步驟1：載入無線網(wǎng)卡。

其實很多新人們老是在開始載入網(wǎng)卡的時候出現(xiàn)一些疑惑，所以我們就把這個基本的操作仔細(xì)看看。首先查看當(dāng)前已經(jīng)載入的網(wǎng)卡有哪些，輸入命令如下：

ifconfig

回車后可以看到如下圖3所示內(nèi)容，我們可以看到這里面除了eth0之外，并沒有無線網(wǎng)卡。

圖3

確保已經(jīng)正確插入USB或者PCMCIA型無線網(wǎng)卡，此時，為了查看無線網(wǎng)卡是否已經(jīng)正確連接至系統(tǒng)，應(yīng)輸入：

ifconfig?-a

參數(shù)解釋：

-a?顯示主機(jī)所有網(wǎng)絡(luò)接口的情況。和單純的ifconfig命令不同，加上-a參數(shù)后可以看到所有連接至當(dāng)前系統(tǒng)網(wǎng)絡(luò)接口的適配器。

如下圖4所示，我們可以看到和上圖3相比，出現(xiàn)了名為wlan0的無線網(wǎng)卡，這說明無線網(wǎng)卡已經(jīng)被BackTrack4 R2 Linux識別。

圖4

既然已經(jīng)識別出來了，那么接下來就可以激活無線網(wǎng)卡了。說明一下，無論是有線還是無線網(wǎng)絡(luò)適配器，都需要激活，否則是無法使用滴。這步就相當(dāng)于Windows下將“本地連接”啟用一樣，不啟用的連接是無法使用的。

在上圖4中可以看到，出現(xiàn)了名為wlan0的無線網(wǎng)卡，OK，下面輸入：

ifconfig?wlan0?up

當(dāng)然，通過輸入iwconfig查看也是可以滴。這個命令專用于查看無線網(wǎng)卡，不像ifconfig那樣查看所有適配器。

iwconfig

該命令在Linux下用于查看有無無線網(wǎng)卡以及當(dāng)前無線網(wǎng)卡狀態(tài)。如下圖6所示。

圖6

步驟2：激活無線網(wǎng)卡至monitor即監(jiān)聽模式。

對于很多小黑來說，應(yīng)該都用過各式各樣的嗅探工具來抓取密碼之類的數(shù)據(jù)報文。那么，大家也都知道，用于嗅探的網(wǎng)卡是一定要處于monitor監(jiān)聽模式地。對于無線網(wǎng)絡(luò)的嗅探也是一樣。

在Linux下，我們使用Aircrack-ng套裝里的airmon-ng工具來實現(xiàn)，具體命令如下：

airmon-ng?start?wlan0

如下圖7所示，我們可以看到無線網(wǎng)卡的芯片及驅(qū)動類型，在Chipset芯片類型上標(biāo)明是Ralink 2573芯片，默認(rèn)驅(qū)動為rt73usb，顯示為“monitor mode enabled on mon0”，即已啟動監(jiān)聽模式，監(jiān)聽模式下適配器名稱變更為mon0。

圖7

步驟3：探測無線網(wǎng)絡(luò)，抓取無線數(shù)據(jù)包。

在激活無線網(wǎng)卡后，我們就可以開啟無線數(shù)據(jù)包抓包工具了，這里我們使用Aircrack-ng套裝里的airmon-ng工具來實現(xiàn)，具體命令如下：

不過在正式抓包之前，一般都是先進(jìn)行預(yù)來探測，來獲取當(dāng)前無線網(wǎng)絡(luò)概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端MAC及數(shù)量等。只需打開一個Shell，輸入具體命令如下：

airodump-ng?mon0

參數(shù)解釋：

mon0為之前已經(jīng)載入并激活監(jiān)聽模式的無線網(wǎng)卡。如下圖8所示。

圖8

回車后，就能看到類似于下圖9所示，這里我們就直接鎖定目標(biāo)是SSID為“TP-LINK”的AP，其BSSID（MAC）為“00：19：E0：EB：33：66”，工作頻道為6，已連接的無線客戶端MAC為“00：1F：38：C9：71：71”。

圖9

既然我們看到了本次測試要攻擊的目標(biāo)，就是那個SSID名為TP-LINK的無線路由器，接下來輸入命令如下：

airodump-ng?--ivs?–w?longas?-c?6?wlan0

參數(shù)解釋：

--ivs?這里的設(shè)置是通過設(shè)置過濾，不再將所有無線數(shù)據(jù)保存，而只是保存可用于破解的IVS數(shù)據(jù)報文，這樣可以有效地縮減保存的數(shù)據(jù)包大小；

