor mode.
 Basics of Data Protection

Справа в тому, що кожен Wi-Fi адаптер, а точніше, антена, фізично

вловлює будь-які сигнали, що пересилаються пристроями в радіусі дії. Антена
не може "не приймати" сторонні пакети. А ось драйвер може працювати в
трьох режимах (насправді 6)):
1. Client mode (також managed mode) - пакети, не призначені цьому
адаптеру - відкидаються, інші передаються всередину ОС як «отримані». У
цьому режимі пошкоджені пакети також відкидаються. Нормальний режим
роботи без свистелок.
2. Monitor mode (також rfmon mode) – драйвер не фільтрує пакети і
передає все, що вловлює антена, в ОС. Пакети з неправильною контрольною
сумою не відкидаються і їх можна бачити, наприклад, у Wireshark.
3. Promiscuous mode ("безладний режим") - режим монітора
"наполовину". Драйвер буде передавати в ОС пакети, отримані в рамках
мережі, до якої ми зараз підключені (associated), але на відміну від звичайного
режиму, не будуть відкидатися пакети, призначені іншим клієнтам цієї мережі.
Пакети інших мереж ігноруватимуться. Зрозуміло, що це працює лише коли
ви можете успішно підключитися та авторизуватись у деякій мережі (відкритій
чи ні). На відміну від монітора цей режим підтримується меншим числом
адаптерів. При роботі в цьому режимі, як і в режимі клієнта, драйвер буде
прибирати з переданих в ОС пакетів низькорівневі заголовки каналу.
Нам потрібен якраз режим монітора - в режимі клієнта нам не цікаво
дивитися на пакети, які нам самим і призначені, а для promiscious режиму нам
потрібно спочатку підключитися до деякої мережі. Якщо не рахувати
пошкоджених пакетів та наявності заголовків 802.11, режим монітора може те
ж і більше, що і безладний режим, та й підтримується левовою часткою
адаптерів. Єдина проблема – не всі адаптери можуть одночасно передавати
дані у режимі монітора.
 Basics of Data Protection

На малюнку вище жирні лінії показують пакети, які ми перехоплюємо в

різних режимах, а переривчасті лінії - це пакети, що вловлюються нашою
антеною, але драйвером, що відкидаються, через обраний режим.
Відкриваємо термінал та виконуємо:
airmon-ng start wlan0
wlan0 – ідентифікатор пристрою-адаптера. *nix це wlan + порядковий
номер (wlan0, wlan1, wlan2 і т.д.). Номер адаптера можна дізнатися, виконавши
ifconfig або iwconfig (це виведе лише пристрої бездротових адаптерів та
специфічну для них інформацію).
Якщо airmon-ng виведе повідомлення (monitor mode enabled on mon0) -
отже, адаптер успішно переведено режим спостереження.
Зверніть увагу, що у командах, які ми виконуватимемо далі, також
вказується ідентифікатор адаптера, але віртуального – mon0 (mon1, etc.), а не
вихідного – wlan0. mon0 – адаптер, створений airmon-ng, призначений для
роботи з функціями монітора.
Зараз цей режим підтримується 80-90% всіх адаптерів, найпоширеніші з
них – Atheros, Intel та TP-LINK. Останній виробляє зовнішні адаптери зі
змінними антенами до $30 (користувався TL-WN722NC + TL-ANT2408CL - до
того ж завдяки USB їх можна підключити до VMware). Список підтримуваних
адаптерів є навики Aircrack-ng.
Бездротові канали
Wi-Fi - технологія передачі даних по радіоканалу з використанням того
самого механізму, що й у радіостанціях. І так само, як у радіостанціях, якщо
передавати надто багато даних на одній частоті (зазвичай 2.4 ГГц), то не можна
буде розібрати, що до чого належить. І тому існує поділ на канали.
Усього каналів 13, хоча останній канал - тринадцятий - у деяких країнах
заборонено, тому найчастіше використовуються 1-12. Однак 13-й можна
увімкнути, вибравши для бездротового адаптера таку країну, як Болівія (BO)
або будь-яку іншу, де дана частота дозволена. Так, технічна можливість, як це
часто буває, є в будь-якому адаптері, але заблокована за етичними перевагами.
 Basics of Data Protection

