◆什么是Aircrack-ng

Aircrack-ng是一款用于破解無(wú)線(xiàn)802.11WEP及WPA-PSK加密的工具压语，該工具在2005年11月之前名字是Aircrack榄鉴，在其2.41版本之后才改名為Aircrack-ng。

Aircrack-ng主要使用了兩種攻擊方式進(jìn)行WEP破解：一種是FMS攻擊渡贾，該攻擊方式是以發(fā)現(xiàn)該WEP漏洞的研究人員名字（Scott Fluhrer逗宜、Itsik Mantin及Adi Shamir）所命名；另一種是KoreK攻擊空骚，經(jīng)統(tǒng)計(jì)纺讲，該攻擊方式的攻擊效率要遠(yuǎn)高于FMS攻擊。當(dāng)然囤屹，最新的版本又集成了更多種類(lèi)型的攻擊方式熬甚。對(duì)于無(wú)線(xiàn)黑客而言，Aircrack-ng是一款必不可缺的無(wú)線(xiàn)攻擊工具肋坚，可以說(shuō)很大一部分無(wú)線(xiàn)攻擊都依賴(lài)于它來(lái)完成乡括；而對(duì)于無(wú)線(xiàn)安全人員而言，Aircrack-ng也是一款必備的無(wú)線(xiàn)安全檢測(cè)工具智厌，它可以幫助管理員進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)密碼的脆弱性檢查及了解無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)的分布情況诲泌，非常適合對(duì)企業(yè)進(jìn)行無(wú)線(xiàn)安全審計(jì)時(shí)使用。

Aircrack-ng（注意大小寫(xiě)）是一個(gè)包含了多款工具的無(wú)線(xiàn)攻擊審計(jì)套裝铣鹏，這里面很多工具在后面的內(nèi)容中都會(huì)用到敷扫，具體見(jiàn)下表1為Aircrack-ng包含的組件具體列表。

表1

組件名稱(chēng)

描述

aircrack-ng

主要用于WEP及WPA-PSK密碼的恢復(fù)诚卸，只要airodump-ng收集到足夠數(shù)量的數(shù)據(jù)包葵第，aircrack-ng就可以自動(dòng)檢測(cè)數(shù)據(jù)包并判斷是否可以破解

airmon-ng

用于改變無(wú)線(xiàn)網(wǎng)卡工作模式，以便其他工具的順利使用

airodump-ng

用于捕獲802.11數(shù)據(jù)報(bào)文合溺，以便于aircrack-ng破解

aireplay-ng

在進(jìn)行WEP及WPA-PSK密碼恢復(fù)時(shí)羹幸，可以根據(jù)需要?jiǎng)?chuàng)建特殊的無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文及流量

airserv-ng

可以將無(wú)線(xiàn)網(wǎng)卡連接至某一特定端口，為攻擊時(shí)靈活調(diào)用做準(zhǔn)備

airolib-ng

進(jìn)行WPA Rainbow Table攻擊時(shí)使用辫愉，用于建立特定數(shù)據(jù)庫(kù)文件

airdecap-ng

用于解開(kāi)處于加密狀態(tài)的數(shù)據(jù)包

tools

其他用于輔助的工具，如airdriver-ng将硝、packetforge-ng等

Aircrack-ng在 BackTrack4 R2下已經(jīng)內(nèi)置（下載BackTrack4 R2）恭朗，具體調(diào)用方法如下圖2所示：通過(guò)依次選擇菜單中“Backtrack”—“Radio Network Analysis” —“80211”—“Cracking”—“Aircrack-ng ”屏镊，即可打開(kāi)Aircrack-ng的主程序界面。也可以直接打開(kāi)一個(gè)Shell痰腮，在里面直接輸入aircrack-ng命令回車(chē)也能看到aircrack-ng的使用參數(shù)幫助而芥。

圖2

更多安全工具>>進(jìn)入專(zhuān)題

更多網(wǎng)管軟件>>進(jìn)入專(zhuān)題

◆使用Aircrack-ng破解WEP加密無(wú)線(xiàn)網(wǎng)絡(luò)

首先講述破解采用WEP加密內(nèi)容，啟用此類(lèi)型加密的無(wú)線(xiàn)網(wǎng)絡(luò)往往已被列出嚴(yán)重不安全的網(wǎng)絡(luò)環(huán)境之一膀值。而Aircrack-ng正是破解此類(lèi)加密的強(qiáng)力武器中的首選棍丐，關(guān)于使用Aircrack-ng套裝破解WEP加密的具體步驟如下。

