Airodump-ng

Airodump-ng

Descripción

Airodump-ng se usa para capturar paquetes wireless 802.11 y es útil para ir acumulando vectores de inicialización IVs con el fin de intentar usarlos con aircrack-ng y obtener la clave WEP. Si tienes un receptor GPS conectado al ordenador, airodump-ng es capaz de mostrar las coordenadas de los puntos de acceso que vaya encontrando.
Uso
Antes de ejecutar airodump-ng, tienes que mirar con el script airmon-ng la lista de tus interfaces wireless detectadas. Es posible, pero no recomendable, ejecutar Kismet y airodump-ng al mismo tiempo.
uso: airodump-ng [,,...]

Opciones:
--ivs : Graba únicamente los IVs capturados
--gpsd : Usa GPSd
--w : Nombre del archivo donde guardar las capturas
-write : Lo mismo que --w
--beacons : Guardar todas las balizas o beacons en el archivo
--netmask : Filtrar APs por máscara
--bssid : Filtrar APs por BSSID

Por defecto, airodump-ng va saltando alrededor de los canales 2.4Ghz.
Puedes capturar en un canal específico usando:
--channel : Capturar en un canal específico
--band : Banda en la que actuará airodump-ng
--cswitch : Saltar de canal con este método:
0 : FIFO (opción por defecto)
1 : Round Robin
2 : Saltar al último
-s : Lo mismo que --cswitch
Puedes convertir archivos .cap / .dump a formato .ivs o juntarlos.
Pistas de uso
¿Cual es el significado de los datos mostrados por airodump-ng?
airodump-ng nos mostrará una lista de los puntos de acceso detectados, y también una lista de los clientes conectados (“stations”). Como ejemplo puedes ver la siguiente captura de pantalla:
CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR
00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear

BSSID STATION PWR Lost Packets Probes

00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14
(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy
00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5
Field
Descripción
BSSID
Dirección MAC del punto de acceso.
PWR
Nivel de señal. Su significado depende del driver que usemos, pero cuanto mayor sea el PWR más cerca estaremos del AP o del cliente. Si el PWR es -1, significa que el driver no soporta la detección del nivel de señal. Si el PWR es -1 para algunos clientes (stations) es porque los paquetes proceden del AP hacia el cliente pero las transmisiones del cliente se encuentran fuera del rango de cobertura de tu tarjeta. Lo que significa que solo escuchas la mitad de la comunicación. Si todos los clientes tienen PWR -1 significa que el driver no tiene la cpacidad de detectar el nivel de señal.
RXQ
Calidad de recepción calculada a través del porcentaje de paquetes (management y paquetes de datos) recividos correctamente en los últimos 10 segundos. Mira la nota para una explicación más detallada.
Beacons
Número de “paquetes anucio” o beacons enviadas por el AP. Cada punto de acceso envia alrededor de diez beacons por segundo cuando el rate o velocidad es de 1M, (la más baja) de tal forma que se pueden recibir desde muy lejos.
# Data
Número de paquetes de datos capturados (si tiene clave WEP, equivale tambien al número de IVs), incluyendo paquetes de datos broadcast (dirigidos a todos los clientes).
#/s
Número de paquetes de datos capturados por segundo calculando la media de los últimos 10 segundos.
CH
Número de canal (obtenido de los “paquetes anuncio” o beacons).Nota: Algunas veces se capturan paquetes de otros canales, incluso si airodump-ng no está saltando de canal en canal, debido a interferencias o solapamientos en la señal.
MB
Velocidad máxima soportada por el AP. Si MB = 11, es 802.11b, si MB = 22es 802.11b+ y velocidades mayores son 802.11g. El punto (despues del 54) indica que esa red soporta un preámbulo corto o “short preamble”.
ENC
Algoritmo de encriptación que se usa. OPN = no existe encriptación (abierta),”WEP?” = WEP u otra (no se han capturado suficientes paquetes de datos para saber si es WEP o WPA/WPA2), WEP (sin el interrogante) indica WEP estática o dinámica, y WPA o WPA2 en el caso de que se use TKIP o CCMP.
CIPHER
Detector cipher. Puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104.
AUTH
El protocolo de autenticación usado. Puede ser MGT, PSK (clave precompartida), o OPN (abierta).
ESSID
Tambien llamado “SSID”, que puede estar en blanco si la ocultación del SSID está activada en el AP. En este caso, airodump-ng intentará averiguar el SSID analizando paquetes “probe responses” y “association requests” (son paquetes enviados desde un cliente al AP).
STATION
Dirección MAC de cada cliente asociado. En la captura de pantalla, vemos que se han detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).
Lost
El número de paquetes perdidos en los últimos 10 segundos.
Packets
El número de paquetes de datos enviados por el cliente.
Probes
Los ESSIDs a los cuales ha intentado conectarse el cliente.
NOTAS:
RXQ: Se calcula a partir de los paquetes de datos y management. Supongamos que tienes 100% de RXQ y recibes 10 (o cualquier otra cantidad) beacons por segundo. Ahora de repente el RXQ baja a 90, pero todavía capturas las mismas beacons. Esto significa que el AP está enviando paquetes a un cliente pero no puedes escuchar o capturar los paquetes que salen del cliente hacia el AP (necesitas acercarte más al cliente). Otra situación puede ser, que tengas una tarjeta de 11MB (por ejemplo una prism2.5) y estes cerca del AP. Pero el AP está configurado en modo únicamente de 54MBit y tambien el RXQ disminuye, en este caso sabrás que hay conectado al menos un cliente a 54MBit.
Problemas de uso
airodump-ng cambia entre WEP y WPA
Esto ocurre porque tu driver no descarta los paquetes corruptos (que tienen un CRC inválido). Si es una ipw2100 (Centrino b), no tiene solución; por lo que deberías comprar una tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware. En la sección de tutorials tienes un manual en castellano de como actualizar el firmware Prism.
airodump-ng no muestra ningún dato
Con el driver madwifi-ng asegúrate de que no hay otras VAPs activas. Hay problemas cuando se crea una nueva VAP en modo monitor y ya había otra VAP en modo managed.
Tienes que parar primero ath0 y despues iniciar wifi0:
airmon-ng stop ath0
airmon-ng start wifi0
o
wlanconfig ath0 destroy
wlanconfig ath create wlandev wifi0 wlanmode monitor

