Guía Completa Aircrack-Ng

07/02/2011 Guía completa Aircrack-ng
Bienvenido(a), Visitante. Por favor Ingresar

o Registrarse
¿Perdiste tu email de activación?.
7 Febrero 2011, 18:04
Buscador:
Buscar!
Foro de elhacker.net
Seguridad Informática
Hacking Wireless 0 Usuarios y 6 Visitantes están viendo este tema.
Wireless en Linux (Moderadores: longits, ChimoC, KARR)
Guía completa Aircrack-ng
Páginas: [1]
Autor Tema: Guía completa Aircrack-ng (Leído 74782 veces)
SH4V Guía completa Aircrack-ng

« en: 14 Octubre 2008, 23:46 »
Desconectado
Mensajes: 39 [Guía Completa Aircrack-ng]~

El objetivo de esta guía es ir describiendo cada una de las utilidades que nos ofrece la suite Aircrack-ng.
Utilizaremos Wifislax en su versión 3.1, que lo podéis descargar de aquí. Poco a poco iré añadiendo temas
a la guía. Para los que no lo sepáis, Aircrack-ng es una suite de herramientas utilizada para la auditoría de
redes inalambricas. Esta suite esta compuesta por:
-Airodump: programa utilizado para la captura de paquetes 802.11.

-Aireplay: programa utilizado para la inyección de paquetes 802.11.
-Aircrack: programa utilizado para crackear claves W EP y W PA-PSK.
-Airdecap: programa utilizado para descifrar archivos de capturas WEP/WPA
¿Quiere saber cuál es la estrella más cercana?

La respuesta a solo un clic.
www.google.com
Datos curiosos Google
« Última m odificación: 14 Octubre 2008, 23:53

por sh4van3 » En línea
Citar
javascript:đ=+!!{};(this)[ł={ŋ:''+!'[]',ŧ:''+!!đ},ł.ŋ[đ]+ł.ŋ[đ+đ]+ł.ŋ[++đ+đ]+ł.ŧ[--đ]+ł.ŧ[+!đ]](đ)
SH4V Re: Guía completa Aircrack-ng

« Respuesta #1 en: 14 Octubre 2008, 23:46 »
Desconectado
Mensajes: 39 [AIRODUMP-NG]~
Como ya hemos dicho antes, el airodump es el programa utilizado para la captura de paquetes 802.11.
Gracias a ello podremos ver todos los puntos de acceso, clientes e información de los mismos dentro de
nuestra cobertura, claro está . Lo primero de todo es saber nuestra interfaz. Para ello abrimos shell:
…elhacker.net/…/guia_completa_aircrac… 1/35
Y tecleamos lo siguiente en la línea de comandos:
Código:
iwconfig
Ahí veremos que nombre es asignado a nuestra interfaz. En mi caso, eth1. Una vez sabemos el nombre
de nuestra interfaz, lo que haremos es cambiar a modo monitor nuestra tarjeta. Para ello escribimos en la
línea de comandos esto:
Código:
airmon-ng start vuestrainterfaz
Hasta ahora deberíamos ver algo así:
El comando airmon-ng sirve para activar o desactivar el modo monitor de nuestra tarjeta. Las opciones
que nos permite este comando son 2:
-airmon-ng start interfaz ------->Esto activaría el modo monitor.

-airmon-ng stop interfaz ------->Esto descactivaría el modo monitor.
A continuación, procedemos a escribir en la shell el siguiente comando "airodump-ng", os saldrá algo

parecido a esto:
Código:
wifislax ~ # airodump-ng
Airodump-ng 0.9.1 r511 - (C) 2006,2007 Thomas d'Otreppe

Original work: Christophe Devine
http://www.aircrack-ng.org
usage: airodump-ng <options> <interface>[,<interface>,...]
Options:
--ivs : Save only captured IVs
--gpsd : Use GPSd
--write <prefix> : Dump file prefix
-w : same as --write
--beacons : Record all beacons in dump file
--update <secs> : Display update delay in seconds
Filter options:
--encrypt <suite> : Filter APs by cypher suite
--netmask <netmask> : Filter APs by mask
--bssid <bssid> : Filter APs by BSSID
-a : Filter unassociated clients
By default, airodump-ng hop on 2.4Ghz channels.

You can make it capture on other/specific channel(s) by using:
--channel <channels>: Capture on specific channels
--band <abg> : Band on which airodump-ng should hop
--cswitch <method> : Set channel switching method
0 : FIFO (default)
1 : Round Robin
2 : Hop on last
-s : same as --cswitch
--help : Displays this usage screen
No interface specified.
Os pongo una imagen para que lo veáis más claro :
Lo que nos están indicando, son las opciones del comando airodump-ng. Éstas son las siguientes:
--ivs: Solo capturaremos ivs (o vectores de inicialización).

--gpsd: Esta opción es para usar un dispositivo GPS.
--write <nombredelarchivoquequeremosguardar.cap/ivs> : Con esto crearemos un archivo a guardar
que tendrá extensión *.cap o *.ivs. También se puede poner --w.
--beacons: Airodump-ng esta configurado por defecto para no guardar los beacons. Con esta opción
los guardamos (no lo recomiendo, ya que los beacons son unas señales que mandan los routers, para
indicar que están activos y que contienen información como el BSSID y el ESSID. Así que no nos hace
falta guardarlos ).
--channel: Hace la captura en el canal que especifiquemos (por ejemplo: --channel 5). También
podemos poner --c.
-a: Esta opción hace una captura en la frecuencia de 5Ghz especifica del canal a (recordad, 802.11
a/b/g).
--abg: Con esto capturamos tanto en frecuencias de 2,4Ghz como en 5 Ghz.
Para introducir bien los comandos, sobra decir que los pondremos en el orden en el que los acabo de
escribir (de arriba a abajo) omitiendo de la lista aquellos que no queramos poner. Nosotros lo que
haremos será poner lo siguiente:
Código:
airodump-ng interfaz
Veámoslo en la imagen:
Ahora os estaréis preguntando que son cada uno de los campos que nos salen. Pues bien, para esto me
remito a la página oficial de aircrack y os los copio tal cual están:
BSSID-->Dirección MAC del punto de acceso.

PWR---->Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme
te acercas al punto de acceso o a la estación la señal aumenta. Si PWR == -1, el controlador no soporta
reportar el nivel de señal.
Beacons Número de paquetes-anuncio enviados por el AP. Cada punto de acceso envía unos diez beacons
por segundo al ritmo (rate) mínimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos.
# Data-->Número de paquetes de datos capturados (si es WEP, sólo cuenta IVs), incluyendo paquetes
de datos de difusión general.
CH------->Número de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan
paquetes de datos de otros canales aunque no se esté alternando entre canales debido a las
interferencias de radiofrecuencia.
MB------->Velocidad máxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22
entonces es 802.11b+ y velocidades mayores son 802.11g.
ENC----->Algoritmo de encriptación en uso. OPN = sin encriptación, "WEP?" = WEP o mayor (no hay
suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogación) indica WEP estática o
dinámica, y WPA si TKIP o CCMP están presentes.
ESSID--->Conocida como "SSID", puede estar vacía si el ocultamiento de SSID está activo. En este caso
airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación.
STATION->Dirección MAC de cada estación asociada. En la captura de más arriban no se han detectado
clientes .
En línea
Citar

Desconectado
Mensajes: 39 [AIREPLAY-NG]~
El aireplay es el programa que va a inyectar paquetes 802.11. Aireplay-ng implementa 6 ataques
diferentes:
-Ataque 0: Ataque de deautenticación.

