Делается все на одной машине. В принципе лом возможен на любой системе, но от железа и софта будет зависеть качество и вообще возможность сего действа. Потребуется ПРАВИЛЬНАЯ вай-фай карточка, которая может входить в режим мониторинга. Наибольшей популярностью у определенной прослойки людей пользуются карты на чипе Atheros, т.к. для них есть ПРАВИЛЬНЫЕ дрова, они тонки в настройке и они прекрасно поддерживаются большинством проектов.
Суть взлома WiFi сети лежит в перехвате нужных пакетов и последующий их брут. В случае с wep требуется большое количество data-пакетов, в случае с wpa/aes - захват процедуры аутентификации валидного пользователя.
Способ номер раз: Взлом на машине с WinXP/Vista+Commview for WiFi+aircrack.
Для перехвата беспроводного трафика нам потребуется пакетный сниффер. В случае с Вынь наилучшим выбором будет комерческий сниффер Commview for WiFi (далее просто Commview). Качаем, ставим. При установке предложит пропатчить дрова, соглашаемся и идем в ребут. -- Не забудьте посмотреть список поддерживаемых адаптеров. -- Для брута дампа трафика нам нужен брутфорсер. На сегодняшний день лучшим является aircrack из пакета aircrack-ng, также доступен порт этого пакета под винды (распространяется свободно в скомпилированном виде, есть версия с GUI-ом). Качаем, распаковываем. В строке меню Commview жмем настройки и снимаем галки с захвата всех пакетов кроме data, beacon-пакеты ставим в игнор. Дальше жмем гаячный ключ и ставим галки, главное поставить галку напротив "ингорировать поврежденные пакеты". Предварительные приготовления готовы.
---У объекта---
Для начала можно подменить свой уникальный mac-адрес (Media Access Control). Идем в диспетчер устройств открываем свойства нашего адаптера (двойной левый щелчек), после установки драйвера Commview он будет называться Commview Atheros AR5005G к примеру. Во вкладке "дополнительно" Ищем "сетевой адрес" ставим флажок напротив пустого поля и вводим мак в формате 112233445566 (БЕЗ ТОЧЕК), жмем Ок. Проверить сменился ли мак можно в команодной строке командой
ipconfig /all
Находим свой адаптер и проверяем мак-адрес. Включаем ноут если кто забыл. Пускаем Commview. Он поставит нашу карту в режим монитора, это отчетливо видно по отключеной вай-фай карте в диспетчере устройств. Нажимаем кнопку "Захват", "Начать сканирование". Выбираем интересуюшую нас точку и жмем "захват". Карта повиснет на выбранном канале и будет перехватывать все пролетающие мимо пакеты.
Если включено WPA/WPA2 шифрование, то прийдется посидеть в засаде, пока какой-нибудь клиент не подключится к точке. После перехвата процедуры аутентификации или рукопожатия (WPA handshake) перехват можно остановить. Успех расшифровки будет зависеть от толщины словаря.
Если на точке включено WEP шифрование, то прийдется подождать. Время ожидания зависит от нагруженности сети. Так уж получилось, что под ХРеновой осью невозможно производить атаки на клиентов. Для взлома 40-битного слабого ключа потребуется порядка 40-50 тысяч data-пакетов, для 104-битного слабого ключа - порядка 100-120 тысяч.
После сбора пакетов можно приступать к расшифровке, но сперва в Commview нажимаем Ctrl+L, "файл", "открыть" и выбираем все файлики из директории в которую у нас сохранялся перехваченый трафик. Жмем "файл", "экспорт", "TCP dump". Трафик сохранится в удобопотребляемом aircrack'ом формате. Если у вас версия с GUI, думаю нет смысла объяснять, если без - в консоли пишем
aircrack.exe -i 1 -P 2 путь/к/дампу/файл.cap для wep
aircrack.exe -i 2 -w путь/к/словарю.lst путь/к/дампу/wpa-рукопожатия.cap для wpa
В любом случае читаем хелп.
aircrack.exe -h
Основные параметры -i (метод атаки 1-wep, 2-wpa), -P (метод атаки wep, 2 - PTW-Attack, более быстрый метод;) ), -w (для указания файла словаря паролей).
