wildlife

[Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)

// March 31st, 2008 // IT, Security, Tutorials

Um zeigen zu können, wie unsicher WEP ist und wie schnell man an den Schlüssel kommt, habe ich meinen AccessPoint auf 128-Bit WEP umgestellt. Anschließend bin ich wie in der Anleitung unten beschrieben vorgegangen. Dauer des Vorgangs ca. 15 Minuten.

Informationen

BSSID des AP: 00:12:BF:46:68:BD

ESSID des AP: N3ur0m4nc3r

Kanal des AP: 01

MAC des WLAN-Adapters: 00:C0:CA:19:FF:86

WLAN-Adapter muss Packetinjection und

Monitor Mode unterstützen.

Als Betriebssytem habe ich Backtrack 3 verwendet, welches ich unter VMware installiert habe.

Beim Parameter 'bssid' bei 'airodump' müssen zwei '-' vorangestellt werden. Leider wandelt der Editor, mit dem ich die Blogeinträge schreibe, die beiden '-' zu einem um, so dass ich hier extra darauf hin weise.

Vorgang

  1. Bevor man anfängt, sollten natürlich die benötigten Treiber installiert und geladen sein. U.U. ist es erforderlich diese Treiber zu patchen, um bestimmte Funktionalitäten der Hardware nutzen zu können. Hierauf werde ich jetzt aber nicht weiter eingehen.
  2. Um Daten aus der Luft sniffen zu können, ist es erforderlich den Adapter in den Monitor Mode zu setzen. Dabei kann gleich schon der Kanal (in diesem Fall 1) angegeben werden.airmon-ng start wlan0 1
  3. Anschließend muss sich der Adapter mit dem AP verbinden, um eine Kommunikation zu ermöglichen.
    Ich habe die Parameter für aireplay so gewählt, dass sich der Adapter alle 6000 Sekunden neu bei dem AP anmeldet und alle 10 Sekunden 'Keep-Alive-Pakete' sendet, damit die Verbindung gehalten wird.
    Damit jeweils nur ein 'Keep-Alive-Paket' gesendet wird, ist hier der Parameter '-o 1' empfehlenswert.
    Die Optionen '-e' und '-a' geben die ESSID und BSSID an.aireplay -1 6000 -q 10 -o 1 -e N3ur0m4nc3r -a 00:12:BF:46:68:BD wlan0
  4. imageBei der Fragmentierungs Attacke geht es darum, eine Datei zu bekommen, welche den keystream enthält. Mit dieser ist es einem zwar nicht möglich, den WEP-Schlüssel direkt zu bestimmen oder die gesendeten Pakete zu entschlüsseln, jedoch können damit Pakete generiert werden, die für die spätere Injektion benötigt werden.
    Der Parameter '-5' gibt an, dass es sich um einen 'Fragmentation Attack' handelt, '-b' gibt die BSSID an und 'wlan0' das benutzte Interface.
    Mittels '-h' wird die Quell-MAC in den Paketen gesetzt. Diese sollte die gleiche sein, wie die, die im Schritt zuvor verwendet wurde. Verwendet man die Option '-h' nicht, wird automatisch die MAC-Adresse des verwendeten WLAN-Adapters genutzt.aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0
  5. Wie auf dem Bild zu erkennen haben ich nun eine Datei 'fragment-0331-104558.xor' erhalten, welche den keystream enthält. Mit dieser Datei und dem Programm 'packetforge-ng' ist es möglich, ein ARP-Paket zu erstellen, mit welchem ich 'injecten' und somit schneller die benötigten IVs sammeln kann.
    -0 zeigt an, dass ich ein ARP-Paket generieren möchte
    -a gibt die BSSID an
    -k und -l die Quell- und Ziel-IP (die meisten APs reagieren auf die Broadcasts)
    -y ist der Pfad zur xor Datei bzw. eben die Datei selbst
    -w gibt den Dateinamen an, unter welchem das generierte Paket gespeichert wird
    -h ist die MAC meines WLAN-Adapterspacketforge-ng -0 -a 00:12:BF:46:68:BD -k 255.255.255.255 -l 255.255.255.255 -y fragment-0331-104558.xor -w arp-request -h 00:C0:CA:19:FF:86
  6. Nun wird 'airodump' gestartet, um die Pakete mitlesen zu können, die durch meine 'Injection' generiert werden.
    -c legt den Kanal fest, auf welchem gelauscht wird
    --bssid erklärt sich wohl von selbst
    -w gibt die Datei an, in welcher die Pakete gespeichert werdenairodump-ng -c 1 -bssid 00:12:BF:46:68:BD -w capture wlan0
  7. Jetzt starte ich das 'Injecten' mittels 'aireplay-ng'aireplay-ng -2 -r arp-request wlan0
  8. Nach einigen Minuten sollten genug Pakete gesammelt worden sein, um einen Angriff mittels 'aircrack-ng' auf den Schlüssel zu starten.
    -a 1 gibt an, dass WEP-Schlüssel geknackt werden soll
    -e ESSID des APs
    -b BSSID des APs
    und die Angabe der einzulesenden Dateienaircrack-ng -a 1 -e N3ur0m4nc3r -b 00:12:BF:46:68:BD *.cap