-c?這里我們設(shè)置目標(biāo)AP的工作頻道，通過剛才的觀察，我們要進(jìn)行攻擊測試的無線路由器工作頻道為6；

-w?后跟要保存的文件名，這里w就是“write寫”的意思，所以輸入自己希望保持的文件名，如下圖10所示我這里就寫為longas。那么，小黑們一定要注意的是：這里我們雖然設(shè)置保存的文件名是longas，但是生成的文件卻不是longase.ivs，而是longas-01.ivs。

在回車后，就可以看到如下圖11所示的界面，這表示著無線數(shù)據(jù)包抓取的開始。

圖11

步驟4：對目標(biāo)AP使用ArpRequest注入攻擊

若連接著該無線路由器/AP的無線客戶端正在進(jìn)行大流量的交互，比如使用迅雷、電騾進(jìn)行大文件下載等，則可以依靠單純的抓包就可以破解出WEP密碼。但是無線黑客們覺得這樣的等待有時候過于漫長，于是就采用了一種稱之為“ARP Request”的方式來讀取ARP請求報文，并偽造報文再次重發(fā)出去，以便刺激AP產(chǎn)生更多的數(shù)據(jù)包，從而加快破解過程，這種方法就稱之為ArpRequest注入攻擊。具體輸入命令如下：

aireplay-ng?-3?-b?AP的mac?-h?客戶端的mac?mon0

參數(shù)解釋：

-3?指采用ARPRequesr注入攻擊模式；

-b?后跟AP的MAC地址，這里就是前面我們探測到的SSID為TPLINK的AP的MAC；

-h?后跟客戶端的MAC地址，也就是我們前面探測到的有效無線客戶端的MAC；

最后跟上無線網(wǎng)卡的名稱，這里就是mon0啦。

回車后將會看到如下圖12所示的讀取無線數(shù)據(jù)報文，從中獲取ARP報文的情況出現(xiàn)。

圖12

在等待片刻之后，一旦成功截獲到ARP請求報文，我們將會看到如下圖13所示的大量ARP報文快速交互的情況出現(xiàn)。

圖13

此時回到airodump-ng的界面查看，在下圖14中我們可以看到，作為TP-LINK的packets欄的數(shù)字在飛速遞增。

圖14

步驟5：打開aircrack-ng，開始破解WEP。

在抓取的無線數(shù)據(jù)報文達(dá)到了一定數(shù)量后，一般都是指IVs值達(dá)到2萬以上時，就可以開始破解，若不能成功就等待數(shù)據(jù)報文的繼續(xù)抓取然后多試幾次。注意，此處不需要將進(jìn)行注入攻擊的Shell關(guān)閉，而是另外開一個Shell進(jìn)行同步破解。輸入命令如下：

aircrack-ng?捕獲的ivs文件

那么經(jīng)過很短時間的破解后，就可以看到如下圖16中出現(xiàn)“KEY FOUND”的提示，緊跟后面的是16進(jìn)制形式，再后面的ASCII部分就是密碼啦，此時便可以使用該密碼來連接目標(biāo)AP了。 一般來說，破解64位的WEP至少需要1萬IVs以上，但若是要確保破解的成功，應(yīng)捕獲盡可能多的IVs數(shù)據(jù)。比如下圖16所示的高強(qiáng)度復(fù)雜密碼破解成功依賴于8萬多捕獲的IVs。

注意：由于是對指定無線頻道的數(shù)據(jù)包捕獲，所以有的時候大家會看到如下圖17中一樣的情景，在破解的時候出現(xiàn)了多達(dá)4個AP的數(shù)據(jù)報文，這是由于這些AP都工作在一個頻道所致，很常見的。此時，選擇我們的目標(biāo)，即標(biāo)為1的、SSID位dlink的那個數(shù)據(jù)包即可，輸入1，回車后即可開始破解。

補(bǔ)充一下：

若希望捕獲數(shù)據(jù)包時，能夠不但是捕獲包括IVS的內(nèi)容，而是捕獲所有的無線數(shù)據(jù)包，也可以在事后分析，那么可以使用如下命令：

airodump-ng?–w?longas?-c?6?wlan0

就是說，不再--ivs過濾，而是全部捕獲，這樣的話，捕獲的數(shù)據(jù)包將不再是longas-01.ivs，而是longas-01.cap，請大家注意。命令如下圖20所示。

圖20

同樣地，在破解的時候，對象也變成了longas-*.cap。命令如下：

aircrack-ng?捕獲的cap文件

回車后如下圖21所示，一樣破解出了密碼。

總結(jié)

以上是生活随笔為你收集整理的Aircrack-ng破解WEP的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。