Если твоя машина подходит для установки Linux, можно воспользоваться Live-дистрибутивом Back Track (распространяется свободно). Кстати, автор будет совсем непротив если ты кинешь ему пару баксов если диск тебе понравится :). На данный момент доступна версия Back Track 3. Особенность этого дистрибутива в том, что ось грузится с диска, жесткий диск остается в неприкосновенности, а все локальные носители монтируются в папку для временных файловых систем /mnt. О том как это делать говорится в "способе два". Способ номер два: машина с *nix+aircrack-ng+macchanger+карта_на_чипе_atheros
Для начала нужно установить пакет aircrack-ng, распространяется он свободно в виде исходников. Описывать процедуру установки я не буду, т.к. это выходит за рамки сабжа, к тому же полагаю, что ты все равно воспользуешься Back Track'ом. Ну а те, кто сидит под никсами и сами знают как это сделать.;)
---У обьекта---
Меняем мак нашей карточки (для родительского процесса), для этого заюзаем тулзу mac changer:
#ifconfig wifi0 down #macchanger wifi0 -m 00:11:22:33:44:55 #ifconfig wifi0 up
После этого дочерние процессы будут запускаться с таким же маком. Дальше запускаем режим монитора на нашей карте, пусть это будет ath1.
#airmon-ng start wifi0
На выходе мы получим сообщение, что такой-то интерфейс монитор моуд энэйблд. его мы и будем использовать в дальнейшем (напомню, у нас он будет ath1). Пускаем airodump (наш пакетный сниффер) чтобы посмотреть что творится вокруг.
#airodump-ng -a ath1
Параметр -а использован для того, чтобы отсеять неаутентифицированных клиентов. Найдя интересующий нас обьект можно прекратить сниффинг и начать зажват трафика от определенной точки. Пусть это будет точка с именем (essid) inet с wpa шифрованием, маком 11:11:11:11:11:11, аутентифицированным клиентом с маком 22:22:22:22:22:22, висящая на первом канале.
#airodump-ng -a -с 1 --bssid 11:11:11:11:11:11 -w /путь/куда/будем/писать/наш/дамп.cap ath1
Теперь мы увидим только нашу точку и висящего рядом клиента. для получения wpa-рукопожатия нам потребуется спровоцировать повторный обмен ключами аутентификации, а как это надо делать? Правильно! Деаутентифицировав валидного клиента. Этим (и еще многими полезными вещами) занимается утилита aireplay из пакета aircrack. В новой консоли даем приказ к деаутентификации.
#aireplay-ng -0 10 -a 11:11:11:11:11:11 -h 11:11:11:11:11:11 -c 22:22:22:22:22:22 ath1
-0 (ноль) означает деаут-атаку, 10 - десять пакетов к посылке (пускай, вдруг не у всех пакетов на клиентской машине совпадет контрольная сумма и они будут отброшены как поврежденные), -а - bssid точки доступа, -h - мак отправителя пакетов (ты же не думал, что клиентская тачка послушается приказов с какого-то левого мака? или думал???), -с - мак счастливого получателя деаут-пакетов, ath1 - интерфейс с которого будем посылать пакеты (должен быть в режиме монитора).
Готово? Клиент выпал из сети и снова вернулся? значит можно прекратить перехват трафика кнопками ctrl+c в окне с airodump. Для надежности можно проверить что же наловилось командой
#aircrack-ng /путь/к/дампу.cap
Есть wpa handshake? Все! Можно брутить! Делает это уже знакомый нам aircrack.