Ich habe bei einer 'Injection'-Rate von ca. 60 Paketen pro Sekunde nach ca. 10 Minuten >50.000 Pakete gehabt, so dass 'aircrack-ng' mit der relativ neuen PTW-Attacke erfolgreich war.
Spätestens jetzt sollte jeden klar sein, wie leicht WEP in einem Drahtlosnetzwerk angreifbar ist und warum man lieber auf WPA oder besser noch WPA2 umsteigen sollte.

In den nächsten Tagen werde ich noch einen Artikel über WPA schreiben, da auch WPA knackbar ist, sofern keine starken Passwörter verwendet werden.

weitere Informationen

41 Responses to “[Tutorial] WEP gesichertes WLAN knacken (Fragmentation Attack)”

  1. mr.pwnd says:
    1. April 2008 at 14:04

    Vorbildliches Tutorial

    kurz, informativ, verständlich!

    mr.pwnd bedankt sich herzlichst!

    Reply
  2. datenritter blog says:
    2. April 2008 at 20:44

    [...] cracken mit Fragmentation Attack In seinem Blog feldstudie.net hat Torsten Feld ein gutes Tutorial veröffentlicht. Es beschreibt, wie man mit aireplay, [...]

    Reply
  3. Feldstudie.net .::. 0012BF4668BD, WPA2, Mac-Adresse, Passwort .::. [Tutorial] WPA gesichertes WLAN ‘hacken’ says:
    3. April 2008 at 18:39

    [...] auf meinem Artikel ‘WEP gesichertes WLAN knacken (Fragmentation Attack)‘ möchte ich nun mit diesem Beitrag aufzeigen, dass auch die WPA bzw. WPA2 [...]

    Reply
  4. Feldstudie.net .::. Besucher, Besuchern, Blog, Semmelstatz .::. 100 Besucher pro Tag-Grenze überschritten says:
    18. April 2008 at 11:53

    [...] meisten Besucher finden zur Zeit über die aircrack-ng Wiki, auf welcher meine WEP-Hack und WPA-Hack-Tutorials verlinkt sind, auf diesen [...]

    Reply
  5. Priyaa says:
    19. May 2008 at 11:14

    Hallo,

    Ich bin eine Studentin und mache ein Projekt über WEP Schlüssel knacken.

    Dazu soll ich ein Attack Pattern (Angriff-Muster) erstellen. Es soll allgemein gemacht werden. Ich habe einige Schritte gemacht und trotz soll mein Pattern falsch sein.

    Deshalb habe ich google nachgelesen und habe die Anleitung von Ihnen gefunden. Soviel information hätte ich auch nicht für WEP Angriff von Ihre Anleitung finden können.

    Können Sie mich bitte bei der erstellung des WEP Attack Pattern unterstürzen. Ich wäre Ihnen sehr dankbar.

    Über die positive Antwort von Ihnen würde ich mich sehr freuen.

    MfG
    Priyaa

    Reply
  6. Torsten Feld says:
    19. May 2008 at 14:27

    Hi Priyaa,

    ich würde erstmal sagen, wir gehen zum 'Du' über. ;)

    Soweit ich kann, helfe ich natürlich gerne. Ist mit dem Attack Pattern einfach nur der Ablauf von der Handlung her gemeint oder was genau passiert (welche Pakete wie abgefangen oder gefaked werden müssen, etc.)? Schick mir doch sonst einfach mal das zu, was Du bereits hast und ich schaue es mir mal an.