步驟1：載入無(wú)線(xiàn)網(wǎng)卡沧踏。

其實(shí)很多新人們老是在開(kāi)始載入網(wǎng)卡的時(shí)候出現(xiàn)一些疑惑歌逢，所以我們就把這個(gè)基本的操作仔細(xì)看看。首先查看當(dāng)前已經(jīng)載入的網(wǎng)卡有哪些翘狱，輸入命令如下：

ifconfig

回車(chē)后可以看到如下圖3所示內(nèi)容秘案，我們可以看到這里面除了eth0之外，并沒(méi)有無(wú)線(xiàn)網(wǎng)卡潦匈。

圖3

確保已經(jīng)正確插入U(xiǎn)SB或者PCMCIA型無(wú)線(xiàn)網(wǎng)卡阱高，此時(shí)，為了查看無(wú)線(xiàn)網(wǎng)卡是否已經(jīng)正確連接至系統(tǒng)茬缩，應(yīng)輸入：

ifconfig -a

參數(shù)解釋?zhuān)?/p>

-a?顯示主機(jī)所有網(wǎng)絡(luò)接口的情況赤惊。和單純的ifconfig命令不同，加上-a參數(shù)后可以看到所有連接至當(dāng)前系統(tǒng)網(wǎng)絡(luò)接口的適配器凰锡。

如下圖4所示未舟，我們可以看到和上圖3相比，出現(xiàn)了名為wlan0的無(wú)線(xiàn)網(wǎng)卡寡夹，這說(shuō)明無(wú)線(xiàn)網(wǎng)卡已經(jīng)被BackTrack4 R2 Linux識(shí)別处面。

圖4

既然已經(jīng)識(shí)別出來(lái)了，那么接下來(lái)就可以激活無(wú)線(xiàn)網(wǎng)卡了菩掏。說(shuō)明一下魂角，無(wú)論是有線(xiàn)還是無(wú)線(xiàn)網(wǎng)絡(luò)適配器，都需要激活智绸，否則是無(wú)法使用滴野揪。這步就相當(dāng)于Windows下將“本地連接”啟用一樣，不啟用的連接是無(wú)法使用的瞧栗。

在上圖4中可以看到斯稳，出現(xiàn)了名為wlan0的無(wú)線(xiàn)網(wǎng)卡，OK迹恐，下面輸入：

ifconfig wlan0 up

參數(shù)解釋?zhuān)?/p>

up?用于加載網(wǎng)卡的挣惰，這里我們來(lái)將已經(jīng)插入到筆記本的無(wú)線(xiàn)網(wǎng)卡載入驅(qū)動(dòng)。在載入完畢后，我們可以再次使用ifconfig進(jìn)行確認(rèn)憎茂。如下圖5所示珍语，此時(shí)，系統(tǒng)已經(jīng)正確識(shí)別出無(wú)線(xiàn)網(wǎng)卡了竖幔。

圖5

當(dāng)然板乙，通過(guò)輸入iwconfig查看也是可以滴。這個(gè)命令專(zhuān)用于查看無(wú)線(xiàn)網(wǎng)卡拳氢，不像ifconfig那樣查看所有適配器募逞。

iwconfig

該命令在Linux下用于查看有無(wú)無(wú)線(xiàn)網(wǎng)卡以及當(dāng)前無(wú)線(xiàn)網(wǎng)卡狀態(tài)。如下圖6所示馋评。

圖6

步驟2：激活無(wú)線(xiàn)網(wǎng)卡至monitor即監(jiān)聽(tīng)模式放接。

對(duì)于很多小黑來(lái)說(shuō)，應(yīng)該都用過(guò)各式各樣的嗅探工具來(lái)抓取密碼之類(lèi)的數(shù)據(jù)報(bào)文栗恩。那么透乾，大家也都知道，用于嗅探的網(wǎng)卡是一定要處于monitor監(jiān)聽(tīng)模式地磕秤。對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)的嗅探也是一樣乳乌。

在Linux下，我們使用Aircrack-ng套裝里的airmon-ng工具來(lái)實(shí)現(xiàn)市咆，具體命令如下：

airmon-ng start wlan0

參數(shù)解釋?zhuān)?/p>

start?后跟無(wú)線(xiàn)網(wǎng)卡設(shè)備名稱(chēng)汉操，此處參考前面ifconfig顯示的無(wú)線(xiàn)網(wǎng)卡名稱(chēng)；