Крім цього, є і 14-й канал (японці, як завжди, відзначилися) і частота 5

ГГц з ще 23 каналами. Взагалі, канали 2.4 ГГц частково перетинаються, плюс
їхня ширина може бути 20 і 40 МГц. Поки що 5 ГГц застосовуються рідше, але
описані далі прийоми можна застосувати і до цієї частоти.
Деякі використовують 13 канал для приховування своїх мереж, але цей
спосіб тут навіть не розглядається, так як достатньо перевести адаптер в
потрібний регіон, як він сам їх побачить. Наприклад:
ifconfig wlan0 down
iw wlan0 reg set BO
ifconfig wlan0 up
iwconfig wlan0 channel 13
Будь-який бездротовий адаптер може приймати та передавати дані лише
на одному каналі за один раз. Однак поточний канал можна змінювати як
завгодно часто - для отримання повної інформації про бездротові передачі
навколо airodump-ng перемикає канал кілька разів на секунду і ловлять все, що
трапляється. Це називається channel hopping («стрибки каналами»). Це роблять
і системні програми - наприклад NetworkManager для GNOME, який показує
список бездротових мереж у правому верхньому кутку.
Якщо канал не зафіксований, деякі пакети можуть бути втрачені -
адаптер переключився на сусідній канал, а в цей час по попередньому каналу
пройшов новий пакет, але його антена вже не вловила. Це критично, коли ви
намагаєтеся перехопити handshake, тому для відключення всіх програм, які
використовують бездротовий адаптер і не дають зафіксувати канал,
використовується ця команда:
airmon-ng check kill
Без kill буде виведено список усіх підозрілих процесів, а з kill вони
будуть завершені. Після цього адаптер залишиться повністю у вашому
розпорядженні. Команду вище рекомендується виконувати перед будь-якими
діями, крім простого огляду мережі, оскільки бездротовий адаптер – загальний
ресурс; декілька програм можуть використовувати його одночасно
 Basics of Data Protection

(наприклад, можна ловити список мереж в airodump-ng і одночасно підбирати

WPS у reaver), але будь-яка з них може переключити канал, тому важливо
зафіксувати його і при її запуску (зазвичай параметр називається -c або--
channel).
Antenna overclock
Крім маніпуляцій з регіоном ifconfig може спробувати змусити адаптер
працювати на більшій потужності, ніж це робить за замовчуванням. Результат
сильно залежить від типу адаптера та регіону, при тривалому використанні
може зіпсувати пристрій, тому використовуйте на свій страх і ризик. У разі
успіху антена зможе вловлювати слабші сигнали.
ifconfig wlan0 down
# Обхід регіональних обмежень на максимальну потужність передавача.
iw reg set BO
iwconfig wlan0 txpower 500mW
# Або:
iwconfig wlan0 txpower 30
ifconfig wlan0 up
Звичайна потужність – 15-20 дБм. При помилці буде повідомлення типу
Invalid argument, проте його може і не бути – після виконання перевірте
значення txpower у iwconfig.
Виконуємо:
airodump-ng mon0
airodump-ng – команда для збору пакетів у радіоефірі. Вона виводить у
консоль дві таблиці. У верхній виводяться знайдені бездротові мережі, в
нижній - клієнти, підключені до них, або не підключені, але з активним
бездротовим адаптером, який транслює якісь пакети (наприклад, пошук
мережі з певним ім'ям).
Була опублікована стаття використанням Karma - але оскільки це вже на
межі шкідницького проникнення в цьому циклі ми цю тему торкатися не
будемо. Але це дійсно проблема і варто подбати про те, щоб ваш пристрій не
 Basics of Data Protection

чіплявся за всі мережі без вашого дозволу, у тому числі за відомі -

автентичність точок доступу не перевіряється і ви можете опинитися в мережі
зловмисника. У всіх сенсах.
Приклад виведення airodump-ng:
CH 1 ][ Elapsed: 6 mins ][ 2014-06-06 12:45