Airmon-ng

Airmon-ng

Descripción

Este script puede usarse para activar el modo monitor de las tarjetas wireless. Tambien puede usarse para parar las interfaces y salir del modo monitor. Si escribimos el comando airmon-ng sin parámetros veremos el estado de nuestras tarjetas.
Uso
usa: airmon-ng [canal]
Donde:
indica si deseas iniciar o parar el modo monitor.(obligatorio)
el nombre de la interface. (obligatorio)
[channel] opcionalmente se puede especificar un número de canal.
Ejemplos de uso
Usos típicos
Para iniciar wlan0 en modo monitor: airmon-ng start wlan0
Para iniciar wlan0 en modo monitor en el canal 8: airmon-ng start wlan0 8
Para parar wlan0: airmon-ng stop wlan0
Para ver el estado: airmon-ng
Modo monitor de driver Madwifi-ng
Describimos como poner la interface en modo monitor. Despues de encender tu ordenador, escribe en una consola el comando “iwconfig” para ver el estado actual de tus tarjetas wireless. Verás algo similar a la siguiente salida:
lo no wireless extensions.

eth0 no wireless extensions.

wifi0 no wireless extensions.

ath0 IEEE 802.11b ESSID:"" Nickname:""
Mode:Managed Channel:0 Access Point: Not-Associated
Bit Rate:0 kb/s Tx-Power:0 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Si quieres usar la interface ath0 (que ya está siendo usada en modo managed):
airmon-ng stop ath0
Y el sistema responderá:
Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP destroyed)
Ahora, si escribes “iwconfig”:
lo no wireless extensions.

eth0 no wireless extensions.

wifi0 no wireless extensions.
Puedes ver que ya no existe ath0.
Para iniciar ath0 en modo monitor: airmon-ng start wifi0
Y el sistema responderá:
Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)
Y si ahora escribimos “iwconfig”
lo no wireless extensions.

eth0 no wireless extensions.

wifi0 no wireless extensions.