如下圖7所示蒙兰，我們可以看到無(wú)線(xiàn)網(wǎng)卡的芯片及驅(qū)動(dòng)類(lèi)型磷瘤，在Chipset芯片類(lèi)型上標(biāo)明是Ralink 2573芯片，默認(rèn)驅(qū)動(dòng)為rt73usb搜变，顯示為“monitor mode enabled on mon0”采缚，即已啟動(dòng)監(jiān)聽(tīng)模式，監(jiān)聽(tīng)模式下適配器名稱(chēng)變更為mon0挠他。

圖7

步驟3：探測(cè)無(wú)線(xiàn)網(wǎng)絡(luò)扳抽，抓取無(wú)線(xiàn)數(shù)據(jù)包。

在激活無(wú)線(xiàn)網(wǎng)卡后殖侵，我們就可以開(kāi)啟無(wú)線(xiàn)數(shù)據(jù)包抓包工具了贸呢，這里我們使用Aircrack-ng套裝里的airmon-ng工具來(lái)實(shí)現(xiàn)，具體命令如下：

不過(guò)在正式抓包之前拢军，一般都是先進(jìn)行預(yù)來(lái)探測(cè)楞陷，來(lái)獲取當(dāng)前無(wú)線(xiàn)網(wǎng)絡(luò)概況，包括AP的SSID茉唉、MAC地址固蛾、工作頻道结执、無(wú)線(xiàn)客戶(hù)端MAC及數(shù)量等。只需打開(kāi)一個(gè)Shell魏铅，輸入具體命令如下：

airodump-ng mon0

參數(shù)解釋?zhuān)?/p>

mon0為之前已經(jīng)載入并激活監(jiān)聽(tīng)模式的無(wú)線(xiàn)網(wǎng)卡昌犹。如下圖8所示。

圖8

回車(chē)后览芳，就能看到類(lèi)似于下圖9所示，這里我們就直接鎖定目標(biāo)是SSID為“TP-LINK”的AP鸿竖，其BSSID（MAC）為“00：19：E0：EB：33：66”沧竟，工作頻道為6，已連接的無(wú)線(xiàn)客戶(hù)端MAC為“00：1F：38：C9：71：71”缚忧。

圖9

既然我們看到了本次測(cè)試要攻擊的目標(biāo)悟泵，就是那個(gè)SSID名為T(mén)P-LINK的無(wú)線(xiàn)路由器，接下來(lái)輸入命令如下：

airodump-ng --ivs –w longas -c 6 wlan0

參數(shù)解釋?zhuān)?/p>

--ivs?這里的設(shè)置是通過(guò)設(shè)置過(guò)濾闪水，不再將所有無(wú)線(xiàn)數(shù)據(jù)保存糕非，而只是保存可用于破解的IVS數(shù)據(jù)報(bào)文，這樣可以有效地縮減保存的數(shù)據(jù)包大星蛴堋朽肥；

-c?這里我們?cè)O(shè)置目標(biāo)AP的工作頻道，通過(guò)剛才的觀(guān)察持钉，我們要進(jìn)行攻擊測(cè)試的無(wú)線(xiàn)路由器工作頻道為6衡招；

-w?后跟要保存的文件名，這里w就是“write寫(xiě)”的意思每强，所以輸入自己希望保持的文件名始腾，如下圖10所示我這里就寫(xiě)為longas。那么空执，小黑們一定要注意的是：這里我們雖然設(shè)置保存的文件名是longas浪箭，但是生成的文件卻不是longase.ivs，而是longas-01.ivs辨绊。

圖10

注意：這是因?yàn)閍irodump-ng這款工具為了方便后面破解時(shí)候的調(diào)用奶栖，所以對(duì)保存文件按順序編了號(hào)，于是就多了-01這樣的序號(hào)邢羔，以此類(lèi)推驼抹，在進(jìn)行第二次攻擊時(shí)，若使用同樣文件名longas保存的話(huà)拜鹤，就會(huì)生成名為longas-02.ivs的文件框冀，一定要注意哦，別到時(shí)候找不到又要怪我沒(méi)寫(xiě)清楚：）

啊敏簿，估計(jì)有的朋友們看到這里明也，又會(huì)問(wèn)在破解的時(shí)候可不可以將這些捕獲的數(shù)據(jù)包一起使用呢宣虾，當(dāng)然可以，屆時(shí)只要在載入文件時(shí)使用longas*.cap即可温数，這里的星號(hào)指代所有前綴一致的文件绣硝。