    Gruß, Torsten

    Reply
  7. Renolds says:
    8. July 2008 at 09:14

    Hallo ,
    ich bin gerade dabei eine Seminararbeit über WEP zu schreiben. Ich muss im Rahmen dieser ein Paar Angriffe durchführen. Ein davon ist den AP dazu bringen mir (böser Angreifer;-) ) die Paketen und Anfragen von bereits ehrlichen und Authentifiziereten Host weiterzuleiten. Mit anderen Worten geht es darum den AP als Entschlüsselungsoracle zu missbrauchen. In der Airckrack-ng Sammlung sollte irgendwas geben. Bis jetzt leider ohne Erfolg.

    Kann mir jemand helfen?
    Danke im Voraus.

    Reply
  8. Torsten Feld says:
    8. July 2008 at 09:31

    Hallo Renolds,

    die Daten brauchen nicht vom AP weitergeleitet werden. Man sollte sie normalerweise direkt 'aus der Luft' mitsniffen können. Wenn zuvor der WEP-Schlüssel herausgefunden wurde, sollten die Daten auch Klartext sein. Oder habe ich Dich falsch verstanden?

    Reply
  9. Renolds says:
    8. July 2008 at 10:09

    Hallo Torsten,
    zuerst danke ich dir für die rasche Antwort. Ich habe hier ein anders Szenario: nämlich ohne im Besitz des Schlüssels zu sein. Ein Ehrlicher Host sendet z. B. eine Anfrage an goole.de, also
    Host A sendet an AP (im gleichen Netz und WEP ist aktiv)
    "ping http://www.google.de", der AP entschlüsselt die Anfrage und leitet die normalerweise weiter an Google (Oder DNS Server). Hier kommt der Angriff (nämlich der AP leitet die Anfrage jetzt im Klartext an dem Angreifer).

    Ich hoffe, das ich es erklären konnte.

    Gruss

    Reply
  10. Torsten Feld says:
    8. July 2008 at 10:13

    Das wird IMHO so nicht funktionieren, da die gesamte Funkübertragung mit WEP funktioniert.
    Ich gehe doch richtig in der Annahme, dass der Angreifer auch über Funk arbeitet und nicht kabelgebunden, oder? Weil dann wäre es ja nur ein einfacher MITM-Angriff und hätte nichts mit WLAN zu tun.
    Ansonsten wäre es bedeutend einfacher, erst den Schlüssel zu 'knacken' und dann den Verkehr mitzusniffen.

    Reply
  11. Renolds says:
    8. July 2008 at 10:14

    Hallo Torsten,
    folgendes habe ich im Netz gefunden: Das beschreibt genau diesen Angriff.

    Verschlüsselte Pakete umleiten:

    Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so ändert, dass sie auf ein unter seiner Kontrolle stehendes System außerhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschlüsseln und an das System des Angreifers schicken

    Dieser ist unter:
    http://entwickler.de/zonen/portale/psecom,id,99,news,35890,.html
    zu finden.

    Also es geht darum die IP im Header und die CRC anzupassen!
    Ich weiß aber nur nicht wie!!
    Gruss

    Reply
  12. Torsten Feld says:
    8. July 2008 at 11:02

    Ein Kollege und ich haben uns mal grade WEP-verschlüsselte Pakete angeschaut. Auch der Header, in welchem die IPs, etc. enthalten sind, sind verschlüsselt.
    Wie soll man die IPs spoofen können, wenn man sie nicht auslesen kann. Ohne das WEP-Passwort ist dies IMHO nicht möglich.

    Reply
  13. Renolds says:
    10. July 2008 at 13:33

    Hallo Torsten,

    Nicht ganz, WEP beuntzt RC4 und die CRC 32. Aufgrund der Linearität der CRC Prüfsumme und Modulo 2 Rechnungen, können die Daten nur 0 und 1 sein. Nun kann ein Angreifer die IP ändern (Festlänge) und die CRC anpassen. Der AP merkt nichts von, da die Daten sowieso mit einem gültigen Stream verschlüsselt waren. Das ist die Theorie aber das klappt (Ich weiss nur nicht, wie ich das mit aircrack hinbekomme ). Wenn du willst schicke ich dir eine PDF Datei mit dem Beweis.

    Gruss

    Reply
  14. Renolds says:
    10. July 2008 at 13:41

    Szenario:

    Eigentliche Ziel adresse verschlüsselt:
    00 11 01 11 00 (nur Bsp.) *
    Angreifer kann durch einfachen XOR die IP änderen: Z. B. . Er möchte, dass die Daten auf 11 00 11 00 11 umgeleitet werden.
    da addiert er einfach 11 11 10 11 11 zu * und schon steht er als Ziel im Header. Voraussetzung: Er muss die CRC anpassen damit der AP die Daten nicht dropt, entschlüsselt und an dem Angreifer weiterleitet. (Die Daten wurden von einem ehrlichen Host geschickt, d. h. der Keystream ist gültig und der AP nimmt dann die Daten an).