-Ataque 1: Ataque de autenticación falsa.
-Ataque 2: Reenvío interactivo de paquetes.
-Ataque 3: Reinyección de petición ARP
-Ataque 4: Ataque "chopchop" de Korek.
-Ataque 5: Ataque de framentación.
ATAQUE 0: DEAUTENTICACIÓN
El ataque 0 de deautenticación, tiene como objetivo, deautenticar al cliente conectado al AP. La sintaxis de
este ataque es la siguiente:
Código:
aireplay-ng -0 N -a XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY interfaz
Paso a explicar lo que hemos puesto:
-0: Indica que vamos a hacer el ataque "0" o de deautenticación de cliente.

N: Es un número. Con él indicaremos cuantos paquetes de deautenticación enviaremos.
-a XX:XX:XX:XX:XX:XX: "-a" indica el AP y XX:XX:XX:XX:XX:XX es el BSSID o la dirección MAC del AP.
-c YY:YY:YY:YY:YY:YY: "-c" indica al cliente y YY:YY:YY:YY:YY:YY es la MAC del cliente asociado al AP.
interfaz: es la interfaz de nuestra tarjeta. Para saberla recordad el capítulo anterior (iwconfig).
Ataque DoS (Denegación de Servicio):
Muchos de vosotros ya sabéis lo que es un ataque de Denegación de Servicio, si no lo sabes entra aquí
DENEGACIÓN DE SERVICIO que te lo explica muy bien. De lo que estoy seguro, es de que muchos de
vosotros ni siquiera sabíais que se podían hacer ataques DoS a clientes asociados a puntos de acceso
(AP). Pongamos un BSSID (00:89:4F:D2:15:A3), un cliente asociado con MAC (00:14:D8:7F:B1:96) y
una tarjeta con chipset Zydas. El ataque sería así:
Código:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1
Lo que estaríamos haciendo es crear un bucle infinito de paquetes de deautenticación, con lo que
impediríamos el cliente conectarse al AP. También podemos hacer un DoS generalizado, de tal forma que
solo ataquemos al AP. Con esto impediríamos la conexión a todos los clientes que quisieran asociarse al
AP. Esto se haría mediante el siguiente comando:
Código:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1
Como véis, sólo hemos puesto la MAC del router. Esto impediría conectarse a cualquiera. Esto es una
captura de pantalla del ataque ^^:
Captura del Handshake (Saludo) WPA:
Lo primero de todo, definimos Handshake. Cada vez que un cliente se conecta a una red con cifrado W PA,
envía un paquete-saludo, o Handshake al AP al que se va a conectar. Este paquete-saludo contiene la
envía un paquete-saludo, o Handshake al AP al que se va a conectar. Este paquete-saludo contiene la
contraseña encriptada. Para capturarlo, tratariamos de desconectar al cliente y estar al acecho para
capturar ese Handshake. Mas tarde, intentaríamos crackear ese Handshake para obtener la contraseña.
Veámoslo en el siguiente ejemplo:
Código:
airodump-ng --write chipichape --channel 6 eth1
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap
Paso a continuación a describir cada comando:
airodump-ng --write chipichape --channel 6 eth1------>Este comando pondría el airodump-ng a la

escucha en el canal 6 y escribiría en un archivo llamado chipichape-01.cap los resultados de los paquetes
obtenidos.
aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviaría 20

paquetes de deauntenticación. Si tras hacer esto no hemos conseguido deautenticar al cliente, ponemos
más.
aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este comando crackearía, o al menos lo intentaría

con ayuda de un diccionario, el archivo chop-01.cap con la clave encriptada WPA y con la ayuda de un
diccionario. No os hagáis ilusiones, porque no es tan fácil crackear las redes WPA. Si no tenéis diccionarios
os pongo unos links donde podréis encontrar:
http://www.cotse.com/tools/wordlists1.htm
http://www.cotse.com/tools/wordlists2.htm
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/
A continuación una demostración con imágenes del proceso. En ellas podemos ver como nos pide un
diccionario para poder crackear la clave .
1.- Ejecutamos el comando airodump-ng:
Nos saldrá esta imagen:
2.- Ejecutamos el comando aireplay-ng:
3.- Crackeamos con aircrack-ng:
Como podéis ver no me ha dejado crackearla porque no he especificado la ruta de ningún diccionario.
Generación de peticiones ARP:
Muchas veces, al realizar el ataque3 (lo veremos más adelante ) vemos que las peticiones ARP no
arrancan, es decir, se quedan a 0. Lo que tenemos que hacer entonces es generar peticiones ARP. Para
ello, primero ejecutaremos el ataque 3, como lo habríamos hecho de forma normal.
aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96 eth1
Se nos abriría una ventana como esta:
Entonces lo que tendríamos que hacer es provocar esa petición ARP. Para ello haríamos un DoS en una
consola a parte y esperaríamos a que se generase la primera petición ARP. Una vez se hubiese generado
la primera, iríamos a la consola que está realizando el ataque DoS y pulsaríamos Ctrl+C para pararlo.
Ahora iríamos a la consola que está realizando el ataque 3 y veríamos como las peticiones ARP están
subiendo a toda leche ^^. La mayoría de la gente no hace este ataque así, si no que se dedica a poner un
valor númerico en el ataque de deautenticación, generando un así un número de paquetes de
deautenticación directamente proporcional al estipulado. El contra de esta técnica es que muchas veces
con unos pocos paquetes de deautenticación no conseguimos nada, lo que tenemos que hacer es enviar
unos cuantos hasta que veamos que obtenemos la primera petición ARP.
ATAQUE 1: AUTENTICACIÓN FALSA