在回車(chē)后，就可以看到如下圖11所示的界面撑刺，這表示著無(wú)線(xiàn)數(shù)據(jù)包抓取的開(kāi)始鹉胖。

圖11

步驟4：對(duì)目標(biāo)AP使用ArpRequest注入攻擊

若連接著該無(wú)線(xiàn)路由器/AP的無(wú)線(xiàn)客戶(hù)端正在進(jìn)行大流量的交互，比如使用迅雷够傍、電騾進(jìn)行大文件下載等甫菠，則可以依靠單純的抓包就可以破解出WEP密碼。但是無(wú)線(xiàn)黑客們覺(jué)得這樣的等待有時(shí)候過(guò)于漫長(zhǎng)冕屯，于是就采用了一種稱(chēng)之為“ARP Request”的方式來(lái)讀取ARP請(qǐng)求報(bào)文寂诱，并偽造報(bào)文再次重發(fā)出去，以便刺激AP產(chǎn)生更多的數(shù)據(jù)包安聘，從而加快破解過(guò)程痰洒，這種方法就稱(chēng)之為ArpRequest注入攻擊。具體輸入命令如下：

aireplay-ng -3 -b AP的mac -h 客戶(hù)端的mac mon0

參數(shù)解釋?zhuān)?/p>

-3?指采用ARPRequesr注入攻擊模式浴韭；

-b?后跟AP的MAC地址丘喻，這里就是前面我們探測(cè)到的SSID為T(mén)PLINK的AP的MAC；

-h?后跟客戶(hù)端的MAC地址囱桨，也就是我們前面探測(cè)到的有效無(wú)線(xiàn)客戶(hù)端的MAC仓犬；

最后跟上無(wú)線(xiàn)網(wǎng)卡的名稱(chēng)，這里就是mon0啦舍肠。

回車(chē)后將會(huì)看到如下圖12所示的讀取無(wú)線(xiàn)數(shù)據(jù)報(bào)文搀继，從中獲取ARP報(bào)文的情況出現(xiàn)。

圖12

在等待片刻之后翠语，一旦成功截獲到ARP請(qǐng)求報(bào)文叽躯，我們將會(huì)看到如下圖13所示的大量ARP報(bào)文快速交互的情況出現(xiàn)。

圖13

此時(shí)回到airodump-ng的界面查看肌括，在下圖14中我們可以看到点骑，作為T(mén)P-LINK的packets欄的數(shù)字在飛速遞增。

圖14

步驟5：打開(kāi)aircrack-ng谍夭，開(kāi)始破解WEP黑滴。

在抓取的無(wú)線(xiàn)數(shù)據(jù)報(bào)文達(dá)到了一定數(shù)量后，一般都是指IVs值達(dá)到2萬(wàn)以上時(shí)紧索，就可以開(kāi)始破解袁辈，若不能成功就等待數(shù)據(jù)報(bào)文的繼續(xù)抓取然后多試幾次。注意珠漂，此處不需要將進(jìn)行注入攻擊的Shell關(guān)閉晚缩，而是另外開(kāi)一個(gè)Shell進(jìn)行同步破解尾膊。輸入命令如下：

aircrack-ng 捕獲的ivs文件

關(guān)于IVs的值數(shù)量，我們可以從如下圖15所示的界面中看到荞彼，當(dāng)前已經(jīng)接受到的IVs已經(jīng)達(dá)到了1萬(wàn)5千以上冈敛，aircrack-ng已經(jīng)嘗試了41萬(wàn)個(gè)組合。

圖15

那么經(jīng)過(guò)很短時(shí)間的破解后鸣皂，就可以看到如下圖16中出現(xiàn)“KEY FOUND”的提示抓谴，緊跟后面的是16進(jìn)制形式，再后面的ASCII部分就是密碼啦寞缝，此時(shí)便可以使用該密碼來(lái)連接目標(biāo)AP了齐邦。 一般來(lái)說(shuō)，破解64位的WEP至少需要1萬(wàn)IVs以上第租，但若是要確保破解的成功，應(yīng)捕獲盡可能多的IVs數(shù)據(jù)我纪。比如下圖16所示的高強(qiáng)度復(fù)雜密碼破解成功依賴(lài)于8萬(wàn)多捕獲的IVs慎宾。

圖16

注意：由于是對(duì)指定無(wú)線(xiàn)頻道的數(shù)據(jù)包捕獲，所以有的時(shí)候大家會(huì)看到如下圖17中一樣的情景浅悉，在破解的時(shí)候出現(xiàn)了多達(dá)4個(gè)AP的數(shù)據(jù)報(bào)文趟据，這是由于這些AP都工作在一個(gè)頻道所致，很常見(jiàn)的术健。此時(shí)汹碱，選擇我們的目標(biāo)，即標(biāo)為1的荞估、SSID位dlink的那個(gè)數(shù)據(jù)包即可咳促，輸入1，回車(chē)后即可開(kāi)始破解勘伺。