    Ist der Prinzip zu einiger Maßen klar?

    Reply
  15. Torsten Feld says:
    10. July 2008 at 14:38

    Jo, das Prinzip ist mir jetzt schon einigermaßen klar, würde mich dennoch freuen, wenn Du mir das PDF trotzdem mal zukommen lassen könntest. E-Mail-Adresse findest Du im Impressum.

    Danke Dir schon mal im Vorraus.

    Reply
  16. Renolds says:
    12. July 2008 at 19:42

    Hallo Torsten,
    ich wollte mal fragen, ob du was herausfinden konntest?

    Gruss

    Reply
  17. Torsten Feld says:
    13. July 2008 at 18:38

    Das Problem ist, dass ich Dein PDF noch nicht bekommen habe. Könntest Du es vielleicht nochmal schicken? An welche Adresse ist es denn gegangen?

    Reply
  18. Renolds says:
    14. July 2008 at 13:09

    Hallo Torsten,

    Die email hatte ich an torsten@tortsen-feld.de geschickt.
    Ich habe auch von Keinem E-mail-Server eine Fehlermeldung bekommen!.

    Ich schicke dir die PDF an die Selbe Adresse nochmal.
    Gruss

    Reply
  19. Renolds says:
    14. July 2008 at 13:10

    sorry verschrieben, torsten@torsten-feld.de

    Reply
  20. Torsten Feld says:
    14. July 2008 at 13:10

    Ok, wollte grade schon nachfragen. :)

    Reply
  21. Renolds says:
    14. July 2008 at 13:16

    Habe die Datei gerade geschickt. Eine Frage: weisst du jetzt, ob dieser Angriff mit Aircrack realisieren lässt??.

    Ich habe an folgendes Szenario gedacht:
    - Angreifer Spooft den AP (somit bekommt er die Pakete), Paßt inden die IP und CRC und schickt die an den eigentlichen AP weiter. Dieser entschlüsselt die und schickt die weiter an dem Angreifer. Was denkst du?

    Gruss

    Reply
  22. Renolds says:
    15. July 2008 at 14:21

    Hallo Torsten,

    wollte mal fragen, ob du was gefunden hast?

    Gruss

    Reply
  23. Torsten Feld says:
    15. July 2008 at 14:24

    Habe die Datei immer noch nicht erhalten. Schicke das PDF bitte nochmal an torsten.feld@kaspersky.de

    Danke.

    Reply
  24. Tarkan says:
    15. August 2008 at 20:34

    Hallo Torsten,

    Vielen dank für deinen beitrag, jedoch hab ich da schwirigkeiten. Hab es gerade an meinem eigenem netz versucht, bzw getestet..

    bin bei schritt 4 hangen geblieben.

    --> aireplay-ng -5 -b 00:12:BF:46:68:BD wlan0

    die meldung kommt nach dem ich "y" eingegeben hab:
    Sending fragmented packet
    no answer, repaeating..
    still nothing, trying another packet...

    kannst du mir erklären wieso es nicht funktioniert? mache ich was falsch?

    Reply
  25. Tarkan says:
    15. August 2008 at 21:09

    hier die genaue meldung(bin immernoch am versuchen:)):

    Data packet found!
    sending fragmented packet
    not enough acks, repeating..
    sending fragmented packet
    no answer, repeating
    trying a llc null packet
    sending fragmented packet
    no answer repeating
    und und und... am schluss...
    still nothing trying another packet..
    read 92 packets... (was ich auch schon bis zu 600 hatte)

    gruss
    tarkan

    Reply
  26. Torsten Feld says:
    16. August 2008 at 13:17

    Was ist das für ein Accesspoint, den Du 'knacken' möchtest und wie weit bist du von ihm entfernt?

    Reply
  27. Tarkan says:
    17. August 2008 at 12:46

    es ist mein eigener,

    Netopia 3347 Wireless router..

    Reply
  28. Torsten Feld says:
    17. August 2008 at 14:13

    Ok, den kenne ich nicht. Bei neueren Accesspoints kann es allerdings möglich sein, dass es nicht ohne weiteres möglich ist. Zumindest nicht über diese Methode. Ein weiterer Faktor kann die Entfernung zum Accesspoint bzw. die Empfangsqualität sein. Bei zu schlechtem Empfang können die benötigten Pakete u.U. nicht empfangen werden.