ath0 IEEE 802.11g ESSID:"" Nickname:""
Mode:Monitor Frequency:2.457 GHz Access Point: Not-Associated
Bit Rate:0 kb/s Tx-Power:15 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-98 dBm Noise level=-98 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Observamos que ath0 está en modo monitor.
Si ath1/ath2 etc. están funcionando en modo managed, tienes que pararlas primero con la opción stop, por ejemplo:
airmon-ng stop ath1
Y despues recuerda que puedes indicar el número del canal añadiéndolo al final del comando: airmon-ng start wifi0 9
Recomendaciones de uso
Para confirmar que la tarjeta está en modo monitor, escribe “iwconfig”. Así verás el nombre de la interface y si está activado el modo “monitor”.
Para el driver madwifi-ng, la información del punto de acceso que muestra iwconfig es la dirección MAC de la tarjeta wireless.
Si quieres capturar paquetes de un punto de acceso concreto, el canal actual de la tarjeta debe ser el mismo que el del AP. En este caso, es una buena idea incluir el número de canal cuando ejecutes el comando airmon-ng.
Problemas de uso
Por ahora ninguno.

tutorial Aireplay-ng

Descripción
Aireplay-ng se usa para inyectar paquetes.
Su función principal es generar tráfico para usarlo más tarde con aircrack-ng y poder crackear claves WEP y WPA-PSK. Hay varios ataques diferentes que se pueden utilizar para hacer deautenticaciones con el objetivo de capturar un handshake WPA, para realizar una falsa autenticación, un reenvio interactivo de un paquete, o una reinyección automática de un ARP-request. Con el programa packetforge-ng es posible crear paquetes “ARP request” de forma arbitraria. La mayoría de los drivers tienen que estar parcheados para ser capaces de inyectar, no te olvides de leer Installing drivers.
Uso de los ataques
Actualmente se pueden realizar cinco ataques diferentes:
Ataque 0: Deautenticación
Ataque 1: Falsa autenticación
Ataque 2: Selección interactiva del paquete a enviar
Ataque 3: Reinyección de una petición ARP (ARP-request)
Ataque 4: Ataque chopchop
Ataque 5: Ataque de Fragmentación
Uso
Esta sección proporciona un repaso general de todos los ataques. No todas las opciones se aplican a todos los ataques. Mira los detalles de cada ataque para ver todos los parámetros que se pueden usar.
Usa:
aireplay-ng
Para todos los ataques, excepto el de deautenticación y el de falsa autenticación, puedes usar los siguientes filtros para limitar los paquetes que se usarán. El filtro más común es usar la opción ”-b” para seleccionar un punto de acceso determinado.
Opciones de filtro:
-b bssid : Dirección MAC del punto de acceso
-d dmac : Dirección MAC de destino
-s smac : Dirección MAC origen (source)
-m len : Longitud mínima del paquete
-n len : Longitud máxima del paquete
-u type : frame control, type field
-v subt : frame control, subtype field
-t tods : frame control, To DS bit
-f fromds : frame control, From DS bit
-w iswep : frame control, WEP bit
Cuando reenviemos (inyectemos) paquetes, podremos utilizar las siguientes opciones. Recuerda que no todas las opciones se usan en cada ataque. La documentación específica de cada ataque tiene ejemplos con las opciones que se pueden usar.
Opciones de inyeción:
-x nbpps : número de paquetes por segundo
-p fctrl : fijar palabra “frame control” (hexadecimal)
-a bssid : fijar dirección MAC del AP
-c dmac : fijar dirección MAC de destino
-h smac : fijar dirección MAC origen
-e essid : ataque de falsa autenticación: nombre del AP
-j : ataque arp-replay: inyectar paquetes FromDS
-g valor : cambiar tamaño de buffer (default: 8)
-k IP : fijar IP de destino en fragmentos
-l IP : fijar IP de origen en fragmentos
-o npckts : número de paquetes por burst (-1)
-q sec : segundos entre paquetes “sigo aquí” o keep-alives (-1)
-y prga : keystream para autenticación compartida (shared key)
Los ataques pueden obtener los paquetes para reenviarlos de dos orígenes distintos. El primero es un paquete capturado en el mismo momento por la tarjeta wireless. El segundo es de un archivo cap. El formato estandard cap o Pcap (“Packet CAPture”, está relacionado con la libreria libpcap y http://www.tcpdump.org), ess reconozido por la mayoría de los programas comerciales y open-source de captura de tráfico wireless. La capacidad de leer los archivos cap es una característica de aireplay-ng. Esto permite leer paquetes de otra sesión anterior o que se puedan generar archivos pcap para reenviarlos fácilmente.
