Versão: 1.15 de 26 de Março de 2009
Por: darkAudax
Tradução: Rubem A. Figueredo–LPI000204850-Bahia–Brasil-rafig38@gmail.com

Muitas vezes uma rede wireless não tem cliente conectado e não há requisições ARP vindo da lado cabeado. Este tutorial irá descrever como craquear chaves WEP quando não há clientes conectados e não há requisições ARP vindo do lado cabeado. Embora este tópico já tenha sido discutido muitas vezes no Forum, este tutorial tem a intenção de atender a este assunto com exemplos práticos.
Se as requisições ARP são sinais “broadcast” do lado cabeado, então o padrão de “fake autentication” (autenticação falsa) combinada com técnicas de repetição de requisições ARP podem ser usadas.

É recomendado que você faça experiências com sua própria rede wireless, usando seu ponto de acesso (AP), para se familiarizar com as ideias e técnicas. Se você não possuir um ponto de acesso particular, por favor, lembre-se de solicitar permissão do proprietário do AP para realizar seus testes.

Eu gostaria de agradecer ao time(grupo desenvolvedor) do Aircrack-ng pelos procedimentos e pela grande ferramenta que é o Aircrack-ng.

Por favor, nos envie comentários e criticas tanto positivas, quanto negativas para que possamos melhorar. Ideias de resolução de problemas e dicas são especialmente bem-vindas.

Primeiramente, esta solução assume:

• Que você está usando drivers corrigidos, para injeção. Use o teste de injeção para confirmar se sua placa de rede pode injetar pacotes;
• Que você está fisicamente e razoavelmente próximo para enviar e receber pacotes do ponto de acesso(AP) e para o cliente da rede wireless. Lembre-se que só porque você pode receber pacotes deles, não quer dizer que você poderá transmitir pacotes. O alcance da placa de rede wireless é tipicamente menor que a distancia de alcance do AP, este alcança uma distância bem maior. Logo você deverá está relativamente próximo para transmitir e receber pacotes entre o AP e o cliente wireless;
• Que existem pacotes de dadosw vindos do AP. Beacons e outros gerenciamento de pacotes são totalmente inúteis para nosso próposito neste tutorial. Uma maneira rápida de verificar é executando o airodump-ng e ver se existe alguns pacotes de dados identificados como pacotes do AP. Digo isto se houver dados capturados do AP de uma outra sessão, então estes dados poderão sr usados. Este é um tópico avançado e este tutorial não prover instruções detalhadas neste caso.
• Que o AP usa WEP “open authentication” (autenticação aberta). Não irá funcionar se a “Shared Key Authentication – SKA” ( Chave de Autenticação Compartilhada – CAC), estiver sendo usada. Com CAC, o único modo de obter sucesso com clinetes presentes é se você capturou dados “PRGA xor” com ataques de injeção de pacotes de conexão usando airodump-ng ou previamente atacando com aireplay-ng. Isto acontece por que você vai precisar do arquivo “PRGA xor” para fazer a autenticação falsa acontecer com sucesso.
• Que você usa o endereço MAC nativo de sua placa wirelesse em todos os passos e não troque este. Não troque nenhum outro endereço MAC, bem como o endereço MAC de origem dos pacotes. Senão, alguns comando não serão executados corretamente. Veja a seção Usando um outro endereço MAC de Origem, no final deste tutorial;
• Que você está usando a versão v0.9.1 ou maior do aircrack-ng. Se você usa uma versão diferente então algumas opções dos comandos podem ser diferentes.

Certifique-se de que todas as convenções acima são verdadeiras, senão as instruções seguintes não funcionarão. Nos exemplos abaixo você irá precisar trocar “ath0” pelo nome da interface que está especificada para sua placa de rede wireless.

Neste tutorial será usado:

• Endereço MAC da placa de rede onde estará rodando o conjunto de ferramentas do aircrack-ng: 00:09:5B:EC:EE:F2;
• Endereço MAC do AP(Access Point), também chamado BSSID: 00:14:6C:7E:40:80;
• Nome da rede wireless, também chamado ESSID: teddy;
• Canal do ponto de acesso: 9
• Interface wireless: ath0

Você deverá presumir que as informações equivalentes para a rede a qual você estará trabalhando estão ativas. Então somente troque o valor nos exemplos abaixo para uma rede específica.