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:18:E7:xx:xx:xx -67 108 0 0 11 54e. WPA2 CCMP PSK infolan22451

F8:1A:67:xx:xx:xx -88 132 0 0 1 54e. WPA2 CCMP PSK TP-LINK
48:5B:39:xx:xx:xx -1 0 0 0 5 -1 <length: 0>

BSSID STATION PWR Rate Lost Frames Probe

(not associated) 4C:B1:99:xx:xx:xx -73 0 - 1 0 66 dlink

48:5B:39:xx:xx:xx 1C:7B:21:xx:xx:xx -81 0 - 1 0 21

Стовпці першої таблиці з доступними бездротовими мережами:

BSSID - унікальна MAC-адреса бездротової мережі. За аналогією з
MAC-адресою мережевих карт, це 6 чисел у шістнадцятковому форматі,
розділених двокрапкою, наприклад: AA:00:BB:12:34:56. Він передається до
більшості інших команд.
PWR – рівень сигналу. Це негативне число; чим воно ближче до 0 – тим
сигнал сильніший. Зазвичай для комфортної роботи це число -50, для
відеозв'язку - до -65, для VoIP - до -75. Значення нижче -85 і особливо нижче -
90 вважатимуться вкрай слабким рівнем. Число залежить як від потужності
передавача, так і від коефіцієнта посилення антени у вашому адаптері
(зовнішні адаптери мають посилення 0-12 dB, зовнішні 1-2-метрові
всеспрямовані антени – до 24 dB)
 Basics of Data Protection

Beacons - число переданих цією точкою доступу «маячків» - пакетів, що

оповіщають пристроїв про існування цієї бездротової мережі, рівні сигналу, її
імені (BSSID/ESSID) та іншої інформації. Використовується для підключення.
За промовчанням точки доступу зазвичай налаштовані на передачу маячків
кожні 100 мсек (10 разів на секунду), але інтервал можна збільшити до 1/сек.
Відсутність маячка не говорить про відсутність бездротової мережі - у
прихованому (hidden) режимі точка доступу не передає маячків, але до неї
можна підключитися, якщо знати точне ім'я мережі. Про спосіб виявлення
таких мереж – нижче.
#Data – кількість пакетів з даними, які прийшли від цієї точки доступу.
Це може бути HTTP-трафік, ARP-запити, запити на авторизацію (handshake)
та інше. Якщо до мережі не підключено жодного клієнта або якщо він нічого
не передає, то це значення не змінюється і може бути 0.
#/s – кількість пакетів з даними в секунду. #Data поділений на час
спостереження за цією мережею.
CH – номер каналу. Як було описано вище, весь доступний спектр Wi-Fi
розділений на 14 каналів; точка доступу та, відповідно, клієнти, передають
дані на певному каналі і цей стовпець вказує, до якого каналу прив'язана ця
точка доступу та її клієнти
MB - швидкість передачі (ширина каналу) Мбіт/с. Крапка в кінці
означає, що точка доступу підтримує коротку преамбулу (short preamble).
Можна побачити значення 11, 54, 54e. Нас це зазвичай мало хвилює
ENC – тип бездротової мережі – OPN (відкрита), WEP, WPA, WPA2. З
цього параметра ми вибираємо відповідну схему атаки.
CIPHER - тип шифрування даних після handshake. Можливо TKIP та
CCMP (див. огляд у першій частині).
AUTH – механізм аутентифікації для передачі тимчасового ключа.
Можливо PSK (звичайна авторизація за єдиним паролем для WPA(2)), MGT
(WPA(2) Enterprise з окремим сервером з ключами RADIUS), OPN (відкрита).
 Basics of Data Protection