В случае если точка использует wep шифрование (т.е. просто шифрование статическим ключем без шифрованой аутентификации) успех будет зависеть от количества собраных пакетов. Пускаем airodump для захвата трафика.
airodump-ng -a -с 1 --bssid 11:11:11:11:11:11 -w /путь/куда/будем/писать/наш/дамп.cap ath1
В случае если тебе не нужен весь трафик, а только лиш вектора инициализации, которые мы и будем брутить можно указать параметр --ivs. Тогда наша команда будет выглядеть так:
airodump-ng -a --ivs -с 1 --bssid 11:11:11:11:11:11 -w /путь/куда/будем/писать/наш/дамп.cap ath1
Все бы хорошо, но один единственный клиент не генерирует столько трафика, чтоб собрать 100-120 тысячь пакетов за то время, пока у тебя разрядится бук, тем более за 5-10 минут.=) Следующий прием подойдет для непоседливых. Чтобы заставить точку посылать побольше пакетов нам прийдется ее об этом вежливо попросить, а сделать это можно многократно посылая шифрованные тем же ключем arp-запросы. Но для начала надо определиться "от чьего лица" мы будем их посылать. Если с маком валидного клиента, тогда сбор будет идти медленней, т.к. прийдется делиться трафиком с клиентом, сидящим в сети. Если же на точке не используется фильтрация по мак-адресам нам подойдет любой фейковый мак, этот способ будет гораздо быстрей. Узнать используется ли фильтрация по макам можно лишь попытавшись аутентифицироваться. Делает это наша любимая тулза aireplay.
-1 0 - тип атаки - поддельная аутентифификация, один раз -b - bssid точки доступа -e - essid точки доступа (при аутентификации без шифрования твоя карта передает essid на такой-то мак и если ты передал на точку с неким маком правильный essid, точка тебя "признает". Иногда в целях защиты используют скрытие essid, то есть имя точки доступа будет пустым и войти в открытую сеть могут те, кто знает как эта сеть называется, но мы-то ведь все равно узнаем как она называется всего один раз деаутентифицировав клиента этой сети.;))
Смотрим на экран, если фильтрации нет и сигнал достаточен для работы в этой сети мы получим подтверждение успешной аутентификации от aireplay. В этом случае наш мак (а точнее фэйк-мак) попадет в кэш точки доступа и нам будут отправляться ответы на запросы (мы ведь аутентифицировались для работы в сети, пускай и поддельно). Если фильтрация всеже стоит, прийдется юзать мак валидного клиента.
Теперь нам нужны шифрованые искомым ключем arp-запросы. Чтобы их получить можно деаутентифицировать клиента. Дело в том, что когда машина подключается к сети она должна получить уникальный для этой подсети айпишник (ну и айпишники соседних машин, однако ответы от этих машин будут игнорироваться нашей точкой, которая как правило подрабатывает еще и DHCP сервером). Этим и занимается протокол arp (adress resolution protocol или протокол разрешения адреса). Тело такого пакета будет шифровано, а заголовок - открыт (так как тело в таком запросе не играет роли).
Итак, нам нужен пакет с arp-запросом на любой свободный адрес в сети с bssid 11:11:11:11:11:11. Пускаем aireplay:
#aireplay-ng -3 -b 11:11:11:11:11:11 ath1
В таком состоянии aireplay будет ждать arp-запросы готовая многократно передать их обратно в сеть. Теперь осталось заставить клиента передать такой пакетик. В другом окне деаутентифицируем клиента (как - смотри выше). Ждем. Когда клиент вернется в сеть он передаст нужный нам пакет и нам останется только подождать предварительно запустив aircrack (в никсах можно и писать дамп в файл, и расшифровывать его одновременно).
-i 1 - ломаем wep -P2 - более быстрый метод PTW-attack
Ну вот собственно и все, или почти все, но для начала, помоему, хватит.
З.Ы. Каждый сам несет ответственность за свои действия. Все написанное выше приведено с целью ознакомления с беспроводной безопасностью, поэтому если тебя поймают у чужей точки за скачиванием вареза или еще чем-либо не говори, что я тебя не предупреждал.=)