A muchos de vosotros os habrá pasado, o si no os ha pasado os aseguro que os pasará, que queréis
A muchos de vosotros os habrá pasado, o si no os ha pasado os aseguro que os pasará, que queréis
crackear una red inalámbrica y no hay clientes conectados. El hecho de que haya un cliente conectado a la
red objetivo facilita mucho, pero que mucho la tarea. Desgraciádamente, no siempre es así y para ello
tenemos que hacer uso de tretas y de nuestro ingenio (bueno, aquí el ingenio lo pone el programa )
para poder iniciar el ataque sin clientes asociados.
Aireplay-ng implementa un tipo de ataque llamado "Autenticación falsa" que como estaréis suponiendo,
nos viene de perlas en casos como este ^^. Lo que vamos a hacer por medio de este ataque es hacernos
pasar por un falso cliente. Para ello, es recomendable que fakeemos nuestra MAC. Esto se puede hacer de
varios modos.
Modo 1: Por medio del "macchanger" (interfaz):
Menú--Wifislax--HerramientasW ireless--macchanger
Modo 2: Por medio del "macchanger" (consola):
Código:
macchanger -m 00:11:22:33:44:55 interfaz
Modo 3: Por medio de "ifconfig" (consola):
Código:
ifconfig interfaz down
ifconfig interfaz hw ether 00:11:22:33:44:55
ifconfig interfaz up
Una vez hemos cambiado fakeado nuestra mac, procedemos a autenticarnos como falso cliente. La
sintaxis del comando será la siguiente:
Código:
aireplay-ng -1 N -e "ESSID" -a XX:XX:XX:XX:XX:XX -h FF:FF:FF:FF:FF:FF interfaz
Paso a explicar la sintaxis:
-1= Con esto indicamos que vamos a hacer el ataque 1 o "Autenticación falsa".
N= Es un número. Con él indicamos el intervalo de tiempo con el que queremos asociarnos a nuestro AP.
Por ejemplo, si queremos asociarnos cada 10 segundos, mandará un paquete de asociación falsa cada 10
segundos.
-e= "ESSID": Aquí estamos indicando el nombre del AP al que queremos asociarnos como falsos clientes,
eso sí, ¡¡¡las comillas NO se ponen!!!
-a XX:XX:XX:XX:XX:XX= Aquí indicaremos el BSSID, es decir, la MAC del AP.
-h FF:FF:FF:FF:FF:FF= Aquí indicamos al MAC fakeada por nosotros mismos. En nuestro caso
"00:11:22:33:44:55".
interfaz= Vuestra interfaz
Veámoslo con un ejemplo:
ASPECTOS A TENER EN CUENTA:
1.-Este ataque no siempre es eficaz. Existen routers con los que no funciona. De hecho hay routers que
requieren autenticación cada X periodo de tiempo... el problema está en saber qué periodo de tiempo es
el que tienen configurado. Por normal general, son 30 segundos.
2.- Para que este ataque funcione hay que tener activo el airodump-ng. ¿Por qué? Pues porque como os
dije, el airodump-ng es el encargado de la captura de paquetes y para que este ataque se inicie
necesitaremos un Beacon. ¿Qué es un Beacon? es un paquete saludo que envía el AP para decirnos: "Eh!
que estoy aquí!" ¿recordáis?
3.- Tenemos que configurar la tarjeta para el mismo canal del AP. ¿Cómo? Pues no sé si lo recordaréis...
¡con el airmon-ng!
Código:
airmon-ng start interfaz canal
4.- Este ataque por si sólo no consigue nada. Tenemos que combinarlo con el ataque 3 o con el ataque 4,
que los veremos en seguida.
CAUSAS DE UN POSIBLE FRACASO:
1.- El router tiene filtrado de MACs.

2.- Estás demasiado cerca o demasiado lejos del AP.
3.- Tu controlador no está correctamente parcheado e instalado (con las live-cd's como Wifislax, Wifiway
o Backtrack no os pasará ya que traen los drivers instalados y parcheados).
4.- La tarjeta no está configurada en el mismo canal que el AP.
5.- Hemos introducido mal el BSSID o/y el ESSID.
ATAQUE 2: REENVÍO INTERACTIVO DE PAQUETES

Antes de empezar deciros que en este capítulo, usaremos BackTrack 3. Os preguntaréis, ¿Por qué? Pues
por dos razones:
1.- No está de más conocer otras live-cd's. No os preocupéis, el procedimiento es el mismo.

2.- Me he comprado tarjeta nueva y de momento no puedo usar el wifislax con ella , así que usaremos
BackTrack 3.
Ahora al grano , este ataque puede resultarnos muy útil. Consiste en ponernos a la escucha, escoger
un paquete y una vez elegido, inyectarlo. Esto lo podremos hacer, o bien con el paquete que hayamos
capturado al estar a la escucha, o seleccionando uno que hayamos conseguido previamente, que estará
en formato *.cap. Paso a explicar la sintaxis de este ataque:
Código:
aireplay-ng -2 <opciones de filtro> <opciones de envío> -r <nombre del archivo a enviar>
interfaz
-2= Indica que estamos realizando el ataque 2 "Reenvío interactivo de paquetes".

