Aireplay-ng

Aireplay-ng se usa para inyectar paquetes.

Su función principal es generar tráfico para usarlo más tarde con aircrack-ng y poder crackear claves WEP y WPA-PSK. Hay varios ataques diferentes que se pueden utilizar para hacer deautenticaciones con el objetivo de capturar un handshake WPA, para realizar una falsa autenticación, un reenvio interactivo de un paquete, o una reinyección automática de un ARP-request. Con el programa packetforge-ng es posible crear paquetes “ARP request” de forma arbitraria.

La mayoría de los drivers tienen que estar parcheados para ser capaces de inyectar, no te olvides de leer Installing drivers.

Actualmente se pueden realizar diferentes ataques:

• Ataque 0: Deautenticación
• Ataque 1: Falsa autenticación
• Ataque 2: Selección interactiva del paquete a enviar
• Ataque 3: Reinyección de una petición ARP (ARP-request)
• Ataque 4: Ataque chopchop
• Ataque 5: Ataque de Fragmentación
• Ataque 6: Ataque Cafe-latte
• Ataque 7: Ataque de fragmentación orientada al cliente
• Ataque 8: Modo de migración WPA
• Ataque 9: Prueba de inyección

Esta sección proporciona un repaso general de todos los ataques. No todas las opciones se aplican a todos los ataques. Mira los detalles de cada ataque para ver todos los parámetros que se pueden usar.

Usa:

 aireplay-ng <opciones> <interface>

Para todos los ataques, excepto el de deautenticación y el de falsa autenticación, puedes usar los siguientes filtros para limitar los paquetes que se usarán. El filtro más común es usar la opción “-b” para seleccionar un punto de acceso determinado.

Opciones de filtro:

• -b bssid : Dirección MAC del punto de acceso
• -d dmac : Dirección MAC de destino
• -s smac : Dirección MAC origen (source)
• -m len : Longitud mínima del paquete
• -n len : Longitud máxima del paquete
• -u type : frame control, type field
• -v subt : frame control, subtype field
• -t tods : frame control, To DS bit
• -f fromds : frame control, From DS bit
• -w iswep : frame control, WEP bit

Cuando reenviemos (inyectemos) paquetes, podremos utilizar las siguientes opciones. Recuerda que no todas las opciones se usan en cada ataque. La documentación específica de cada ataque tiene ejemplos con las opciones que se pueden usar.

Opciones de inyeción:

• -x nbpps : número de paquetes por segundo
• -p fctrl : fijar palabra “frame control” (hexadecimal)
• -a bssid : fijar dirección MAC del AP
• -c dmac : fijar dirección MAC de destino
• -h smac : fijar dirección MAC origen
• -e essid : ataque de falsa autenticación: nombre del AP
• -j : ataque arp-replay: inyectar paquetes FromDS
• -g valor : cambiar tamaño de buffer (default: 8)
• -k IP : fijar IP de destino en fragmentos
• -l IP : fijar IP de origen en fragmentos
• -o npckts : número de paquetes por burst (-1)
• -q sec : segundos entre paquetes “sigo aquí” o keep-alives (-1)
• -y prga : keystream para autenticación compartida (shared key)

Los ataques pueden obtener los paquetes para reenviarlos de dos orígenes distintos. El primero es un paquete capturado en el mismo momento por la tarjeta wireless. El segundo es de un archivo cap. El formato estandard cap o Pcap (“Packet CAPture”, está relacionado con la libreria libpcap y http://www.tcpdump.org), ess reconozido por la mayoría de los programas comerciales y open-source de captura de tráfico wireless. La capacidad de leer los archivos cap es una característica de aireplay-ng. Esto permite leer paquetes de otra sesión anterior o que se puedan generar archivos pcap para reenviarlos fácilmente.

Opciones de origen:

• -i iface : capturar paquetes con esa interface
• -r archivo : utilizar paquetes de ese archivo cap

Esta es la forma de especificar el modo de ataque que utilizará el programa. Dependiendo del modo, no todas las opciones descritas se pueden aplicar.