Visão geral da solução

1. Ajuste e certifique-se de que o endereço MAC de sua placa de rede wireless está correto, segundo as informações contidas acima, na seção Equipamentos Usados;
2. Inicializar a interface wireless em modo monitor no canal especifico do AP;
3. Usar o aireplay-ng para fazer uma autenticação falsa com o AP;
4. Usar o aireplay-ng para realizar um ataque chopchop ou de fragmentação para obter os pacotes PRGA;
5. Usar o packetforge-ng para criar um pacote arp usando os pacotes PRGA para obtidos no passo anterior;
6. Iniciar o airodump-ng em um canal do AP com filtro para bssid para coletar os IV s unicos;
7. Injetar pacotes arp criados no passo 5;
8. Rodar o aircrack-ng para craquear a chave usando os IV s coletados.

Para ser honesto, não iremos trocar o endereço MAC da placa de rede wireless.
Este é apenas um lembrete para usar o endereço MAC de sua placa de rede como o MAC de origem dos pacotes. I menciono isto explicitamente no passo 3 para lembrar de usar o seu endereço MAC atual de sua placa de rede wireless ( Passo 3 – Autenticação falsa), se você estiver reenviando dados de uma outra sessão. Detalhes e instruções podem ser encontradas no FAQ: Como trocar o endereço MAC de minha placa de rede Wireless?.
O proposito deste passo é colocar a sua placa de rede wireless no que chamamos de modo monitor. O modo monitor é o modo pelo qual a sua placa wireless pode escutar todos os pacotes que passam pelo ar. Normalmente sua placa wireless desejará somente “ouvir” pacotes endereçados para você. Escutando todos os pacotes, nós poderemos mais tarde capturar o modo “handshack”(como se fosse um “aperto de mãos”). Bem, isto nos permitirá opcionalmente desautenticar um cliente wireless (alguém conectado) em um passo mais tarde.

O procedimento exato para habilitar o modo monitor varia dependendo do driver que você está usando. Para determinar o driver (e o procedimento correto para seguir), execute o seguinte comando:

# airmon-ng

Em uma máquina com placas wireless Ralink, Atheros e uma Broadcom instalada, o sistema responde:

interface	Chipset		Driver

rausb0		Ralink RT73	rt73
wlan0		Broadcom	b43 – [phy0]
wifi0		Atheros		madwifi-ng
ath0		Atheros		madwifi-ng VAP  (parent: wifi0) 

A presença da tag [phy0] no final do nome do driver é um indicador para o driver mac80211. Então a placa de rede wireless está usando o driver mac80211. Note que o driver mac80211 é suportado somente a partir da versão v1.0-rc1 e não funcionará com a versão v.0.9.1.
Ambas entradas das placas wireless Atheros mostram o driver denominado “madwifi-ng”. Siga os passos para montar a placa wireless Atheros com as informações contidas em madwifi-ng-specific (o qual deve ser um arquivo que vem junto com o driver).
Finalmente, a placa de rede wireless Ralink não mostra nenhum destes indicadores. Esta usa o driver ieee80211.
Veja as instruções genéricas para montá-la.

Entre com o comando abaixo para inicializar a placa de rede wireless no canal 9 em modo monitor:

# airmon-ng start wifi0 9

Obs.: Neste comando nós usamos wifi0 ao invés de nossa interface wireless ath0. Isto porque o driver madwifi-ng está usando wifi0. Para outros drivers, use o nome da interface atual.

 Interface     Chipset     Driver

 wifi0         Atheros     madwifi-ng
 ath0          Atheros     madwifi-ng VAP (parent:wifi0) (monitor mode enable)

Você pode notar acima que “ath0” está sendo mostrado que está no modo monitor.
Para confirmar de que a interface está apropriadamente ajustada, entre com o comando “iwconfig”.

 lo        no wireless extensions.
 
 eth0      no wireless extensions.
 
 wifi0     no wireless extensions.
 
 ath0      IEEE 802.11g  ESSID:""  Nickname:""
           Mode:Monitor  Frequency:2.452 GHz  Access Point: 00:09:5B:EC:EE:F2   
           Bit Rate:0 kb/s   Tx-Power:15 dBm   Sensitivity=0/3  
           Retry:off   RTS thr:off   Fragment thr:off
           Encryption key:off
           Power Management:off
           Link Quality=0/94  Signal level=-98 dBm  Noise level=-98 dBm
           Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
           Tx excessive retries:0  Invalid misc:0   Missed beacon:0
           
           

Na resposta acima você pode ver que “ath0” está no modo monitor, com frequência de 2.452GHz que é o canal 9. O parâmetro “Access Point” mostra o endereço MAC da placa wireless. Somente o driver “madwifi-ng” mostra o endereço MAC da placa de rede wireless como parâmetro do campo AP, outros drivers não. Então, tudo está OK. É importante confirmar todas estas informações, as quais são prioritárias para o procedimento, senão os passos seguintes não poderão funcionar (serem executados) apropriadamente.
Para escolher a frequência do canal dê uma olhada na Tabela 1 no final deste tutorial.