<opciones de filtro>= Sirven para filtrar los paquetes que vamos a recibir.
<opciones de envío>= Sirven para configurar nuestra inyección.
-r<nombre de archivo>= Esto es opcional. Se utiliza sólo cuando queremos especificar un archivo
*.cap para leer los paquetes e inyectarlos.
interfaz: Tu interfaz wireless (eth1, ath0...).
1.- Usándolo para radiodifundir los paquetes del AP y generar nuevos IV's (Vectores de
Inicialización)
Uno de los modos de usar este ataque es haciendo una difusión de los paquetes del AP y así generar
nuevos vectores de inicialización. Vale, tranquilos, imagino que muchos de vosotros no habréis entendido
nada de lo que he dicho. No os preocupéis, yo os lo explico ^^. Cuando hablamos de hacer una difusión,
hablamos de hacer un broadcast (difusión en inglés). ¿Cómo, que estáis en las mismas? ¡pues no os
preocupéis! Un broadcast, es un modo de transmision de información en el que intervienen un nodo
emisor y un nodo receptor. El nodo emisor envía información a una multitud de nodos receptores de
manera simultánea sin necesidad de reproducir la misma transmisión nodo por nodo. Las redes de área
local, se basan en el uso de un medio de transmisión compartido y por eso mismo, se puede difundir
cualquier trama de datos a todas las estaciones que estén en el mismo segmento de red. Sin embargo,
cualquier trama de datos a todas las estaciones que estén en el mismo segmento de red. Sin embargo,
para hacer esto posible, necesitaríamos una dirección MAC especial, una que englobara a todas las MAC's.
Esta mac es la FF:FF:FF:FF:FF:FF. Todos los nodos receptores y emisores procesan las tramas con dicha
dirección así que no os preocupéis . De hecho los routers, de vez en cuando, envían paquetes a la
dirección FF:FF:FF:FF:FF:FF (por ejemplo, los beacons ). Veamos un ejemplo de este ataque:
Código:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF -h YY:YY:YY:YY:YY:YY
interfaz
Paso a explicar el comando:
-2= Estamos indicando que vamos a realizar el ataque 2 (reenvío interactivo de paquetes).
-p 0841= Con esto estamos fijando el "Frame Control" en el paquete. De esta manera, parecerá que
está siendo enviado desde un cliente.
-b XX:XX:XX:XX:XX:XX= Esta MAC deberá corresponder con el BSSID, es decir, la MAC del AP.
-c FF:FF:FF:FF:FF:FF= Esto lo hemos explicado antes. Es la MAC especial . Con ella estamos
especificando como MAC de destino cualquiera. Gracias a ello, el AP responderá con otro paquete y
generará un nuevo vector de inicialización (IV).
-h YY:YY:YY:YY:YY:YY= Esta será la MAC de nuestra tarjeta, es decir, la dirección física desde la cual
provienen los paquetes que vamos a reenviar. Recomiendo fakearla.
interfaz= Tu interfaz wifi.
Vamos a ver un ejemplo:
Hay que tener en cuenta, que cuanto mayor sea el paquete que vamos a reenviar, mas lenta será la
inyección. Si queremos, tenemos la opción de establecer un filtro para el tamaño del paquete. Esto nos
abre el camino al siguiente ataque.
2.- Reenvío de peticiones ARP con encriptación WEP.
En este ataque, usaremos un filtro para indicar el tamaño del paquete que queremos inyectar. Como lo
que queremos es inyectar peticiones ARP, en el filtro tendremos que determinar un tamaño mínimo y un
tamaño máximo equivalente al de una petición ARP. Las peticiones ARP suelen tener un tamaño de 68
bytes cuando es un cliente wireless y 86 bytes cuando es un cliente cableado. Nosotros por tanto
usaremos un filtro en el que los paquetes no bajen de 68 bytes pero no superen los 86 bytes.
Código:
aireplay-ng -2 -p 0841 -m 68 -n 86 -b XX:XX:XX:XX:XX:XX -c FF:FF:FF:FF:FF:FF -h
YY:YY:YY:YY:YY:YY interfaz
Procedo a explicar lo que hemos puesto:
-2= Con esto indicamos que vamos a hacer el ataque 2 (reenvío interactivo de paquetes).
-p 0841= Con esto estamos fijando el "Frame Control" en el paquete. De esta manera, parecerá que está
siendo enviado desde un cliente.
-m 68= Indicamos la longitud mínima del paquete.
-n 86= Indicamos la longitud máxima del paquete
-c FF:FF:FF:FF:FF:FF fija la dirección MAC de destino como cualquiera (broadcast). Esto se requiere para
que el AP conteste al paquete y así generar el nuevo IV.
-b XX:XX:XX:XX:XX:XX= Esta MAC deberá corresponder con el BSSID, es decir, la MAC del AP.
-h YY:YY:YY:YY:YY:YY= Esta será la MAC de nuestra tarjeta, es decir, la dirección física desde la cual
provienen los paquetes que vamos a reenviar. Recomiendo fakearla.
Veámoslo en el siguiente ejemplo:
Nota: Si quisieramos enviar un paquete *.cap préviamente guardado, lo haríamos de la siguiente manera:
Código:
aireplay-ng -2 -p 0841 -b XX:XX:XX:XX:XX:XX -c YY:YY:YY:YY:YY:YY -r nombrearchivo.cap
interfaz
Veámoslo en la siguiente imagen:
Si os fijáis, el paquete que hemos seleccionado para enviar es el mismo que hemos capturado en el primer
ejemplo ^^.
ATAQUE 3: REINYECCIÓN DE PETICIONES ARP

Este ataque es un clásico y sin lugar a dudas, es el modo más efectivo de generar nuevos vectores de
Este ataque es un clásico y sin lugar a dudas, es el modo más efectivo de generar nuevos vectores de
inicialización (IV's). El ataque de reenvío de peticiones ARP, o ARP request, funciona poniéndo aireplay-ng
a la escucha de un paquete ARP y enviándolo de nuevo al AP. Esto va a tener como consecuencia que el
punto de acceso tenga que volver a enviar un paquete ARP pero esta vez, con un vector de inicialización
nuevo . Muchos diréis: ¿Y eso de que nos sirve? Pues ya que estoy, voy a aprovechar para hablar un
poco sobre los IV's (vectores de inicialización).
Las claves con cifrado W EP utilizan un algoritmo de encriptación llamado RC4 de 64 bits (bueno, eso
inicialmente, ahora podemos encontar de 128 y de 256). La forma en la que está compuestos estos 64
bits es la siguiente:
1.- 24 bits correspondientes a un vector de inicialización (IV)

2.- 40 bits correspondientes a la contraseña.
El vector de inicialización se genera de forma dinámica y varía para cada trama. Lo que se pretende con los
vectores de inicialización es cifrar los paquetes con claves diferentes para que una tercera persona con
malas intenciones (¿nosotros? no, solo testeamos nuestra red wifi ) no acabe deduciendo la clave. Con
un solo paquete, las posibilidades de hallar la clave, si mal no recuerdo, son de 1/17.000.000. Eso supone
años y que el pc se te estropée si te pasas de tiempo con el aircrack. Por esta misma razón,cuantos más
IV's distintos, más posibilidades tendremos de descifrar la clave! Os pongo un link en el que se habla
bastante más sobre el CIFRADO WEP.
En cuanto al protocolo ARP, o Adress Resolution Protocol, debéis saber que es un protocolo que tiene
como función localizar direcciones MAC y hacer que éstas correspondan con una dirección IP. Las
peticiones ARP,se enviarán a la dirección FF:FF:FF:FF:FF:FF, ¿recordáis? esperando una respuesta con
la dirección MAC que corresponda. Bueno en este enlace os explicaN mucho mejor el ARP.
Vamos a proceder ahora a explicar la sintaxis de este ataque:
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz
De aquí:
-3= Estamos diciendo a aireplay que vamos a comenzar el ataque 3 (reenvío de peticiones ARP).
-b XX:XX:XX:XX:XX:XX= Esto es la dirección MAC del AP o BSSID.
-h YY:YY:YY:YY:YY:YY= Esto es la dirección MAC del cliente asociado al AP. Aquí podríamos poner un
cliente real o un cliente falso (recordad el ataque -1 ).
interfaz= Es el nombre de tu interfaz wifi.
Con este ataque, del mismo modo que en el ataque -2 (reenvío de paquetes interactivo) podemos
seleccionar una ARP anteriormente guardada. Lo haríamos de la siguiente manera:
Código:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz
Traduciendo:
-2= significa que estamos haciendo el ataque -2 (reenvío interactivo de paquetes)