Opciones de origen:
-i iface : capturar paquetes con esa interface
-r archivo : utilizar paquetes de ese archivo cap
Esta es la forma de especificar el modo de ataque que utilizará el programa. Dependiendo del modo, no todas las opciones descritas se pueden aplicar.
Modos de ataque (Los números también se pueden seguir usando como en versiones anteriores):
- -deauth [número]: deautenticar 1 o todos los clientes (-0)
- -fakeauth [nº repetición]: falsa autenticación con el AP (-1)
- -interactive : selección interactiva del paquete a enviar (-2)
- -arpreplay : estandard reinyección ARP-request (-3)
- -chopchop : desencriptar paquete WEP/chopchop (-4)
- -fragment : generar keystream válido (-5)
Ataque de Fragmentación vs. Chopchop
Aquí exponemos las diferencias entre los ataques de fragmentación y chopchop
FragmentaciónVentajas
Normalmente se obtiene un paquete entero de una longitud de 1500 bytes xor. Esto significa que podemos crear otro paquete de cualquier tamaño. Incluso en los casos que obtenemos un paquete de menos de 1500 bytes, será suficiente para crear “ARP requests”.
Puede funcionar en situaciones en las que chopchop no lo hace.
Es extremadamente rápido. Se obtiene el xor muy rápido cuando funciona.
Inconvenientes
Se necesita más información para ejecutarlo, (por ejemplo, información acerca de la dirección IP). Aunque con frecuencia se puede adivinar. Y todavía mejor es que aireplay-ng asume que las IPs de origen y destino son 255.255.255.255 si no se especifica nada. De esta forma funcionará bien en la mayoría de los APs. Por lo tanto esto no es un inconveniente muy grande.
Este ataque lo podremos ejecutar dependiendo de si los drivers de nuestra tarjeta lo soportan. Por ejemplo, hoy en dia, Atheros no genera el paquete correcto a menos que cambiemos la dirección MAC de nuestra tarjeta wireless a la misma mac que queremos utilizar.
Se necesita estar físicamente cerca del punto de acceso porque si se pierde algún paquete fallará el ataque.
El ataque fallará en los puntos de acceso que no manejan los paquetes fragmentados de forma adecuada.
ChopchopVentajas
Puede funcionar en algunos casos en los que no lo hace el ataque de fragmentación.
No se necesita conocer información acerca de ninguna IP.
Inconvenientes
No se puede usar contra todos los puntos de acceso.
El tamaño máximo del “xor” en bits está limitado por la longitud del paquete contra el que hagas el chopchop. Aunque en teoría se pueden obtener 1500 bytes del xor stream, en la práctica, raramente verás paquetes de 1500 bytes.
Mucho más lento que el ataque de fragmentación
Problemas de uso
Esto se aplica a todos los modos de aireplay-ng.
Con madwifi-ng, asegúrate de que no hay otras VAPs
Cerciorate de que no has creado varias VAPs. Porque puede haber problemas cuando se crea una nueva VAP en modo monitor y ya hay una VAP en modo managed.
Tienes que parar primero ath0 y reiniciar wifi0:
airmon-ng stop ath0
airmon-ng start wifi0
o
wlanconfig ath0 destroy
wlanconfig ath create wlandev wifi0 wlanmode monitor
General
También asegúrate de que:
El driver de la tarjeta wireless está bien instalado y parcheado.
La tarjeta wireless está en modo monitor.
La tarjeta se encuentra en el mismo canal que el punto de acceso.
Estás físicamente cerca del punto de acceso.
Asegúrate de que estás usando una dirección MAC real. Mira esta discusión en inglés setting MAC address).
Algunos puntos de acceso están programados para aceptar solamente conexiones de una dirección MAC específica. En este caso necesitas obtener una dirección MAC de un cliente legítimo utilizando airodump-ng y usar esa MAC. No hagas una falsa autenticación con una dirección MAC de un cliente activo en el AP. El filtrado MAC en un AP no influye para poder realizar ataques de deautenticación.
El BSSID y ESSID (opciones -a / -e) son correctos.
Si tu tarjeta es Prism2, asegúrate que tienes el firmware actualizado.
Cerciorate de que tienes la última versión estable del programa. algunas opciones no están disponibles en versiones anteriores.
No te olvides de mirar el Trac System para ver si tu “problema” es un bug conocido.

luis miguel martinez