Přepnutí wifi karty do monitorovacího režimu

Prvním krokem je přepnutí bezdrátové karty do monitorovacího režimu. K tomu použijeme utilitu airmon-ng a to v následující syntaxi:

airmon-ng start wlan0

 

 

Parametr wlan0 je označení fyzické wifi karty. Linux čísluje tyto karty od nuly, jedná se tedy o první kartu. Pokud je v systému více karet (například interní + přes USB), je možné parametr upravit na požadovanou hodnotu. Po provedení příkazu se vytvoří nový virtuální adaptér s označením mon0, se kterým budeme později pracovat.

Pozn.: Pokud chcete zobrazit seznam všech síťových karet v systému (včetně virtuálních), použijte příkaz ifconfig.

Získání informací o routeru

K samotnému útoku potřebujeme znát 

My si ale zahrajeme na opravdového hackera a potřebnou informaci si zjistíme pomocí utility airodump-ng. Skutečný hacker totiž většinou k routeru, na který útočí, nemá přístup.

airodump-ng mon0

Utilita akceptuje více parametrů, pro základní sken okolí ale stačí pouze předat označení adaptéru, který chceme použít. Všimněte si, že jsme použili již virtuální adaptér mon0.

airodump-ng

airodump-ng

Necháme airodump běžet nějakou chvíli, dokud se v seznamu neobjeví požadovaný router. Z výpisu je patrný SSID každé sítě (její název) a také MAC adresa zařízení. Jakmile vidíme požadovaný záznam, stiskneme Ctrl+C a vrátíme se tak zpět do příkazového řádku.

Zahájení brute-force útoku

V tuto chvíli máme všechny potřebné informace pro spuštění útoku. Na řadu přichází poslední utilita reaver, která provede samotný útok hrubou silou.

Za předpokladu, že MAC adresa našeho routeru je 11:22:33:44:55:66 a pro útok použijeme virtuální mon0 adaptér, pustíme reaver s následujícími parametry:

reaver -i mon0 -b 11:22:33:44:55:66 -vv

První dva parametry jsou zřejmé, poslední z nich -vv instruuje reaver, aby byl velmi výřečný (very verbose), což má za následek poskytnutí detailního výpisu na obrazovku během útoku.

Reaver - právě spuštěno

Reaver - právě spuštěno

Co když se útok nerozjede?

Pokud se po spuštění útoku začne objevovat následující hláška:

[!] WARNING: Failed to associate with 11:22:33:44:55:66 (ESSID: nazev)

Můžeme zkusit spustit v druhém okně příkazového řádku (terminálu) aireplay, který začne generovat provoz ve wifi síti a tím pomůže odstranit problém s asociací.

spustíme aireplay (první terminál)

#aireplay-ng mon0 -1 120 -a 11:22:33:44:55:66 -e název routeru (wifi sítě)

 

spustíme reaver (druhý terminál)

#reaver -i mon0 -A -b 11:22:33:44:55:66 -vv

Nepřehlédněte, že reaver dostal navíc parametr -A.

Pokud se útok zastaví ihned po úspěšné asociaci s routerem, tedy zůstane stát na této hlášce:

[+] Associated with 11:22:33:44:55:66 (ESSID: nazev)

není s největší pravděpodobností na routeru aktivní WPS (alespoň tak se u mě reaver v tomto případě choval). Můžeme ještě zkusit otestovat stav WPS pomocí utility wash:

wash -i mon0 -C

U aktivního WPS by měl wash vypsat verzi WPS (1.0) a hodnota WPS Locked musí být No.

Určitě mi dejte v komentářích vědět, zda něco z toho pomohlo.

Jak to funguje?

Finta celého útoku je v tom, že router potvrdí správnost první poloviny osmimístného PINu bez ohledu na to, zda souhlasí zbytek. Reaver tak v první fázi postupně zkouší všechny možnosti v rozsahu 0000yyyy až 9999yyyy. Pokud je potřeba na jeden PIN zhruba 3 až 5 sekund, je zřejmé, že u PINu začínajícího devítkou bude útok hrubou silou trvat mnohem déle (až 12 hodin), než u PINu začínajícího například jedničkou (hodina až dvě). Jistotou ovšem je, že pokud router nemá implementovány žádné obranné mechanizmy, bude útok vždy úspěšný a to v řádu maximálně desítek hodin.

Druhá část útoku je již mnohem rychlejší, protože druhá části PINu má sice také čtyři číslice, ale poslední z nich je kontrolní součet, který lze odvodit z předcházejících sedmi číslic. Je tedy nutné vyzkoušet pouze hodnoty v rozsahu xxxx000z až xxxx999z, kde xxxx již známe z předcházející první části a hodnotu kontrolního součtu z dopočítáme.