手工使用 air*-ng 工具破解 WEP

beyes

在 《 使用 minidwep-gtk 破解 WEP 密码》介绍了如何使用 minidwep-gtk 来破解 WEP 密码，实际上 minidwep-gtk 背后调用的也是 air*-ng 的系列工具，下面演示如何手工使用这系列工具来破解 WEP 密码。
1. 先用 iwconfig 命令查无线网卡的状态：

root@kali:~# iwconfig
wlan0     IEEE 802.11bgn  ESSID:"rztec"
          Mode:Managed  Frequency:2.437 GHz  Access Point: C8:E7:D8:00:18:D0
          Bit Rate=72.2 Mb/s   Tx-Power=20 dBm
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Encryption key:off
          Power Management:off
          Link Quality=70/70  Signal level=-33 dBm
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:4  Invalid misc:19   Missed beacon:0

lo        no wireless extensions.

eth0      no wireless extensions.

2. 将无线网卡设置为监听模式，这道理类似于你以前用的各种嗅探工具来抓取数据包及密码：

# airmon-ng start wlan0
Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID        Name
3361        NetworkManager
3472        wpa_supplicant


Interface        Chipset                Driver

wlan0                Ralink RT2870/3070        rt2800usb - [phy0]
                                (monitor mode enabled on mon0)

=======================

由红色高亮行可以看到，新建了一个 mon0 接口，并处于监听模式；用 ifconfig 命令也可以看到该接口。上面的命令输出中还提示了可能引起问题的进程，这个不要紧，无须理会。

在激活了无线网卡并使之处于监听模式后，就可以开始抓包了。抓包命令使用 airodump-ng 。在开始抓包之前，一般要进行一下探测活动，以获得周边无线网络的概况，比如我们可以获得 AP 的 SSID，MAC 地址，工作频道，以及接入某个 AP 的无线客户端的 MAC 地址及数量等。由于我们这里只关心 WEP 保护协议，所以输入下面的命令：

1. airodump-ng -t WEP mon0

复制代码

其中 -t 选项后接保护协议类型，如 OPN, WEP, WPA, WPA1, WPA2 等。如下图所示：


由上图可以看到出现了两个 WEP目标，再观察 PWR 一栏，可以看到 ESSID 为 TP-LINK_1ECADE 的信号最强；如果 PWR 的值显示为 -1，那说明网卡驱动没法报告出该信号强度，无须理会。

我们获得了目标的 ESSID 为 TP-LINK_1ECADE， BSSID(MAC) 为 C8:E7:D8:1E:CA:DE ，工作频道为 2， 还有连接到该 AP 的一个客户端 MAC 为 98:6C:F5:0E:6D:B8 。


接下来，就要开始真正的工作了，输入下面的命令：

1. airodump-ng --ivs -w mytp -c 2 mon0

复制代码

选项说明如下：

--ivs ，仅保存可用于破解的 IVS 数据报文，设置该过滤条件有助于缩减保存的数据包大小。

-c，设置目标 AP 的工作频道。

-w，要保存的文件名前缀，w 就是 wirte ，即写入之意。需要注意的是，生成的文件不会是 mytp.ivs，而是会加一个编号，如 mytp-01.ivs ，以后再用时，又会自动生成 02 编号的文件名，如 mytp-02.ivs 。

运行该命令的窗口可以不用关闭，通过它可以观察到一些数据的情况。

如果连接该 AP/路由 的无线客户端正在进行大流量的交互，比如下载大文件，观看视频等，那么依靠单纯的抓包就能破解 WEP 密码。但你总不会这么好运，或许他在在线看小说，而且读得很慢，半天都不翻一篇，所以你会等得有些着急。然而，这个工具包里还提供了另外一款辅助工具 aireplay-ng ，它采用了一种称之为 ArpRequest  的方式读取 ARP 请求报文，并伪造报文再次重发出去，以刺激 AP 产生更多的数据包，从而加速破解进程。这种方法就称之为 ArpQuest 注入攻击，输入以下命令开始这种攻击：

1. aireplay-ng -3 -b 00:19:E0:D9:C2:E8 -h 98:6C:F5:0E:6D:B8 mon0

复制代码

有时候可能会遇到提示你得加入一个 --ignore-negative-one 的选项，照着添加进去即可：

1. aireplay-ng --ignore-negative-one -3 -b 00:19:E0:D9:C2:E8 -h 98:6C:F5:0E:6D:B8 mon0

复制代码

接下来开始等待，此时你回到执行 airodump-ng 的界面查看，会看到 #Data 一栏的数据在快速网上增长，这是好事。一旦成功截获了 ARP 请求报文，那么会看到大量 ARP 报文快速交互的情况，如下图所示：



在抓取的无线数据报文在达到一定数量后，一般情况下 ivs 达到 2 万左右时，就可以开始破解了。如果一时破解不出来，那么就继续等一会，由于该破解方式不是在跑字典，所以不用担心字典跑完了密码还没出现的情况，只要收集的数据包一直往上走，或快或慢，总有到达要求的时候。需要注意的是，在破解生成的 ivs 文件的时候，不需要关闭掉这个注入攻击窗口，而是打开一个 shell 进行同步破解，一时破解不了，那么稍后再继续执行破解命令，如下所示：

aircrack-ng mytp-01.ivs

。
当破解成功时，会给出结果，如下图所示：


由上图可以看到，该密码是 ABC11 ，使用该密码就可以连接目标 AP 了。由于我在做这个测试时，就将机器丢在一边许久时间，因此捕获到了非常多的 ivs，实际上无需这么多。一般来说，破解 64 位的 WEP 至少需要 1 万以上的 ivs，如果是高强度密码，那么就需要捕获更多，比如 8 万，甚至是十几万。捕获累积 ivs 的过程会比较缓慢，但一旦数量到，那么破解出来也就几秒钟的事情。