圖17

看到這里跪腹，可能有的朋友會(huì)說(shuō)，這些都是弱密碼（就是過(guò)于簡(jiǎn)單的密碼）飞醉，所以才這么容易破解冲茸，大不了我用更復(fù)雜點(diǎn)的密碼總可以了吧，比如×#87G之類(lèi)的缅帘，即使是采用更為復(fù)雜的密碼轴术，這樣真的就安全了嗎？嘿嘿钦无，那就看看下圖18中顯示的密碼吧：）

圖18

正如你所看到的逗栽，在上圖18中白框處破解出來(lái)的密碼已經(jīng)是足夠復(fù)雜的密碼了吧？我們放大看一看铃诬，如下圖19所示祭陷，這樣采用了大寫(xiě)字母苍凛、小寫(xiě)字母、數(shù)字和特殊符號(hào)的長(zhǎng)達(dá)13位的WEP密碼兵志，在獲得了足夠多的IVs后醇蝴，破解出來(lái)只花費(fèi)了約4秒鐘！

圖19

現(xiàn)在想罕，你還認(rèn)為自己的無(wú)線(xiàn)網(wǎng)絡(luò)安全么悠栓？哈，這還只是個(gè)開(kāi)始按价，我們接著往下看惭适。

補(bǔ)充一下：

若希望捕獲數(shù)據(jù)包時(shí)，能夠不但是捕獲包括IVS的內(nèi)容楼镐，而是捕獲所有的無(wú)線(xiàn)數(shù)據(jù)包慷垮，也可以在事后分析，那么可以使用如下命令：

airodump-ng –w longas -c 6 wlan0

就是說(shuō)菲驴，不再--ivs過(guò)濾悬荣，而是全部捕獲，這樣的話(huà)秉宿，捕獲的數(shù)據(jù)包將不再是longas-01.ivs戒突，而是longas-01.cap，請(qǐng)大家注意描睦。命令如下圖20所示膊存。

圖20

同樣地，在破解的時(shí)候忱叭，對(duì)象也變成了longas-*.cap隔崎。命令如下：

aircrack-ng 捕獲的cap文件

回車(chē)后如下圖21所示，一樣破解出了密碼窑多。

圖21

可能有的朋友又要問(wèn)仍稀，ivs和cap直接的區(qū)別到底在哪兒呢？其實(shí)很簡(jiǎn)單埂息，若只是為了破解的話(huà)技潘，建議保存為ivs，優(yōu)點(diǎn)是生成文件小且效率高千康。若是為了破解后同時(shí)來(lái)對(duì)捕獲的無(wú)線(xiàn)數(shù)據(jù)包分析的話(huà)享幽，就選為cap，這樣就能及時(shí)作出分析拾弃，比如內(nèi)網(wǎng)IP地址值桩、密碼等，當(dāng)然豪椿，缺點(diǎn)就是文件會(huì)比較大奔坟，若是在一個(gè)復(fù)雜無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境的話(huà)携栋，短短20分鐘，也有可能使得捕獲的數(shù)據(jù)包大小超過(guò)200MB咳秉。

如下圖22所示婉支，我們使用du命令來(lái)比較上面破解所捕獲的文件大小±浇ǎ可以看到向挖，longas-01.ivs只有3088KB，也就算是3MB炕舵，但是longas-02.cap則達(dá)到了22728KB何之，達(dá)到了20MB左右！咽筋！

圖22

◆使用Aircrack-ng破解WPA-PSK加密無(wú)線(xiàn)網(wǎng)絡(luò)

結(jié)合上小節(jié)的內(nèi)容溶推，下面繼續(xù)是以BackTrack4 R2 Linux為環(huán)境，講述破解WPA-PSK加密無(wú)線(xiàn)網(wǎng)絡(luò)的具體步驟奸攻，詳細(xì)如下悼潭。

步驟1：升級(jí)Aircrack-ng。

前面在第一章1.3節(jié)我們已經(jīng)講述了升級(jí)Aircrack-ng套裝的詳細(xì)步驟舞箍，這里也是一樣，若條件允許皆疹，應(yīng)將Aircrack-ng升級(jí)到最新的Aircrack-ng 1.1版疏橄。由于前面我已經(jīng)給出了詳細(xì)的步驟，這里就不再重復(fù)略就。

