1 WLAN Hacking

1 WLAN Hacking
1.1 Möglichkeiten (WEP)
1.1.1 Passive Methode
1. Nachdem die Karte in den Monitormodus geschalten wurde, wird mit Hilfe eines Programms der gesamte
Datenverkehr den die WLAN-Karte sieht mitgeschnitten (vgl. Wireshark):
# airodump-ng -c 10 --bssid 00:02:2D:61:9F:01 -w dumpfile wlan0
Wobei
-c 10
für den Kanal steht auf dem gelauscht werden soll (Ohne diesen Parameter würde zwischen den
Kanälen hin- und hergesprungen)
--bssid 00:02:2D:61:9F:01
für den AP steht dessen Kommunikation mitgeschnitten werden soll. Die
iwlist wlan0 scan herausgefunden
-w dumpfile gibt die Datei an, in die der Trac geschrieben wird.
wlan0 ist schlieÿlich das Netzwerk Interface, welches verwendet werden soll.
MAC Adresse des AP kann unter Linux z. B. mit
2. Parallel wird jetzt
aircrack-ng
werden.
gestartet um aus dem mitgeschnittenen Trac den WEP Schlüssel zu
berechnen:
$ aircrack-ng -b 00:02:2D:61:9F:01 -a wep dumpfile-01.cap
Wobei
-b 00:02:2D:61:9F:01
wieder angibt welcher AP gemeint ist, falls in dem Dumple die Daten von
mehreren APs sind.
-a wep die Art der Verschlüsselung angibt (alternativ -a wpa für eine WPA Wörterbuchattacke.
dumpfile-01.cap die Datei ist aus der gelesen werden soll. (-01.cap wird von airodump-ng automatisch
angehängt).
3. Diese Methode hat zwar den Vorteil, dass man von
Intrusion Detection
Systemen nicht erkannt werden
kann, da man sich komplett passiv verhält. Jedoch müssen im Netz schon Clients sein, die auch noch viel
Trac produzieren, damit man genug Daten erhält um den Schlüssel zu berechnen.
1.1.2 Aktive Methode (ARP Replay)
1. Die ersten beiden Schritte sind identisch mit dem passiven Angri auf ein WLAN. Zusätzlich benötigt
man jedoch ein weiteres Programm, welches eigene Pakete an den AP senden kann, hier
Es ist unbedingt zu beachten, dass zuvor mit
iwconfig
aireplay-ng.
die Parameter der Netzwerkkarte richtig gesetzt
werden (v. a. Kanal, max. Übertragungsrate, ESSID).
Da ein im Netzwerk vorhandener Client in vielen Fällen nicht genug Trac erzeugen wird um in angemessener Zeit den WEP Key berechnen zu können müssen wir selbst für den Trac sorgen. Bei einer
ARP Replay Attacke lauscht
aireplay-ng
nach einem ARP Request, welcher ein aktiver Client im Netz
broadcastet. Trotz der Verschlüsselung lassen sich ARP Pakete anhand der festen Gröÿe von 28 Byte und
der Broadcast Destination MAC Adresse von FF:FF:FF:FF:FF:FF erkennen.
Dieses eine Paket wird dann immer wieder von
AP das Paket
re-broadcastet
aireplay-ng injected,
also erneut gesendet, worauf der
und neue IVs erzeugt:
# aireplay-ng --arpreplay -b 00:02:2D:61:9F:01 -h 00:0C:F6:0A:28:96 wlan0
Wobei
--arprelay die Angrismethode angibt.
-b 00:02:2D:61:9F:01 der AP ist, an den das Paket geschickt.
-h 00:0C:F6:0A:28:96 als Source MAC verwendet wird. Diese MAC Adresse muss mit dem AP verbunden sein, es kann also einfach die MAC Adresse des aktiven Clients verwendet werden (herauszunden
z. B. mit
wlan0
airodump-ng).
wieder das zu verwendende Interface angibt.
2. Bei dieser Methode benötigt man nach wie vor einen aktiven Client im Netz der mindestens einen ARP
Request schickt, und auÿerdem kann man aufgrund der übermäÿig vielen ARP Requests (ca. 500 Pakete/Sekunde) die beim Router eintreen leicht entdeckt werden. Dafür reicht einem aber schon ein Client
im Netz der nur minimal Trac verursachen muss.
1
1.1.3 Aktive Methode (ARP Replay mit Fake Authentication)
1. Diese Methode ist etwas aufwändiger als die bisher vorgestellten, kann aber auch verwendet werden wenn
gar kein Client im Netzwerk vorhanden ist. Nachdem wie zuvor auch die Karte in den Monitormodus
geschalten wurde wird wieder
aireplay-ng
verwendet, diesmal um eine
Fake Authentication
mit dem
AP durchzuführen. Diese erste Authentication ist noch komplett unabhängig von der verwendeten Verschlüsselung und funktioniert deswegen auch ohne bekannten WEP Key. Nur ein auf dem AP aktivierter
MAC Address Filter könnte Probleme machen. Wie schon zuvor muss auch hier darauf geachtet werden,
dass die mit
iwconfig
eingestellten Parameter mit denen des Netzwerks übereinstimmen:
# aireplay-ng --fakeauth=0 -e LCNTEST -a 00:02:2D:61:9F:01 -h 00:0C:F6:0A:28:96 wlan0
Wobei
--fakeauth=0
wieder die Angrismethode angibt. Die 0 gibt die Zeit in Sekunden zwischen zwei Authen-
tizierungsversuchen an.