• Se uma outra interface for levantada, diferente de ath0 ( ou diferente da interface que você estiver usando) então pare cada uma delas usando “airmon-ng stop athX” onde X é cada é a numeração para cada interface que você quer parar.
• Em drivers baseados no drivers mac80211 o sistema irá responder conforme abaixo:
  
  Interface Chipset Driver
  wlan0 Broadcom 43xx b43 – [phy0]

Para tal interface, use o nome da interface após “modo monitor habilitado em (aqui mon0)” para demais comando, ao invés de sua interface de rede atual.

Este é um passo muito importante.
Para fazer um AP aceitar pacotes, o endereço MAC de origem deverá já está associado. Se o endereço MAC de origem que você estiver injetando não está associado então o AP ignorará os pacotes e sairá com um pacote “DeAuthentication”. Nesta condição não haverá novos pacotes IV s criados por que o AP estará ignorando todos os pacote injetados.
A falta de associação com o AP é a simples e grande razão por que a injeção de pacotes falhou. Para associar com o AP usando uma autenticação falsa, faça conforma abaixo, digitando na linha de comando de seu console:

# aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Onde:

• 1 -1 quer dizer autenticação falsa;
• 2 0 quer dizer reassociação em segundos;
• 3 -e teddy é o nome da rede wireless;
• 4 -a 00:14:6C:7E:40:80 é o endereço MAC do AP;
• 5 -h 00:09:5B:EC:EE:F2 é o MAC de nossa placa de rede wireless;
• 6 ath0 é o nome de nossa interface de rede.

Uma associação bem sucedida se parecerá conforme abaixo:

18:18:20 Sending Authentication Request
18:18:20 Authentication successful
18:18:20 Sending Association Request
18:18:20 Association successful

Ou uma outra variação:

#aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Onde:

1. 6000 - Reautentica a cada 6000 secondos. O longo periodo também mantem o pacote ativo para ser enviado;
2. -o 1 - Envia somente um conjunto de pacotes de cada vez. O padrão são multiplos pacotes porém isto confunde alguns AP.
3. -q 10 – Envia pacotes ativos a cada 10 secondos.

Uma associação bem sucedida se parecerá conforme abaixo:

18:22:32 Sending Authentication Request
18:22:32 Authentication successful
18:22:32 Sending Association Request
18:22:32 Association successful
18:22:42 Sending keep-alive packet
18:22:52 Sending keep-alive packet
# and so on.
Here is an example of what a failed authentication looks like:
8:28:02 Sending Authentication Request
18:28:02 Authentication successful
18:28:02 Sending Association Request
18:28:02 Association successful
18:28:02 Got a deauthentication packet!
18:28:05 Sending Authentication Request
18:28:05 Authentication successful
18:28:05 Sending Association Request
18:28:10 Sending Authentication Request
18:28:10 Authentication successful
18:28:10 Sending Association Request


Note a frase “Got a deauthentication packet” e a continua tentativa acima. No prociga para os proximos passos até você ter uma autenticação falsa corretamente sendo executada.

AINDA EM EDIÇÃO !!

                                          Tabela 1 
                             Wireless Frequencies and Channels
 ________________________________________________________________________________________
    Frequency           Channel Number                  Frequency        Channel Number
    2.412 GHz                1                          2.484 GHz             14 
    2.417 GHz                2                          5.180 GHz             36 
    2.422 GHz                3                          5.200 GHz             40 
    2.427 GHz                4                          5.220 GHz             44 
    2.432 GHz                5                          5.240 GHz             48 
    2.437 GHz                6                          5.260 GHz             52 
    2.442 GHz                7                          5.280 GHz             56 
    2.447 GHz                8                          5.300 GHz             60 
    2.452 GHz                9                          5.320 GHz             64 
    2.457 GHz                10                         5.745 GHz             149 
    2.462 GHz                11                         5.765 GHz             153 
    2.467 GHz                12                         5.785 GHz             157 
    2.472 GHz                13                         5.805 GHz             161 
 ________________________________________________________________________________________