除此之外捎迫，為了更好地識(shí)別出無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備及環(huán)境，最好對(duì)airodump-ng的OUI庫(kù)進(jìn)行升級(jí)表牢，先進(jìn)入到Aircrack-ng的安裝目錄下窄绒，然后輸入命令如下：

airodump-ng-oui-update

回車(chē)后，就能看到如下圖23所示的開(kāi)始下載的提示崔兴，稍等一會(huì)兒彰导，這個(gè)時(shí)間會(huì)比較長(zhǎng)，恩敲茄，建議預(yù)先升級(jí)位谋，不要臨陣磨槍。

圖23

步驟2：載入并激活無(wú)線(xiàn)網(wǎng)卡至monitor即監(jiān)聽(tīng)模式堰燎。

在進(jìn)入BackTrack4 R2系統(tǒng)后掏父，載入無(wú)線(xiàn)網(wǎng)卡的順序及命令部分，依次輸入下述命令：

startx??????????? 進(jìn)入到圖形界面

ifconfig –a?????? 查看無(wú)線(xiàn)網(wǎng)卡狀態(tài)

ifconfig? wlan0? up???? 載入無(wú)線(xiàn)網(wǎng)卡驅(qū)動(dòng)

airmon-ng? start? wlan0? 激活網(wǎng)卡到monitor模式

如下圖24所示秆剪，我們可以看到無(wú)線(xiàn)網(wǎng)卡的芯片及驅(qū)動(dòng)類(lèi)型赊淑，在Chipset芯片類(lèi)型上標(biāo)明是Ralink 2573芯片爵政，默認(rèn)驅(qū)動(dòng)為rt73usb，顯示為“monitor mode enabled on mon0”陶缺，即已啟動(dòng)監(jiān)聽(tīng)模式钾挟，監(jiān)聽(tīng)模式下適配器名稱(chēng)變更為mon0。

圖24

步驟3：探測(cè)無(wú)線(xiàn)網(wǎng)絡(luò)组哩，抓取無(wú)線(xiàn)數(shù)據(jù)包等龙。

在激活無(wú)線(xiàn)網(wǎng)卡后，我們就可以開(kāi)啟無(wú)線(xiàn)數(shù)據(jù)包抓包工具了伶贰，這里我們使用Aircrack-ng套裝里的airodump-ng工具來(lái)實(shí)現(xiàn)蛛砰，具體命令如下：

airodump-ng -c 6 –w longas mon0

參數(shù)解釋?zhuān)?/p>

-c?這里我們?cè)O(shè)置目標(biāo)AP的工作頻道，通過(guò)觀(guān)察黍衙，我們要進(jìn)行攻擊測(cè)試的無(wú)線(xiàn)路由器工作頻道為6泥畅；

-w?后跟要保存的文件名，這里w就是“write寫(xiě)”的意思琅翻，所以輸入自己希望保持的文件名位仁，這里我就寫(xiě)為longas。那么方椎，小黑們一定要注意的是：這里我們雖然設(shè)置保存的文件名是longas聂抢，但是生成的文件卻不是longas.cap，而是longas-01.cap棠众。

mon0?為之前已經(jīng)載入并激活監(jiān)聽(tīng)模式的無(wú)線(xiàn)網(wǎng)卡琳疏。如下圖25所示。

在回車(chē)后闸拿，就可以看到如下圖25所示的界面空盼，這表示著無(wú)線(xiàn)數(shù)據(jù)包抓取的開(kāi)始。接下來(lái)保持這個(gè)窗口不動(dòng)新荤，注意揽趾，不要把它關(guān)閉了。另外打開(kāi)一個(gè)Shell苛骨。進(jìn)行后面的內(nèi)容篱瞎。

圖25

步驟4：進(jìn)行Deauth攻擊加速破解過(guò)程。

和破解WEP時(shí)不同痒芝，這里為了獲得破解所需的WPA-PSK握手驗(yàn)證的整個(gè)完整數(shù)據(jù)包奔缠，無(wú)線(xiàn)黑客們將會(huì)發(fā)送一種稱(chēng)之為“Deauth”的數(shù)據(jù)包來(lái)將已經(jīng)連接至無(wú)線(xiàn)路由器的合法無(wú)線(xiàn)客戶(hù)端強(qiáng)制斷開(kāi)，此時(shí)吼野，客戶(hù)端就會(huì)自動(dòng)重新連接無(wú)線(xiàn)路由器校哎，黑客們也就有機(jī)會(huì)捕獲到包含WPA-PSK握手驗(yàn)證的完整數(shù)據(jù)包了。此處具體輸入命令如下：