ESSID – ім'я бездротової мережі. Саме його ви бачите в диспетчері

бездротових мереж у Windows і вказуєте в налаштуваннях точки доступу. Так
як це ім'я користувача, то воно може не бути унікальним, і для всіх внутрішніх
операцій використовується BSSID (тобто MAC-адреса адаптера в точці
доступу), а це - просто відображається назва.
Іноді в деяких шпальтах можна побачити числа -1, а в останньому
стовпці - <length: 0>. Це ознаки бездротової мережі, яка не транслює свої дані
у відкритому вигляді, а відповідає лише коли клієнт зробив явний запит на
підключення із зазначенням коректного ESSID та пароля. Крім цього, точка
доступу може взагалі не транслювати маячки і стане активною тільки, коли до
неї підключиться клієнт, який знає її ім'я. Якщо залишити airodump-ng
запущеним досить довгий час і якщо в цьому проміжку до прихованої мережі
підключиться новий клієнт, то рядок, що відповідає «прихованій» мережі,
буде автоматично розкрито і там з'явиться номер каналу, ESSID та дані про
захист. При цьому може бути потрібно зафіксувати канал, щоб не пропустити
момент підключення (див. нижче).
Стовпці другої таблиці з бездротовими клієнтами:
BSSID - MAC-адреса точки доступу, до якої підключено клієнта (див.
першу таблицю). Якщо вказано (not associated) - клієнт відключено від усіх
мереж, але адаптер працює (можливо, він шукає доступні мережі).
STATION - MAC-адреса клієнта. Колись ці адреси були вшиті до
адаптера на фабриці і не могли бути змінені, але сьогодні може бути
налаштований у переважній більшості випадків. У Linux/Mac для цього є
штатні засоби. У Windows з цим складніше і підтримка залежить від драйвера.
MAC-адреса так само, як і в дротових мережах, передається буквально в
кожному пакеті від цього клієнта і це основна причина, чому фільтрація по
MAC майже марна.
PWR – рівень сигналу від клієнта. Що ближче до 0, то клієнт
ближче/сигнал потужніший (див. першу таблицю).
 Basics of Data Protection

Rate - коли airodump-ng запущено з фіксацією каналу (див. нижче), цей

стовпець покаже частоту передачі пакетів з даними від точки доступу до
клієнта (ліворуч від дефісу) і від клієнта назад (праворуч).
Lost – кількість втрачених пакетів, які наша система (не клієнт) не
зареєструвала. Це легко обчислити, тому що в пакетах, що передаються, є
лічильник.
Frames або Packets - кількість пакетів із даними, які ми вловили від цього
клієнта (див. #Data у першій таблиці).
Probe – список ESSID-імен бездротових мереж, до яких клієнт намагався
підключитися. Тут можуть бути перераховані зовсім не ті мережі, які ви бачите
навколо, а ті, до яких клієнт підключався раніше, або приховані мережі. На
основі цього можна організувати атаку типу Karma, як згадано раніше.

Параметри запуску airodump-ng (можна комбінувати; більш детально в

наступних частинах):
airodump-ng -c 3 mon0 - зафіксувати канал №3 - повний прийом пакетів
без втрат при перемиканні на інші канали (через частоти, що перекриваються,
до списку можуть потрапити сусідні канали).
 airodump-ng -w captures.pcap mon0 - записувати всі прийняті
пакети у файл captures.pcap - використовується для offline-атаки на перебір
пароля WEP/WPA (буде освітлено в наступній частині).
 airodump-ng --essid "Ім'я мережі" mon0 - фільтрувати пакети, що
приймаються (записуються/відображаються) за належністю до заданого імені
мережі. Зазвичай використовується зменшення розміру файла, оскільки на
якість перехоплення це ніяк не впливає.
 airodump-ng --bssid 01:02:03:AA:AA:FF mon0 - фільтрація за MAC-
адресою точки доступу (BSSID). Аналогічно - essid.
Приховані мережі.
Часто можна почути, що приховані мережі дуже складно
виявити/підключитися/зламати/забрати (потрібне підкреслити). Однак як уже
 Basics of Data Protection

