WEP/WPA Angriffe

WEP (Wired Equivalent Privacy) und WPA (Wi-Fi Protected Access) sind die derzeit am häufigsten anzutreffenden Verschlüsselungssysteme für Wireless Netzwerke. Im Folgenden Artikel wird an einigen Praxisbeispiel kurz dargestellt wie sich diese beiden Systeme angreifen bzw. auf Schwachstellen überprüfen lassen.

WEP-Key mit aircrack ermitteln

Für die folgende Vorgehensweise muss mindestens ein Client mit dem AP verbunden sein! Um ein Netzwerk anzugreifen in dem kein Client vorhanden ist führt die folgende Vorgehensweise nicht zum Erfolg.

Nach einer kurzen Wartezeit werden alle erkannten WLANs dargestellt und man kann sich in dieser Übersicht das benötigte Opfer WLAN mit Channel und BSSID heraus suchen. Da airodump ein passiver Sniffer ist kann es teilweise auch etwas länger dauern bis das gesuchte Netzwerk oder der benötigte Client in der Liste auftaucht.

Damit Airodump möglichst nur den benötigten Traffic beachtet starten wir es mit den, im vorigen Schritt, gewonnenen Informationen zu Channel und BSSID neu:

Nun werden die benötigten Pakete gesammelt und bereits in das output File geschrieben. An der Ausgabe von airodump sieht man auch die an dieses WLAN angebundenen Clients mit deren MAC Adresse. Einen dieser Clients missbrauchen wir im nächsten Schritt in dem wir den bereits gestarteten airodump-ng weiter laufen lassen.

Parameter:

• -c 6 … Channel 6
• –bssid … bssid vom ersten airodump
• -w output … ouput file, wird für die ermittlung des WEP Keys benötigt

Parameter:

• -1 … fake authentication
• 0 … timing in seconds (manchmal hilft es das Timing anzupassen, zB auf 30)
• -a XX:XX:XX:XX:XX:XX … BSSID des Access Points
• -h YY:YY:YY:YY:YY:YY …. MAC Adresse der WLAN Karte

Nun wird nach ARP-Requests gesucht, sobald ein ARP empfangen wurde, wird automatisch der injection Vorgang gestartet.

Falls man Zugriff auf einen Wired Client hat kann mit einem Ping auf eine nicht erreichbare Adresse ein ARP-request provoziert werden.

Parameter:

• -3 … ARP replay
• -b … BSSID des APs
• -h … Source MAC Adr.

Parallel dazu können wir in einer weiteren Shell bereits den Cracking Vorgang starten, ab ca. 30000 Pakete kann dieser Vorgang bereits zum Erfolg führen.

Parameter:

• -z … PTW Attack

You will need approximately 250,000 IVs for 64 bit and 1,500,000 IVs for 128 bit keys. If you are using the PTW attack, then you will need about 20,000 packets for 64-bit and 40,000 to 85,000 packets for 128 bit. These are very approximate and there are many variables as to how many IVs you actually need to crack the WEP key. Source

Je mehr Pakete davor gesammelt wurden desto schneller erhalten wir nun den WEP Key

SSID wird versteckt

Falls die SSID des WLANs nicht bekannt ist, aber ein WLAN Client mit dem Netzwerk verbunden ist, kann sie durch einen Deauth Angriff auf den Client ermittelt werden (daneben airodump mitlaufen lassen):

Parameter:

• -0 1…. deauthenticate Station
• -a BSSID … BSSID des Access Points
• -c MAC … MAC Adr. des verbundenen Clients

Nun taucht die SSID in der Anzeige von airodump auf.

WPA-Key mit aircrack ermitteln

Für Angriffe auf WPA gesicherte Netzwerke wird ein Brute Force Angriff mit Paswortlisten durchgeführt.

Im ersten Schritt wird wie beim bereits dargestellten WEP Hacking mit dem Start des Interfaces im Monitor Mode gestartet.

Nach dem Start von airodump werden die erkannten WLANs folgendermaßen dargestellt:

An der Angabe von WPA erkennen wir die Netzwerke die WPA Verschlüsselung einsetzen. Wir suchen uns hier also das Opfer WLAN:

Um nur das benötigte WLAN zu sehen bzw. nur Pakete die für dieses WLAN bestimmt sind aufzuzeichen starten wir airodump neu. Durch die Angabe des Channels wird Channelhopping unterbunden und es wird durch den Parameter bssid nur der Traffic von diesem Access Point betrachtet. Um die Informationen für die spätere Analyse (Cracking des Passwortes) aufzubewahren wird mit dem parameter write das Output File angegeben.

An dieser Ausgabe ist erkennbar dass es eine Station gibt die mit dem AP verbunden ist und dass die SSID des AP nicht gebroadcastet wird.

Im ersten Schritt wird versucht die SSID durch deauthentifizierung des Clientsystems zu ermitteln:

Der airodump der in einer anderen Konsole weiterläuft zeigt nun die SSID an und zusätzlich haben wir bei dieser Aktion auch noch den WPA Handshake abgegriffen.

Der WPA Handshake war unser eigentliches Ziel und dieser wird für den weiteren Angriff benötigt!

Nun brauchen wir eine möglichst umfangreiche Passwortliste mit der wir den Angriff auf den WPA Handshake durchführen:

und los gehts … jetzt ist Zeit sich einen Kaffee zu genehmigen denn das kann unter Umständen sehr lange dauern ;)

Tada der Key ist gefunden ;)

some more attacks

DeAuth-Attack

Am Opfer einfach mal einen Ping mitlaufen lassen, damit erkennt man sehr gut wie erfolgreich der Angriff ist!

Will man den Client für länger lahmlegen kann man regelmäßig DeAuth Pakete schicken:

Will man alle Clients lahmlegen kann man regelmäßig DeAuth Pakete mit der Broadcastadresse schicken:

Dieser Angriff ist allerdings nicht immer erfolgreich.

Authentication DOS Attack

Faked Access Points erstellen

mit weiteren Parametern wie -t lassen sich gefakte Access Points auch mit Verschlüsselung erstellen!

Kombinierter Angriff

In den meisten Fällen reicht ein einzelner Angriff nicht aus um den Client wirklich zu bannen. Also kombinieren wir die Angriffe ;)

In der ersten Shell führen wir den oben beschriebenen DOS Angriff (mdk3 ath0 a -i BSSID) aus und gleichzeitig wird in einer weiteren Shell der Client mit regelmäßigen DeAuth Angriffen vom Access Point getrennt! Zusätzlich lassen sich noch gefakte AP erstellen die die User auch noch weiter verwirren!