aireplay-ng -0 1 –a AP的mac -c 客戶(hù)端的mac wlan0

參數(shù)解釋?zhuān)?/p>

-0?采用deauth攻擊模式，后面跟上攻擊次數(shù)闷哆，這里我設(shè)置為1腰奋，大家可以根據(jù)實(shí)際情況設(shè)置為10不等；

-a?后跟AP的MAC地址抱怔；

-c?后跟客戶(hù)端的MAC地址劣坊；

回車(chē)后將會(huì)看到如下圖26所示的deauth報(bào)文發(fā)送的顯示。

圖26

此時(shí)回到airodump-ng的界面查看屈留，在下圖27中我們可以看到在右上角出現(xiàn)了“WPA handshake”的提示局冰，這表示獲得到了包含WPA-PSK密碼的4此握手?jǐn)?shù)據(jù)報(bào)文，至于后面是目標(biāo)AP的MAC灌危，這里的AP指的就是要破解的無(wú)線(xiàn)路由器康二。

圖27

若我們沒(méi)有在airodump-ng工作的界面上看到上面的提示，那么可以增加Deauth的發(fā)送數(shù)量勇蝙，再一次對(duì)目標(biāo)AP進(jìn)行攻擊沫勿。比如將-0參數(shù)后的數(shù)值改為10。如下圖28所示味混。

圖28

步驟5：開(kāi)始破解WPA-PSK产雹。

在成功獲取到無(wú)線(xiàn)WPA-PSK驗(yàn)證數(shù)據(jù)報(bào)文后，就可以開(kāi)始破解翁锡，輸入命令如下：

aircrack-ng -w dic 捕獲的cap文件

參數(shù)解釋?zhuān)?/p>

-w?后跟預(yù)先制作的字典蔓挖，這里是BT4下默認(rèn)攜帶的字典。

在回車(chē)后馆衔，若捕獲數(shù)據(jù)中包含了多個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)时甚，也就是能看到多個(gè)SSID出現(xiàn)的情況。這就意味著其它AP的無(wú)線(xiàn)數(shù)據(jù)皆因?yàn)楣ぷ髟谕活l道而被同時(shí)截獲到哈踱，由于數(shù)量很少所以對(duì)于破解來(lái)說(shuō)沒(méi)有意義。此處輸入正確的選項(xiàng)即對(duì)應(yīng)目標(biāo)AP的MAC值梨熙，回車(chē)后即可開(kāi)始破解开镣。如下圖29所示為命令輸入情況。

圖29

由下圖30可以看到咽扇，在雙核T7100的主頻+4GB內(nèi)存下破解速度達(dá)到近450k/s邪财，即每秒鐘嘗試450個(gè)密碼。

圖30

經(jīng)過(guò)不到1分多鐘的等待质欲，我們成功破解出了密碼树埠。如下圖31所示，在“KEY FOUND”提示的右側(cè)嘶伟，可以看到密碼已被破解出怎憋。密碼明文為“l(fā)ongaslast”，破解速度約為450 key/s。若是能換成4核CPU的話(huà)绊袋，還能更快一些毕匀。

圖31

◆使用Aircrack-ng破解WPA2-PSK加密無(wú)線(xiàn)網(wǎng)絡(luò)

對(duì)于啟用WPA2-PSK加密的無(wú)線(xiàn)網(wǎng)絡(luò)，其攻擊和破解步驟及工具是完全一樣的癌别，不同的是皂岔，在使用airodump-ng進(jìn)行無(wú)線(xiàn)探測(cè)的界面上，會(huì)提示為WPA CCMP PSK展姐。如下圖32所示躁垛。

圖32

當(dāng)我們使用aireplay-ng進(jìn)行deauth攻擊后，同樣可以獲得到WPA握手?jǐn)?shù)據(jù)包及提示圾笨，如下圖33所示教馆。

圖33

同樣地，使用aircrack-ng進(jìn)行破解墅拭，命令如下：

aircrack-ng -w dic 捕獲的cap文件

參數(shù)解釋?zhuān)?/p>

-w?后跟預(yù)先制作的字典文件

經(jīng)過(guò)1分多鐘的等待活玲，可以在下圖34中看到提示：“KEY FOUND！”后面即為WPA2-PSK連接密碼19890305谍婉。

圖34

現(xiàn)在舒憾，看明白了吧？破解WPA-PSK對(duì)硬件要求及字典要求很高穗熬，所以只要你多準(zhǔn)備一些常用的字典比如生日镀迂、8位數(shù)字等，這樣破解的時(shí)候也會(huì)增大破解的成功率唤蔗。