було показано, «прихована» мережа - не що інше, як мережа, яка не передає

маячки про своє існування 10 разів на секунду, або передають їх, але з
порожнім ESSID та іншими полями. На цьому різниця закінчується.
Як тільки до такої мережі підключається клієнт, він передає її ESSID та
пароль, і якщо така мережа існує в радіусі дії - точка доступу відповідає на
запит і проводить усі звичайні процедури авторизації та передачі даних. А
якщо клієнт вже був підключений раніше - його можна побачити у списку
активних адаптерів і відключити.
Кожен підключений клієнт спілкується з базовою станцією з її BSSID -
і це саме те, що ми бачимо в обох таблицях airodump-ng. Ми можемо
«відключити» клієнта від мережі, після чого він повинен буде підключитися
знову - і в цей момент airodump-ng перехопить потиск рук з усіма
ідентифікаторами і ключами. Або ми можемо просто залишити ноутбук
увімкненим на пару годин з airodump-ng на потрібному каналі і почекати. До
речі, при успішному «розтину» у правому верхньому кутку з'явиться
повідомлення виду [Decloak: 00:00:11:11:22:22] з BSSID точки доступу,
конспірацію якої ми розкрили.
Відключення клієнтів передбачено у всіх бездротових стандартах і
робиться за допомогою aireplay-ng (усі три вже знайомі нам утиліти - частина
проекту Aircrack-ng, який містить у своєму наборі всілякі інструменти для
роботи з тонкими матеріями):
aireplay-ng wlan0 --deauth 5 -a AP_BSSID -c CLIENT_BSSID

Увага: ця команда - виняток та приймає ідентифікатор реального

бездротового адаптера, а не mon0, створеного за допомогою airmon-ng.
Якщо при запуску з'явилася помилка про незафіксований канал та/або
airodump-ng показує у правому верхньому куті [fixed channel -1] - значить,
якась програма або сервіс змушує адаптер перескакувати з каналу на канал (це
може бути той самий airodump-ng ) та їх потрібно закрити за допомогою
airmon-ng check kill, як було описано на початку.
 Basics of Data Protection

Команда вище імітує ситуацію, коли точка доступу повідомляє клієнту,

що старий ключ недійсний (і що його слід оновити, повторивши handshake,
тобто передавши пароль та ім'я мережі заново). На адресу клієнта
надсилаються повідомлення нібито від точки доступу про те, що слід
відключитись від мережі та оновити дані сесії. Так як цей тип пакетів не
захищений шифруванням (тобто команда може бути виконана ще до
аутентифікації), то протидіяти йому неможливо з тієї простої причини, що
неможливо встановити «особистість» того, хто це розсилає - MAC-адреси в
підроблені пакети і встановлені в ті значення, що ми передали після -a і -c.
Можна лише відстежувати надто часті відключення та вживати якихось
заходів.
Після --deauth йде число пакетів деавторизації, які будуть надіслані в
обидва кінці. Зазвичай вистачає 3-5, можна вказувати і 30 і більше. Для
стислості --deauth можна замінити на -0 (нуль).
Отже, допустимо в другій таблиці airodump-ng ми бачимо наступний
рядок:
BSSID STATION PWR Rate Lost Frames Probe
4F:B1:A4:05:5C:21 5B:23:15:00:C8:57 -54 0 - 1 0 1266 homenet, XCom
Перший стовпець - значення -a (MAC базової станції), другий - для -c
(MAC клієнта). Перезапустимо airodump-ng і зафіксуємо його на каналі 5 (це
канал нашої станції, що атакується), після чого виконаємо відключення
клієнта в сусідньому вікні терміналу:
airodump-ng -c5 mon0
aireplay mon0 -0 5 -a 4F:B1:A4:05:5C:21 -c 5B:23:15:00:C8:57
Якщо сигнал досить сильний, число пакетів велике і клієнт/точка
доступу нас почули - вони відключаться один від одного, потім передадуть
інформацію про мережу знову при підключенні і airodump-ng покаже їх рядок
[ Decloak ]
Як бачимо, цей трюк із прихованням маячків можна використовувати
для домашніх мереж, до якої хтось підключається пару разів на день, та й то
 Basics of Data Protection