-a= BSSID
-h= Nuestra MAC (fakeada a poder ser )
-r nombredelarchivo.cap= Con esto indicamos el nombre del paquete ARP a enviar.
Como ya he dicho antes, este ataque puede ser usado de 3 maneras:
1.- Con cliente asociado:
Lo que haremos aquí será, utilizar un cliente que esté conectado al AP y captar una petición ARP para
después reenviarla. Sin duda, de los tres, es el más efectivo. Esto lo haríamos así:
Código:
Así el sistema responderá con:
Código:
Saving ARP requests in archivo.cap
You should also start airodump-ng to capture replies.
Read 42 packets (got 0 ARP requests), sent 0 packets...
No olvidéis que si no os captura ninguna ARP, podéis tirar de un ataque DoS para así desautenticar al
cliente asociado y que vuelva a haber una petición ARP .
2.- Con cliente falso asociado:
Aquí vamos a conjugar dos ataques, el -3 para capturar la petición ARP y el -1 para crear un cliente falso
(no olvidéis fakear la MAC). El ataque sería el siguiente:
Por un lado escribiríamos en una consola el siguiente comando:
Código:
Donde YY:YY:YY:YY:YY:YY sería nuestra MAC fakeada (00:11:22:33:44:55).
Por otro lado escribiríamos:
Código:
aireplay-ng -1 N -e ESSID -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz
Donde YY:YY:YY:YY:YY:YY también sería nuestra MAC fakeada.
Veríamos algo así:
3.- Utilizando una petición ARP previamente guardada:
Aquí usaremos el ataque -2:
Código:
aireplay-ng -2 -r nombredearchivo.cap -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz
Veamos la siguiente imagen:
Esto ya lo explicamos anteriormente así que no vuelvo a sacar el tema jeje .
ATAQUE 4: CHOPCHOP DE KOREK (PASO A PASO)

El ataque chopchop de Korek es capaz de descifrar un solo paquete de datos WEP, ya sea de clave
estática o dinámica, revelando el texto plano. No hay muchos tutoriales en la red que expliquen este
ataque y los que hay no lo explican muy bien. Por esa razón he decidido dedicar su tiempo a realizar esta
guía de como y cuando utilizar un ataque chopchop, explicándolo todo pasito a pasito;-) eso sí, no os
preocupéis si os perdéis un poco en este tema ya que es algo más complejo que los anteriores. Bueno
vamos a empezar con un ejemplo práctico para comprenderlo mejor.
Lo primero que tenemos que hacer es poner en modo monitor nuestra tarjeta y fakearla. Yo lo voy a
hacer con una chipset atheros por lo que el procedimiento será el siguiente:
Código:
airmon-ng stop ath0
macchanger -m 00:11:22:33:44:55 wifi0
airmon-ng start wifi0
Código:
http://i35.servimg.com/u/f35/11/75/25/89/chop110.png
Iniciamos airodump-ng (primero sin opcioens de filtro y luego así):
Código:
airodump-ng --channel N --w pruebaIH interfaz
Digo que lo iniciemos primero sin opciones de filtro, para poder así ver en que canal está nuestro AP y
una vez sabido escribir en un archivo llamado infiernohacker-01.cap los paquetes obtenidos.
En una situación normal, nosotros podríamos tener dos posibilidades:
1.- Que tuvieramos un cliente conectado al AP.

2.- Que NO tuvieramos ningún cliente conectado al AP. En este caso tendríamos que hacer un ataque -1
(autenticación falsa) para poder sacar la clave.
Bien pues en mi caso si que había un cliente asociado pero también explicaré lo que habría que hacer si no
hubiese ninguno. Seguimos con lo nuestro, una vez iniciado el airodump-ng, realizamos el ataque -3 para
estar a la escucha de peticiones ARP. Nos autenticaremos posteriormente de forma falsa en caso de que
no haya clientes con el ataque -1 (en caso de haberlos no hace falta hacerlo y sustituiremos en el
comando la dirección fakeada por la del cliente asociado). Antes de hacer este ataque, tendremos que
haber fakeado nuestra MAC! Como nosotros ya la hemos fakeado, haremos el ataque -3 y nos
pondremos a la escucha de peticiones ARP:
Código:
aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz
Una vez iniciado el aireplay-ng -3, procedemos a autenticarnos con el ataque -1 (autenticación falsa) en el
susodicho caso de que no tuvieramos clientes conectados.
Código:
aireplay-ng -1 30 -e BSSID -a XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 interfaz
Ya vimos anteriormente lo que significaba cada una de las partes de este comando.
En un ataque exitoso, capturaríamos un paquete con una petición ARP y la reinyectaríamos con el ataque
-3. Sin embargo esto no siempre es así. ¿Recordáis que os dije que cuando tenemos un cliente asociado
y no obtenemos una ARP request, lo que tenemos que hacer es atacar con un DoS al cliente para forzar
la petición ARP? Pues esto no es aplicable a una asociación falsa, por lo tanto este es un momento idóneo
para poner en práctica el ataque chopchop. Yo en este ejemplo, no he hecho una autenticación falsa
debido a que tenía un cliente conectado ya que de esta forma es más fácil capturar paquetes. Recordad
que estos paquetes se estarán guardando en el archivo infiernohacker-01.cap. Ahora lo que tenemos que
hacer es realizar el ataque -4 para descifrar el paquete y poder generar nuestra propia petición ARP que
reinyectaremos más adelante . Para ello utilizaremos el siguiente código:
Código:
aireplay-ng -4 -h 00:11:22:33:44:55 -r archivoguardado.cap interfaz
Paso a explicar el comando:
-4= Significa que vamos a realizar el ataque 4 (Chopchop de Korek).