◆使用Aircrack-ng進(jìn)行無(wú)線(xiàn)破解的常見(jiàn)問(wèn)題

恩探遵，下面使一些初學(xué)無(wú)線(xiàn)安全的小黑們?cè)诠糁锌赡苡龅降膯?wèn)題，列舉出來(lái)方便有朋友對(duì)號(hào)入座：

1．我的無(wú)線(xiàn)網(wǎng)卡為何無(wú)法識(shí)別妓柜？

答：BT4支持的無(wú)線(xiàn)網(wǎng)卡有很多箱季，比如對(duì)采用Atheros、Prism2和Ralink芯片的無(wú)線(xiàn)網(wǎng)卡棍掐，無(wú)論是PCMCIA還是PCI藏雏，亦或是USB的，支持性還是很高的作煌。要注意BT4也不是所有符合芯片要求的無(wú)線(xiàn)網(wǎng)卡都支持的掘殴，有些同型號(hào)的但是硬件固件版本不同就不可以，具體可以參考Aircrack-ng官方網(wǎng)站的說(shuō)明粟誓。

2．為什么我輸入的命令老是提示錯(cuò)誤奏寨？

答：呃……沒(méi)什么說(shuō)的，兄弟鹰服，注意大小寫(xiě)和路徑吧病瞳。

3．為什么使用airodump-ng進(jìn)行的的ArpRequest注入攻擊包時(shí)揽咕，速度很緩慢？仍源？

答：原因主要有兩個(gè)：

（1．是可能該無(wú)線(xiàn)網(wǎng)卡對(duì)這些無(wú)線(xiàn)工具的支持性不好心褐，比如很多筆記本自帶的無(wú)線(xiàn)網(wǎng)卡支持性就不好；

（2．是若只是在本地搭建的實(shí)驗(yàn)環(huán)境的話(huà)笼踩，會(huì)因?yàn)榭蛻?hù)端與AP交互過(guò)少逗爹，而出現(xiàn)ARP注入攻擊緩慢的情況，但若是個(gè)客戶(hù)端很多的環(huán)境嚎于，比如商業(yè)繁華區(qū)或者大學(xué)科技樓掘而，很多用戶(hù)在使用無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行上網(wǎng)，則攻擊效果會(huì)很顯著于购，最短5分鐘即可破解WEP袍睡。

4．為什么使用aireplay-ng發(fā)送的Deauth攻擊包后沒(méi)有獲取到WPA握手包？

答：原因主要有兩個(gè)：

（1．是可能該無(wú)線(xiàn)網(wǎng)卡對(duì)這些無(wú)線(xiàn)工具的支持性不好肋僧，需要額外的驅(qū)動(dòng)支持斑胜；

（2．是無(wú)線(xiàn)接入點(diǎn)自身問(wèn)題，有的AP在遭受攻擊后會(huì)短時(shí)間內(nèi)失去響應(yīng)嫌吠，需重起或等待片刻才可恢復(fù)正常工作狀態(tài)止潘。

5．為什么我找不到捕獲的cap文件？

答：其實(shí)這是件很抓狂的問(wèn)題辫诅，雖然在前面使用airodump-ng時(shí)提到文件保存的時(shí)候凭戴，我已經(jīng)說(shuō)明默認(rèn)會(huì)保存為“文件名-01.cap”這樣的方式，但是依舊會(huì)有很多由于過(guò)于興奮導(dǎo)致眼神不濟(jì)的小黑們抱怨找不到破解文件炕矮。

好吧么夫，我再舉個(gè)例子，比如最初捕獲時(shí)我們命名為longas或者longas.cap肤视，但在aircrack-ng攻擊載入時(shí)使用ls命令察看档痪，就會(huì)發(fā)現(xiàn)該文件已變成了longas-01.cap，此時(shí)邢滑，將要破解的文件改為此即可進(jìn)行破解腐螟。若捕獲文件較多，需要將其合并起來(lái)破解的話(huà)殊鞭，就是用類(lèi)似于“l(fā)ongas*.cap”這樣的名字來(lái)指代全部的cap文件。這里*指代-01尼桶、-02等文件操灿。

6．Linux下捕獲的WPA握手文件是否可以放到Windows下破解？

答：這個(gè)是可以的泵督，不但可以導(dǎo)入windows下shell版本的aircrack-ng破解趾盐，還可以導(dǎo)入Cain等工具進(jìn)行破解。關(guān)于Windows下的破解我已在《無(wú)線(xiàn)黑客傻瓜書(shū)》里做了詳細(xì)的闡述，這里就不講述和BT4無(wú)關(guān)的內(nèi)容了救鲤。