无线网络攻防实战:WEP密钥如何被攻破的(图)

　　当使用一个deauth attack过程强制产生通信时，它通常不能够产生我们所需要的足够数量的IV值，不过Airodump比较适合于干

　　把由void11的deauth attack产生的数据包捕获下来后，停止这个deauth attack过程，然后使用这些捕获下来的数据包开始一个replay attack过程。我们在破解过程中所要捕获的数据包最好选择是ARP包，因为它们都很小(68字节长)，并有固定和容易被侦测的格式。把Attack和Sniff这两台机器都重新启动， Attack计算机只运行aireplay，它仅仅是用来促使网络中产生数据流量(和IV)以缩短破解WEP密钥所使用的时间，Sniff计算机的用途不是来运行deauth attack(通过Void11)，就是用来捕获通信流量(通过Airodump)，并最后使用Aircrack工具来对被捕获到的数据进行破解。

　　先启动Aireplay，在Attack计算机上，打开一个shell窗口并输入以下命令(如下图二十所示):

　　注意:switch-to-wlanng和monitor.wlan是来自于Auditor CD，为简化操作和减少输入的脚本命令。 把THECHANNELNUM更改为目标WLAN的频道数。来看看这个操作命令会有什么结果产生，首先，没有什么太令人激动的事发生，会看到Aireplay报告已捕获到了某些类型的数据包，不过由于这些数据包基本上不是我们所需要的(目标MAC地址为FF:FF:FF:FF:FF:FF的68字节的包)。

图二十:启动Aireplay

　　现在来操作Target计算机并打开它的无线实用程序，监视它的网络连接状态，然后在Sniff计算机上启动一个void11的deauth attack，一旦开始启动void11，这时可看到Targets计算机已从目标AP上断开了，当然，Aireplay显示的数据包速率增加得更快了。

　　Aireplay捕获了相关的数据包后会并询问是否与你所希望得到的相匹配，在本次破解中，我们需要捕获的数据包具有以下特征:

　　FromDS - 0

　　ToDS - 1

　　BSSID – 目标AP的MAC地址

　　Source MAC – 目标计算机的MAC地址

　　Destination MAC - FF:FF:FF:FF:FF:FF

　　如果数据包并不与这些条件相匹配，输入n(表示no)，Aireplay会重新再捕获，当aireplay成功地找到与以上条件相匹配的数据包后，回答y(表示yes)，Aireplay会从捕获转换到replay模式并开始启动replay攻击。这时立即返回到Sniff计算机上停止void11的deauth attack。如图二十一所示。

图二十一:Void11捕获到了相匹配的数据包

　　如果Aireplay在几千个数据包中并没有捕获到相应的数据包包，则可使用Void11来助力，Void11能够干扰目标AP和它的客户端不，给它们任何机会去完成重新连接。手动停止void11(按Ctrl+C键)然后重新启动它，添加“d”参数到void11的命令行中(延迟的值是微秒)，尝试用不同的值去允许AP与客户端重新连接的时间。

　　如果目标客户端处于空闲状态，通过deauth攻击来捕获ARP包可能是比较困难的，这在一个真实环境的WLAN中可能不会发生，但在这个实验的WLAN下环境中则成了一个问题。如果Aireplay没有捕获到你所需要的数据包破解不能进行下去，则可在开始deauth attack之前你需要到目标客户端计算机上运行一个连续不断的ping或开始一个下载任务。如果Void11完全不能正常工作，可Attack计算机上保持运行aireplay，在Sniff计算机上关闭void11，操作Target计算机并手动断开无线网络连接，再重新连接，在三十秒内，当它重新连接到WLAN并请求获取一个IP地址时，在Attack计算机上的Aireplay能够看到由目标计算机发出的ARP包。

5、最后的破解的时刻

　　经过一段时间的运行，在Attack计算机上运行的replay attack产生了足够多的IV，现在是做真实的WEP破解的最终时刻到了，在Sniff计算机

　　把THECHANNELNUM替换成目标WLAN的频道数，如果在这个区域内有多个WAP，把目标AP的MAC地址添加到airodump的尾部作为参数，如:airodump wlan0 cap1 MACADDRESSOFAP。随着Airodump把IV写进一个文件中，我们可同时运行Aircrack来寻找包含在这个文件中的这个WEP密钥，让Airodump继续运行，打开另外一个shell窗口，在这个新的命令窗口中输入如下的命令来启动Aircrack。

　　注意:FUDGEFACTOR 在一个整数(默认值为2)，MACADDRESSOFAP是目标AP的MAC地址。WEPKEYLENGTH 是你尝试破解的WEP密钥的长度(64, 128等等)。如下图二十二所示。

图二十二:Aircrack命令的格式

　　Aircrack将从捕获下来生成的数据包文件中读入IV值，并依靠这些IV值上完成WEP密钥的破解，Aircrack默认的是使用一个速度比较慢的模式来寻找WEP密钥，不过这种模式速度虽慢，但它找到WEP密钥的机会很高;还有一种模式就是使用-f参数，这个则速度相当快，不过成功的机会比前一个小得多。如果运气好的话，你会看到WEP密钥被成功地找到啦。如下图二十三所示。

图二十三:成功破解WEP密钥

　　要破解一个64bit的WEP在需要5分钟时间，由同时运行于replay attack的几个操作的时间组成的:用airodump扫描、用aircrack破解和用aireplay产生网络通信流量，不过这里有许多幸运的地方，有时破解一个64bit的WEP的密钥要收集25000个左右的IV，则它花费的时间就更长了。必须把这个你尝试恢复的WEP密钥的长度输入到Aircrack中，这个长度没有哪一个工具能提供，对你自己的实验环境的WLAN当然能够知道这个信息，但在别的你一无所知的网络环境中则可以使用64或128这两个密钥长度去尝试。

　　使用配置更好的机器能够有助于加快破解的过程，把捕获下来生成的数据包文件拷贝到另外有更大内存和更快处理器的机器上去完成最后的破解动作不失为一个好的办法，在这台机器上就只要运行Aircrack这个工具了，并且aircrack能够使用-p选项来支持多处理器，使用AMD和Intel的新双处理器设备能使破解过程更快。对于128bit长的密钥来说更是要如此了。