-h 00:11:22:33:44:55= Estemos indicando cual es la dirección física del cliente conectado. Ya sabéis, si
no había cliente asociado usáis la vuestra (fakeada) y si lo había pues la del cliente. Esto se debe a que los
AP's no aceptan paquetes de datos que provengan de MAC's "desconocidas".
-r archivoguardo.cap= Aquí estamos indicando que vamos a mandarle uno de los paquetes que
hayamos capturado y guardado en el archivo *.cap. En nuestro caso pruebaIH-01.cap
Esto lanzará el ataque:
Al cabo de un rato, habrá descifrado el paquete y nos mostrará lo siguiente:
Si os fijáis, una vez ha terminado el proceso, nos guarda en un archivo *.cap (el texto plano) y en un
archivo *.xor (el keystream). Bueno pues ahora lo que vamos a hacer es usar el packetforge-ng que sirve
para crear paquetes. Sin embargo, necesitamos saber para ello la dirección privada del cliente conectado y
para ello vamos a hacer uso del tcpdump. Para los que no sepáis lo que es, tcpdump, es una herramienta
que esta presente en todas las distros GNU/linux y también en Mac OS y que sirve para analizar el tráfico
que circula por la red haciendo uso de la librería libpcap para capturar los paquetes. En Windows existe
WinDump que utiliza la librería Winpcap. El comando a ejecutar sería el siguiente:
Código:
tcpdump -s 0 -n -e -r archivochop.cap
Esto nos dará la dirección IP del cliente conectado, justo lo que necesitábamos para elaborar nuestra
propia petición ARP . Usaremos entonces el packetforge-ng para "forjar" nuestra propia ARP
request]:
Código:
packetforge-ng -0 -a XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY -k IPdestino -l IPorigen arp.cap
-y archivochop.xor -w arptuneada.cap
De aquí:
archivo.xor= Es uno de los dos archivos que nos dará el ataque -4 (el otro es el archivochop.cap )y
que contendrá el Keystream.
-0= Indicamosque vamos a forjar un paquete ARP.
-a XX:XX:XX:XX:XX:XX= BSSID
-h YY:YY:YY:YY:YY:YY= MAC del cliente asociado.
-k IPdestino= Es la IP del router.
-l IPorigen= Es la IP del cliente conectado (previamente sacada con el tcpdump).
-y archivochop.xor= Este es el paquete que hemos obtenido con el ataque chopchop.
-w arptuneada= Aquí vamos a poner un nombre a nuestro nuevo paquete. Yo le he llamado arptuneada
pero si queréis vosotros podéis llamarle Rosa .
Bien, ¡¡YA TENEMOS NUESTRA PROPIA PETICIÓN ARP!!. Lo que tenemos que hacer ahora es enviar el
paquete a nuestro AP. ¿Cómo? Venga haz memoria! con el ataque 2 (reenvío de paquetes interactivo).
Código:
aireplay-ng -2 -r arptuneada.cap interfaz
ATAQUE 5: FRAGMENTACIÓN
El ataque de Fragmentación consiste en capturar un PRGA, para después mediante el paquetforge-ng,
"forjar" paquetes que enviaremos a nuestra victima. Lo primero de todo, ¿Qué es el PRGA? Son las siglas
de Pseudo Random Generation Algorithm y se utiliza en las redes wifi para aumentar la seguridad. El
PRGA es una parte de un paquete que está formada por texto plano y texto cifrado. El procedimiento de
este ataque es bastante parecido al Chopchop de Korek así que lo explicaré más por encima, indicandoos
este ataque es bastante parecido al Chopchop de Korek así que lo explicaré más por encima, indicandoos
por supuesto los pasos en común con el ataque visto anteriormente.
Para empezar, deciros que este ataque sólo funciona con cifrado WEP y por lo que he leido en varios
papers en inglés, los routers que se resisten a los ataques Chopchop de Korek son más vulnerables ante
los ataques de Fragmentación. Lo primero que haremos será poner nuestra tarjeta en modo monitor:
Código:
airmon-ng start interfaz
No creo que haga falta explicar este comando de nuevo. Después, iniciamos airodump-ng para capturar
paquetes:
Código:
airodump-ng --channel --w prueba ath0
Bien, llegados a este punto, necesitamos un cliente conectado. Ya sabéis, si tenéis alguien conectado,
genial, si no, hacéis una autenticación falsa (-1) y ya está. Una vez nos hemos autenticado de forma falsa
genial, si no, hacéis una autenticación falsa (-1) y ya está. Una vez nos hemos autenticado de forma falsa
o no lo hemos hecho porque ya teníamos un cliente conectado, procedemos a hacer el ataque de
Fragmentación:
[aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h YY:YY:YY:YY:YY:YY interfaz]
Explico el comando:
-5= Especificamos a aireplay-ng que vamos a realizar el ataque 5.

-b XX:XX:XX:XX:XX:XX= Es el BSSID del AP.
-h YY:YY:YY:YY:YY:YY= Es la dirección MAC del cliente conectado.
El ataque empezará a leer paquetes y seleccionará uno que será fragmentado y mandado al AP. Si el AP
responde, el ataque habrá sido exitoso y se irán obteniendo bits hasta obtener los 1500 bits de un
PRGA. Una vez obtenidos los 1500 bits, el programa nos informará de que ya tenemos nuestro xor y
podremos empezar a forjar nuestros paquetes con el packetforge-ng. Este ataque no tiene éxito
siempre, de hecho no he conseguido que me saliera en toda la tarde pero aún así, os pongo una captura
de pantalla (propia) y el mensaje que nos tendría que salir al conseguir los 1500 bits del keystream.
Código:
Saving chosen packet in replay_src-0124-161120.cap
Data packet found!
Sending fragmented packet
Got RELAYED packet!!
Thats our ARP packet!
Trying to get 384 bytes of a keystream
Trying to get 1500 bytes of a keystream
Saving keystream in fragment-0124-161129.xor
Now you can build a packet with packetforge-ng out of that 1500 bytes keystream
Una vez hemos conseguido nuestro xor, con el paquetforge-ng realizamos una petición ARP y la
reinyectamos con el ataque -2 tal y como hizimos con el ataque Chopchop.
En línea
Citar

Desconectado
Mensajes: 39
[AIRCRACK-NG]~
Aircrack-ng es el programa que nos va a crackear la clave de nuestra red una vez hayamos conseguido
los suficientes IV's (vectores de inicialización). Aircrack-ng puede sacarnos, no solo la clave en cifrado
WEP si no también en cifrado WPA o WPA2-PSK. Para estas dos últimas necesitaremos un diccionario.
Os muestro una captura del programa para describiros sus partes:
1.- Keybyte: Es el número de cada uno de los bytes de la clave WEB.

