深入理解Aireplay-ng各种攻击及其原理

//-------------------------------------------------------------------- // 深入理解Aireplay-ng各种攻击及其原理 // 作者:GaA.Ra(zhoufan#yahoo.cn) // 随意转载,但请保留此部分信息,谢谢 //--------------------------------------------------------------------

 

    这里主要讲常用的攻击模式(对于-6,-7攻击并不涉及),深入原理的集中在-2,-4,-5这三种攻击

/*------------------------------------------------------------------- Attack modes (numbers can still be used): //攻击模式(数字仍然可以使用) --deauth count : deauthenticate 1 or all stations (-0) //解除一个或者全部站的连接 --fakeauth delay : fake authentication with AP (-1) //对AP进行伪连接攻击 --interactive : interactive frame selection (-2) //交互注入攻击 --arpreplay : standard ARP-request replay (-3) //标准Arp请求包重放攻击 --chopchop : decrypt/chopchop WEP packet (-4) //解码或断续WEP数据包攻击 --fragment : generates valid keystream (-5) //产生合法密钥流 -------------------------------------------------------------------*/

 

一.-0攻击

    -0攻击主要是伪造一个disassocate包,让ap断开与客户端的链接,此时客户端会重新连接ap,那么我们从中可能得到的东西有:1,假如AP不广播ESSID,那么我们可以得到这个ESSID;2.如果使用的是WPA/WPA2的加密方式,通过这样做强迫客户端重新验证,我们就能够获得握手包;3.再重新连接过程中我们可以获取到ARP数据包,为-3攻击做准备.

 

二.-1攻击

    之前我一直也没弄明白为什么能够进行伪连接,既然我们并不知道WEP密码,那么如何进行连接?伪连接的伪主要体现在什么地方?这个应该是和AP的工作机制有关.我自己的理解是,在客户端与AP通信的时候,客户端需要在AP那里登记自己的MAC地址,这样AP才会接受这个MAC地址的网卡产生的数据包进行下一步的工作.一般WEP验证过程为:1.客户端发给AP认证请求 2.AP发回挑战字串 3.客户端利用WEP密码加密字串返回给AP 4.AP对返回结果进行本地匹配判断是否通过认证. 伪连接实际上就是进行了第1步,此后AP就登记了客户端的MAC地址,此时AP等待的是客户端返回挑战字串的加密包,对于攻击者,此时AP已经能够接受各种伪装生成的数据包并对其作出反应了.这一步对于无客户端的-2,-4,-5攻击相当重要.很明显,这样伪连接并不产生任何ARP包,同时也不会获得正确的WPA/WPA2握手包.

 

三.-2攻击

    -2攻击实际上是对特定的数据包进行重放,当AP收到这个数据包的时候对这个数据包进行广播,进而我们能够获得更多的iv以达到破解的要求.这个特定的数据包需要满足什么要求,我们需要了解一些相关的IEEE802.1帧控制的知识.如图