Modos de ataque (Los números también se pueden seguir usando como en versiones anteriores):

• - -deauth [número]: deautenticar 1 o todos los clientes (-0)
• - -fakeauth [nº repetición]: falsa autenticación con el AP (-1)
• - -interactive : selección interactiva del paquete a enviar (-2)
• - -arpreplay : estandard reinyección ARP-request (-3)
• - -chopchop : desencriptar paquete WEP/chopchop (-4)
• - -fragment : generar keystream válido (-5)

Aquí exponemos las diferencias entre los ataques de fragmentación y chopchop

Fragmentación

Ventajas

• Normalmente se obtiene un paquete entero de una longitud de 1500 bytes xor. Esto significa que podemos crear otro paquete de cualquier tamaño. Incluso en los casos que obtenemos un paquete de menos de 1500 bytes, será suficiente para crear “ARP requests”.
• Puede funcionar en situaciones en las que chopchop no lo hace.
• Es extremadamente rápido. Se obtiene el xor muy rápido cuando funciona.

Inconvenientes

• Se necesita más información para ejecutarlo, (por ejemplo, información acerca de la dirección IP). Aunque con frecuencia se puede adivinar. Y todavía mejor es que aireplay-ng asume que las IPs de origen y destino son 255.255.255.255 si no se especifica nada. De esta forma funcionará bien en la mayoría de los APs. Por lo tanto esto no es un inconveniente muy grande.
• Este ataque lo podremos ejecutar dependiendo de si los drivers de nuestra tarjeta lo soportan. Por ejemplo, hoy en dia, Atheros no genera el paquete correcto a menos que cambiemos la dirección MAC de nuestra tarjeta wireless a la misma mac que queremos utilizar.
• Se necesita estar físicamente cerca del punto de acceso porque si se pierde algún paquete fallará el ataque.
• El ataque fallará en los puntos de acceso que no manejan los paquetes fragmentados de forma adecuada.

Chopchop

Ventajas

• Puede funcionar en algunos casos en los que no lo hace el ataque de fragmentación.
• No se necesita conocer información acerca de ninguna IP.

Inconvenientes

• No se puede usar contra todos los puntos de acceso.
• El tamaño máximo del “xor” en bits está limitado por la longitud del paquete contra el que hagas el chopchop. Aunque en teoría se pueden obtener 1500 bytes del xor stream, en la práctica, raramente verás paquetes de 1500 bytes.
• Mucho más lento que el ataque de fragmentación

Esto se aplica a todos los modos de aireplay-ng.

Cerciorate de que no has creado varias VAPs. Porque puede haber problemas cuando se crea una nueva VAP en modo monitor y ya hay una VAP en modo managed.

Tienes que parar primero ath0 y reiniciar wifi0:

 airmon-ng stop ath0
 airmon-ng start wifi0

o

 wlanconfig ath0 destroy
 wlanconfig ath create wlandev wifi0 wlanmode monitor

También asegúrate de que:

• El driver de la tarjeta wireless está bien instalado y parcheado.
• La tarjeta wireless está en modo monitor.
• La tarjeta se encuentra en el mismo canal que el punto de acceso.
• Estás físicamente cerca del punto de acceso.
• Asegúrate de que estás usando una dirección MAC real. Mira esta discusión en inglés setting MAC address).
• Algunos puntos de acceso están programados para aceptar solamente conexiones de una dirección MAC específica. En este caso necesitas obtener una dirección MAC de un cliente legítimo utilizando airodump-ng y usar esa MAC. No hagas una falsa autenticación con una dirección MAC de un cliente activo en el AP. El filtrado MAC en un AP no influye para poder realizar ataques de deautenticación.
• El BSSID y ESSID (opciones -a / -e) son correctos.
• Si tu tarjeta es Prism2, asegúrate que tienes el firmware actualizado.
• Cerciorate de que tienes la última versión estable del programa. algunas opciones no están disponibles en versiones anteriores.
• No te olvides de mirar el GitHub para ver si tu “problema” es un bug conocido.