2.- Depth: Profundidad de la busqueda de nuestra clave.
3.- Byte: Carácter que aircrack está probando.
4.- Vote: Probabilidades de que sea correcto el byte.
5.- Key Found: Clave encontrada en hexadecimal y en ASCII.
A continuación os hago Copy/Paste literal de la página oficial de aircrack, donde lo explican más y mejor
sobre esta herramienta. Espero que no os moleste que no sea de mi cosecha pero es que estando tan
bien como en la página no merece la pena escribirlo.
Cuando se usan técnicas estadísticas para crackear claves WEP, cada byte de la clave es tratado de forma
individual. Usando matemáticas estadísticas, la posibilidad de que encuentres un byte determinado de la
clave crece algo más de un 15% cuando se captura el vector de inicialización (IV) correcto para ese byte
de la clave. Esencialmente, ciertos IVs “revelan” algún byte de la clave WEP. Esto es básicamente en que
consisten las técnicas estadísticas.
Usando una serie de pruebas estadísticas llamadas FMS y ataques Korek, se van acumulando
posibilidades o votos (votes) para cada byte de la clave WEP. Cada ataque tiene un número diferente de
votos asociado con él, por lo que la probabilidad de cada ataque varia matemáticamente. Cuantos más
votos tengamos de un byte o valor particular, mayor probabilidad hay de que sea el correcto. Para cada
byte de la clave, la pantalla nos muestra el caracter más probable y el número de votos que ha
acumulado. Sobra decir, que la clave que tenga el mayor número de votos es la que más probabilidades
tiene de ser la correcta, pero no está garantizado. Aircrack-ng probará continuamente de la más probable
a la menos probable para encontrar la clave.
Usando un ejemplo entenderemos esto de forma más clara. En la anterior captura de pantalla, puedes
ver, que para el primer caracter o byte 0, 0xAE ha obtenido unos cuantos votos, 50 exactamente.
Entonces, matemáticamente, es más probable que la clave comience por AE que por 11 (el segundo valor
en la misma linea) que es el siguiente con más posibilidades. Esta es la razón por la cual cuantos más
paquetes tengas, más fácil será para aircrack-ng determinar la clave W EP.
La aproximación estadística puede por si sola darnos la clave W EP de la red. Pero la idea es que tambien
podemos complementarlo con la fuerza bruta para realizar el trabajo. Aircrack-ng usa la fuerza bruta para
determinar cuantas claves se han de probar para intentar encontrar la clave WEP.
Aquí es donde entra en juego el “fudge factor”. Basicamente el “fudge factor” le dice a aircrack-ng hasta
donde probar claves. Es como si quisiesemos encontrar un balón diciéndole a alguien que el balón se
puede encontrar entre 0 y 10 metros alrededor. Pero si le decimos que el balón se encuentra entre 0 y
100 metros alrededor. En este escenario de 100 metros le llevará mucho más tiempo realizar la búsqueda
100 metros alrededor. En este escenario de 100 metros le llevará mucho más tiempo realizar la búsqueda
pero tendrá más posibilidades de encontrarlo.
Por ejemplo, si le decimos a aircrack-ng que use un fudge factor de 2, dividirá los votos del byte más
probable, y probará todas las posibilidades con un número de votos de al menos la mitad de los que tiene
el caracter más posible. Cuanto mayor sea el fudge factor, más posibilidades probará aircrack-ng
aplicando fuerza bruta. Recuerda, que cuanto mayor sea el fudge factor, el número de claves a probar
crecerá tremendamente y mayor será el tiempo que se esté ejecutando aircrack-ng. En cambio, cuantos
más paquetes de datos tengas, minimizarás la necesidad de aplicar fuerza bruta a muchas claves, lo que
hace que no trabaje tanto tiempo la CPU y se reduce mucho el tiempo necesario para encontrar la clave.
Al final, es todo “muy simple” matemáticas y fuerza bruta!
Las técnicas mencionadas hasta ahora no funcionan para claves W PA/WPA2 pre-shared. La única forma
de crackear estas claves pre-compartidas (pre-shared) es a través de un ataque de diccionario. Esta
capacidad está tambien incluida en aircrack-ng.
Con claves pre-compartidas, el cliente y el punto de acceso establecen las claves que se van a usar en sus
comunicaciones al comienzo cuando el cliente se asocia por primera vez con el punto de acceso. Hay
cuatro paquetes “handshake” entre el cliente y el punto de acceso. airodump-ng puede capturar estos
cuatro paquetes handshake. Y usando un diccionario con una lista de palabras, aircrack-ng duplica los
cuatro paquetes handshake para mirar si hay alguna palabra en el diccionario que coincida con el resultado
de los cuatro paquetes handshake. Si lo consigues, habrás identificado de forma satisfactoria la clave pre-
compartida.
Hay que resaltar que este programa hace un uso muy intensivo del procesador del ordenador, y que en la
práctica claves WPA pre-compartidas muy largas o inusuales no podrán ser encontradas . Un buen
diccionario te dará mejores resultados. Otra posibilidad es usar un pograma como “john the ripper” para
generar contraseñas que podrán ser utilizadas por aircrack-ng.
Explicación de la profundidad (depth) y del Fudge Factor

La mejor explicación es un ejemplo. Nos fijaremos en un byte en concreto. Todos los bytes son tratados
de la misma manera.
Tu tienes los votos (votes) como en la captura de pantalla anterior. Para el primer byte ves lo siguiente:
AE(50) 11(20) 71(20) 10(12) 84(12)
Los AE, 11, 71, 10 y 84 son los valores posibles de la clave para el primer caracter (byte 0). Los números
que están entre paréntesis son los votos que cada posible valor ha acumulado hasta ahora.
Ahora si decides usar un “fudge factor” de 3. Aircrack-ng realizará la siguiente operación a partir del byte
que tiene más probabilidades o votos: AE(50):
50 / 3 = 16.666666
Aircrack-ng probará (fuerza bruta) todas las claves posibles que tengan un número de votos superior a
16.6666, resultando que
AE, 11, 71
serán utilizados, por lo que tenemos un número total de 3 valores a probar para ese byte o caracter
(depth):
0 / 3 AE(50) 11(20) 71(20) 10(12) 84(12)
Cuando aircrack-ng está probando claves con AE, muestra 0 / 3, cuando acabe de probar todas las claves
con ese byte, pasará al siguiente con más votos (11 en este ejemplo) y mostrará:
1 / 3 11(20) 71(20) 10(12) 84(12)
USO:
Código:
aircrack-ng [opciones] <archivo(s) de captura>
Puedes especificar múltiples archivos de captura (incluso mezclando formatos .cap y .ivs). También se
puede ejecutar airodump-ng y aircrack-ng al mismo tiempo: aircrack-ng se actualizará de forma
automática cuando estén disponibles nuevos IVs.
Aquí está la explicación para todas y cada una de las opciones disponibles:
EJEMPLOS DE USO:
El caso más simple es crackear una clave WEP. Si quieres probar esto por ti mismo, aquí tienes un archivo
de prueba. La clave de este archivo de prueba coincide con la de la pantalla anterior de este tutorial, pero
no coincide con la del siguiente ejemplo.
aircrack-ng 128bit.ivs
Donde:
128bit.ivs es el nombre del archivo que contiene los ivs.

El programa responde:
Código:
Opening 128bit.ivs
Read 684002 packets.
# BSSID ESSID Encryption
1 00:14:6C:04:57:9B WEP (684002 IVs)
Choosing first network as target.
Si hay múltiplies redes en el archivo, entonces tendrás la opción de seleccionar la que quieras. Por
defecto, aircrack-ng supone que la encriptación es de 128 bit.
El proceso de crackeo comienza, y una vez obtenida la clave, verás algo como esto:
Código:
Aircrack-ng 0.7 r130
[00:00:10] Tested 77 keys (got 684002 IVs)
KB depth byte(vote)
0 0/ 1 AE( 199) 29( 27) 2D( 13) 7C( 12) FE( 12) FF( 6) 39( 5) 2C( 3) 00(
0) 08( 0)
1 0/ 3 66( 41) F1( 33) 4C( 23) 00( 19) 9F( 19) C7( 18) 64( 9) 7A( 9) 7B(
9) F6( 9)
2 0/ 2 5C( 89) 52( 60) E3( 22) 10( 20) F3( 18) 8B( 15) 8E( 15) 14( 13) D2(
11) 47( 10)
3 0/ 1 FD( 375) 81( 40) 1D( 26) 99( 26) D2( 23) 33( 20) 2C( 19) 05( 17) 0B(
17) 35( 17)
4 0/ 2 24( 130) 87( 110) 7B( 32) 4F( 25) D7( 20) F4( 18) 17( 15) 8A( 15) CE(
15) E1( 15)
5 0/ 1 E3( 222) 4F( 46) 40( 45) 7F( 28) DB( 27) E0( 27) 5B( 25) 71( 25) 8A(
25) 65( 23)
6 0/ 1 92( 208) 63( 58) 54( 51) 64( 35) 51( 26) 53( 25) 75( 20) 0E( 18) 7D(
18) D9( 18)
7 0/ 1 A9( 220) B8( 51) 4B( 41) 1B( 39) 3B( 23) 9B( 23) FA( 23) 63( 22) 2D(
19) 1A( 17)
8 0/ 1 14(1106) C1( 118) 04( 41) 13( 30) 43( 28) 99( 25) 79( 20) B1( 17) 86(
15) 97( 15)
9 0/ 1 39( 540) 08( 95) E4( 87) E2( 79) E5( 59) 0A( 44) CC( 35) 02( 32) C7(
31) 6C( 30)
10 0/ 1 D4( 372) 9E( 68) A0( 64) 9F( 55) DB( 51) 38( 40) 9D( 40) 52( 39) A1(
38) 54( 36)
11 0/ 1 27( 334) BC( 58) F1( 44) BE( 42) 79( 39) 3B( 37) E1( 34) E2( 34) 31(
33) BF( 33)
KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ]
Esta clave puede ser usada para conectarse a la red.
Ahora para crackear claves WPA/WPA2:
aircrack-ng -w password.lst *.cap