не завжди - але для корпоративних мереж він точно не підходить, тому що

розкривається буквально однією командою та захисту від неї ні. На мій погляд
навіть для приватних мереж це скоріше незручність, ніж користь - вводити ім'я
треба вручну, та й не зрозуміло, чи активна взагалі базова станція чи ні.
Також, -c (клієнтський MAC) можна не вказувати - тоді від імені точки
доступу буде розіслано широкомовні (broadcast) пакети про відключення всіх
клієнтів. Однак сьогодні це рідко працює – драйвера ігнорують такі пакети,
оскільки правомірно вважають, що справа нечиста – точка доступу завжди
знає, хто до неї підключений, та розсилає спрямовані пакети для конкретного
клієнта.
Фільтрування по MAC
Дуже часто я чую рекомендації, що насамперед після створення мережі
потрібно обмежити список її клієнтів певним набором MAC-адрес, і тоді
пароль взагалі ні до чого. Однак це обмеження обходиться так само легко, як і
виявляються приховані мережі.
Справді, кожен клієнт - підключений до мережі чи ні - розкриває свою
MAC-адресу під час передачі будь-якого пакета. У таблиці airodump-ng ці
адреси видно у стовпці STATION. Відповідно, як тільки ми побачили мережу,
куди нам чомусь не потрапити (Linux зазвичай рапортує про Unspecified failure
на етапі підключення, а Windows довго думає, після чого повідомляє про
невідому помилку), і тут же у списку бачимо пов'язаного з цією мережею
клієнта - ми можемо взяти його MAC-адресу і поміняти свою на неї. Наслідки
можуть бути різними і навіть може стукнути. Якщо зробимо це за активного
клієнта - у мережі з'явиться клон і клієнта може «заглючити», оскільки він
отримуватиме відповіді на пакети, які він не надсилав. У результаті може
вимкнутись, а може продовжувати працювати, попередивши про проблему
користувача - чи ні. Але варіант краще - записати його MAC та підключиться,
У Linux змінити MAC свого адаптера можна так (працює як для
провідних мереж, так і для бездротових):
ifconfig wlan0 down
 Basics of Data Protection

ifconfig wlan0 hw ether 00:11:22:AA:AA:AA

ifconfig wlan0 up
Попередньо потрібно вимкнути будь-які mon-інтерфейси. Перевірити,
чи запрацювала підміна, можна викликавши ifconfig wlan0 - у рядку Hwaddr
має бути вказаний вище MAC.
Крім того, *nix є macchanger - з його допомогою можна виставити собі
випадковий MAC. Якщо поставити його в init.d, то ворог буде зовсім
спантеличений, так як при кожному завантаженні наш MAC буде іншим
(працює для будь-яких дротових та бездротових адаптерів, як і ifconfig).
# Випадковий MAC:
macchanger -r wlan0
# Певний MAC:
macchanger -m 11:22:33:AA:BB:CC wlan0
# Показати MAC:
macchanger -s wlan0
У Windows потрібно провести деякі маніпуляції з реєстром, але з цієї
теми краще проконсультуватися з Google.
Підготувавши якийсь словник (обзовемо його для наочності wordlist.txt)
переходимо безпосередньо до підбору пароля. Запускаємо aircrack-ng з
наступними параметрами:
Код:
root@bt :~# aircrack-ng -e <essid> -b <bssid> -w wordlist.txt testcap.cap

Індивідуальне завдання: проаналізувати надійність пароля бездротової

мережі. Бажано виконувати роботу в парі.

Контрольні питання.

1. Який фактор є головним при виборі пристрою для пентесту.

2. Що розуміють за МАС-адресою пристрою.
 Basics of Data Protection

3. Які програми включає пакет Aircrack-ng.

4. Назвіть призначення програми Aircrack-ng.
5. Назвіть призначення програми Macchanger.
6. Чому виникає необхідність використання Macchanger.
7. Назвіть призначення програми airodump-ng.
8. Назвіть призначення програми aireplay-ng.
9. Назвіть призначення програми iwconfig.
10. Назвіть призначення програми airmon-ng
11. Назвіть призначення програми ifconfig.
12. Що розуміють під essid пристрої.
13. Що розуміють під bssid пристрою.