-e LCNTEST die ESSID des Netzwerks ist.
-a 00:02:2D:61:9F:01 die MAC Adresse des AP ist.
-h 00:0C:F6:0A:28:96 als Source MAC Adresse verwendet
wird. Ohne diesen Parameter wird die eigen
MAC Adresse verwendet. Ist auf dem AP MAC-Address-Filtering aktiviert muss hier eine vom AP
akzeptierte MAC Adresse angegeben werden.
wlan0
einmal mehr unser WLAN Interface ist.
2. Als nächstes muss
aireplay-ng verwendet werden um eine Fragmentation
zu starten. Bei manchen APs funktioniert nur die
Fragmentation,
chopchop Attacke
chopchop Attacke.
Attacke oder
bei anderen nur die
Ggf. müssen also beide probiert werden. Das Ergebnis ist das selbe, so dass sich die weiteren Schritte
nicht unterscheiden. Ziel der Attacke ist es eine PRGA (pseudo random generation algorithm) Datei zu
erhalten. Mit dieser ist es zwar nicht möglich Pakete zu entschlüsseln, jedoch können damit eigene gültige
Pakete erzeugt und an dem AP geschickt werden:
# aireplay-ng --fragment -b 00:02:2D:61:9F:01 -h 00:0C:F6:0A:28:96 wlan0
Wobei
--fragment
die Angrismethode ist. Funktioniert diese Attacke nicht, kann auch
--chopchop
verwendet
werden.
-b 00:02:2D:61:9F:01
-h 00:0C:F6:0A:28:96
die MAC Adresse des AP ist.
wieder die Source MAC ist. Es muss die gleiche Source MAC verwendet werden
wie im Schritt zuvor.
wlan0
wieder unser WLAN Interface ist.
3. Mit der PRGA Datei und dem Tool
packetforge-ng
können wir uns jetzt selbst einen ARP Request
bauen:
$ packetforge-ng --arp -a 00:02:2D:61:9F:01 -h 00:0C:F6:0A:28:96 -k 255.255.255.255 \
-l 255.255.255.255 -y fragment.xor -w arp.request
Wobei
--arp die Art des zu erzeugenden Paketes ist.
-a 00:02:2D:61:9F:01 die MAC Adresse des AP ist.
-h 00:0C:F6:0A:28:96 wieder sie gleiche Source MAC ist.
-k 255.255.255.255 die Ziel IP ist, die meisten APs reagieren auf
-l 255.255.255.255 die Quell IP ist.
-y fragment.xor die im vorigen Schritt erzeugte PRGA Datei ist.
-w arp.request der Dateiname für das fertige Paket.
4. Es wird wieder
airodump-ng
diese IP.
verwendet um den gesamten Trac mitzuschneiden:
# airodump-ng -c 10 --bssid 00:02:2D:61:9F:01 -w dumpfile wlan0
5. Jetzt wird unser selbst erzeugter ARP Request gebroadcastet. Damit der AP reagiert muss die Authentication aus dem ersten Schritt immernoch bestehen:
# aireplay-ng --interactive -r arp.request wlan0
Wobei
--interactive
die Angrismethode ist.
2
-r arp.request die Datei ist, aus welcher
wlan0 das zu benutzende Interface ist.
unser selbst erstellter ARP Request gelesen wird.
Die weiteren Parameter sind nicht nötig, da wir uns ja im ersten Schritt schon am AP Authentiziert
haben.
1.2 DoS durch Deauthentication Flooding
1. Beim Deauthentication Flooding wird einem bereits mit dem AP verbunden Client mitgeteilt die Verbindung sofort zu beenden. Das funktioniert unabhängig von der verwendeten Verschlüsselung (keine, WEP,
WPA), da es eine Ebene tiefer ansetzt, genau wie auch schon die Authentication im Abschnitt davor.
Die Karte muss natürlich wieder im Monitor Modus laufen es müssen wieder alle eingestellten Netzwerkparamater (Modus, Kanal, Geschwindigkeit) mit denen des tatsächlichen WLANs übereinstimmen:
# aireplay-ng --deauth 0 -a 00:02:2D:61:9F:01 -c 00:0C:F6:0A:28:96 wlan0
Wobei
--deauth=0
die Art der Attacke angibt. Die Zahl gibt an wieviele DeAuthentication Pakete verschickt
werden soll, wobei die 0 für dauerhaftes Senden steht.
-a 00:02:2D:61:9F:01
-c 00:0C:F6:0A:28:96
die vom AP geliehene MAC Adresse ist.
die MAC Adresse des Clients der getrennt werden soll. Es funktioniert auch ein
Broadcast Disconnect
wlan0
mit der MAC Adresse FF:FF:FF:FF:FF:FF.
das WLAN Interface ist.
1.3 Links
http://darkircop.org/bittau-wep.pdf
The Fragmentation Attack in Practice.
http://www.aircrack-ng.org/doku.php?id=chopchoptheory
http://www.heise.de/security/news/meldung/118658
ChopChop Theory.
heise: Sicherheitsexperten geben Details zum WPA-
Hack bekannt.
http://www.aircrack-ng.org/doku.php?id=deauthentication
http://de.wikipedia.org/wiki/Aircrack
Deauthentication Attack.
Aircrack Tool Suite bei Wikipedia.
3