    Reply
  29. Jan Krien says:
    24. August 2008 at 16:49

    http://board.protecus.de/t34622.htm - auf meiner Recherche bin ich noch über folgende Anleitung gestossen, die dieser sehr ähnlich ist.

    gut wäre mal eine Liste mit Karten die funktionieren

    Reply
  30. Torsten Feld says:
    24. August 2008 at 17:13

    @Jan: naja, habe mein Tutorial gut ein halbes Jahr vorher veröffentlicht. Aber sonst ein sehr schönes Tutorial.

    Reply
  31. Script-Kiddie says:
    1. September 2008 at 21:26

    hallo guten abend alles fit ? mal ne frage klappt das alles auch wirklich ? man sieht ja garnicht wie das programm heißt wo mit wep schlüssel bekommt und wo sie zu kriegen sind

    Reply
  32. Torsten Feld says:
    2. September 2008 at 06:50

    @Script-Kiddie: Nein, natürlich funktioniert das alles nicht. Die ganzen Foren und Communities sind überflüssig, die Tutorials wurden erfunden und die Sicherheitsbedenken bzgl. WEP sind paranoid.
    Die Namen der Tools stehen mehrfach im Artikel und selbst der Name der Suite ist sowohl in den Tags zu finden als auch nochmal extra verlinkt.
    Habe den Nick mal auf einen Treffenderen geändert.
    Und schreib nie wieder Kommentare unter meiner E-Mail-Adresse...

    Reply
  33. Someone says:
    17. December 2008 at 23:16

    Hallo Torsten!

    Vielen Dank für deine informative Seite. Eine Frage habe ich noch. Welchen Adapter hast du benützt?
    Meiner scheint nämlich den MonitorMode nicht zu unterstützen.

    vielen Dank

    Someone

    Reply
  34. alex says:
    20. June 2009 at 15:50

    hi erstma!
    ich finde dein tutorial wirklich gut erklärt. ich habe das mit meinem vater ausprobiert und konnte sein wep passwort rausbekommen. jetzt habe ich folgende frage: wenn ich das wep passwort habe möchte ich mich ja auch verbinden. doch wie soll ich die daten rausfinden? also die ip, subnet mask, default gateway, dns?
    wäre nett von dir wenn du mir hifst.
    lg alex

    ps. die daten hab ich schon da ich ja über wlan internet habe. ich meinte wie das die anderen rausfinden.

    Reply
    • Torsten says:
      20. June 2009 at 17:33

      Freut mich, dass Dir das Tutorial gefällt.
      Um das WEP-Passwort zu 'bekommen' benötigst Du keine IP, Subnet oder DNS. Das ist erst dann notwendig, wenn der WEP bzw. WPA-Schlüssel bekannt ist. Die fehlenden Daten (nach erfolgreichem Connect mittels WEP / WPA) bekommst Du im optimalen Fall über einen DHCP-Server oder über einen Sniffer wie z.B. Wireshark. Dazu ist dann allerdings etwas Kenntnis über Netzwerkaufbau und -diensten erforderlich.

      Reply
  35. alex says:
    21. June 2009 at 18:15

    hi!
    danke für deine antwort.
    könntest du mir vielleicht was empfehlen? bücher oder internet seiten? ich interessier mich sehr für das thema und möchte den weg der "hacker" (cracker) nachvollziehen. schonmal danke im voraus.
    lg alex

    Reply
  36. Max says:
    22. January 2010 at 03:28

    Hallo Torsten.
    Ich habe nun deine Technik erfolgreich ausprobiert, und mein WEP Passwort ermittelt, jedoch möchte ich nun den Zugang zum Router herstellen. Gibt es eine Möglichkeit an das Passwort vom Router zu kommen?

    Reply
    • Torsten says:
      26. January 2010 at 11:01

      Die Frage ist, warum Du jetzt an das Router-Passwort möchtest. Dies soll keine Anleitung zum 'Cracken' fremder WLANs sein, sondern soll lediglich dazu dienen aufzuzeigen, wie unsicher WEP mittlerweile ist. Das unerlaubte Mitschneiden von Paketen und das Eindringen in fremde Netze ist strafbar. Das 'knacken' von Passwörtern, etc. erst recht.

      Reply

Leave a Reply