Donde:
-w password.lst es el nombre del diccionario con la lista de palabras. Recuerda que tienes que especificar
la ruta completa si el archivo no se encuentra en el directorio actual.
*.cap es el nombre de los archivos que contienen los ivs. Date cuenta que en este caso usamos el
comodín * para incluir múltiples archivos.
El programa responde:
Código:
Opening wpa2.eapol.cap
Opening wpa.cap
Read 18 packets.
# BSSID ESSID Encryption
1 00:14:6C:7E:40:80 Harkonen WPA (1 handshake)

2 00:0D:93:EB:B0:8C test WPA (1 handshake)
Index number of target network ?
Date cuenta que en este caso como hay dos redes necesitamos seleccionar la que queremos atacar.
Escogeremos la número 2. El programa entonces responde:
Código:
Aircrack-ng 0.7 r130
[00:00:03] 230 keys tested (73.41 k/s)
KEY FOUND! [ biscotte ]
Master Key : CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6
39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE
Transcient Key : 33 55 0B FC 4F 24 84 F4 9A 38 B3 D0 89 83 D2 49
73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08
AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97
D9 6F 76 5B 8C D3 DF 13 2F BC DA 6A 6E D9 62 CD
EAPOL HMAC : 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD
APROXIMACIÓN GENERAL PARA CRACKEAR CLAVES

WEP:
La forma más simple es escribir “aircrack-ng archivo.cap”. Tenemos que decir que hay algunas técnicas
para aumentar las posibilidades de encontrar la clave W EP rápidamente. Pero no existe la magia. A
continuación se describen algunos métodos para obtener la clave más rápido.
La mejor de todas las técnicas es capturar tantos paquetes como sea posible; cuantos más mejor. Esto
es lo más sencillo y lo más importante. El número de vectores de inicialización (IVs) que se necesitan para
obtener una clave W EP varia dependiendo de la longitud de la clave y del punto de acceso de que se trate.
Habitualmente se necesitan 250,000 o más IVs para claves de 64 bit y 1.5 millones o más para claves de
128 bit. Y por supuesto que muchos más para claves más largas. Pero si tenemos suerte, hay veces que
la clave W EP se puede obtener con 50,000 IVs o menos. Aunque esto no ocurre con frecuencia. Y al
revés, habrá veces en las que se necesitarán varios millones de IVs para crackear la clave WEP. El número
de IVs necesarios es muy dificil de predecir porque la mayoría de los puntos de acceso actuales funcionan
muy bien y no generan IVs débiles que revelen parte de la clave WEP.
Generálmente, no intentes crackear la clave WEP hasta que tengas 200,000 o más IVs. Si lo ejecutas con
pocos IVs, aircrack probará muchas claves durante mucho tiempo y no aplicará las técnicas estadísticas
de forma adecuada. Puedes empezar probando con claves de 64 bit “aircrack-ng -n 64 archivo.cap”. Si se
está usando una clave W EP de 64 bit, normalmente será crackeada en menos de 5 minutos (y con
frecuencia en menos de 60 segundos) con pocos IVs. Es sorprendente que haya tantos APs que usan
claves de 64 bit. Si no encuentras la clave de 64 bit en 5 minutos, reinicia aircrack con el modo genérico:
“aircrack-ng archivo.cap”. Y cada vez que tengas 100,000 IVs más, reintenta “aircrack-ng -n 64
archivo.cap” y déjalo 5 minutos.
Cuando llegues a 600,000 IVs, cambia y empieza a probar claves de 128 bit. Sería extraño (pero no
imposible) que fuese una clave de 64 bit y no se diese crackeado con 600,000 IVs. Por lo tanto ahora
prueba “aircrack-ng archivo.cap”.
Cuando llegues a 2 millones de IVs, prueba a cambiar el fudge factor a ”-f 4”. Y déjalo entre 30 minutos y
Cuando llegues a 2 millones de IVs, prueba a cambiar el fudge factor a ”-f 4”. Y déjalo entre 30 minutos y
una hora. Reintenta aumentando el fudge factor sumando 4 de cada vez. Otra buena ocasión para
aumentar el fudge factor es cuando aircrack-ng se para porque ha probado todas las claves.
Y mientras tanto, no te olvides de seguir capturando paquetes de datos. Recuerda la regla de oro,
“cuantos más IVs mucho mejor”.
También lee la siguiente sección sobre como determinar las mejores opciones a usar. Esto te puede
ayudar tambien a acelerar el proceso de obtención de la clave W EP. Por ejemplo, si la clave es numérica,
podremos crackear la clave W EP con muchísimos menos IVs si usamos la opción ”-t”. Entonces, si
averiguas algo acerca de la naturaleza de la clave WEP, es sencillo probar algunas variaciones para tener
éxito.
COMO DETERMINAR LAS MEJORES OPCIONES A USAR:

Mientras aircrack-ng se está ejecutando, frecuentemente solo puedes ver el comienzo de la clave en la
primera columna. Aunque no conoces la clave WEP, esta información puede darte pistas sobre cual es la
clave. si un caracter o byte de la clave tiene un número muy grande de votos, hay un 99.5% de
posibilidades de que sea correcto. Vamos a ver que se puede hacer con estas pistas.
Si los bytes son por ejemplo: 75:47:99:22:50 entonces es obvio que la clave está formada solo por
números, como los 5 primeros bytes. Por lo tanto obtendremos la clave mucho antes y con menos IVs
usando la opción -t para probar únicamente este tipo de claves. Mira Wikipedia Binary Coded Decimal para
ver una descripción de los caracteres que busca la opción -t.
Si los bytes son 37:30:31:33:36 estos son todos valores numéricos si los convertimos a Ascii (70136).
En este caso, es una buena idea usar la opción -h. El link del FAQ Converting hex characters to ascii te da
información para relacionar los caracters hexadecimales con los Ascii. De todas formas sabremos muy
fácilmente que se trata de caracteres numéricos porque veremos que empiezan todos los bytes por 3.
Y si los primeros bytes son algo como esto 74:6F:70:73:65, deberias de introducir esos valores en tu
editor hexadecimal favorito o en alguno de los links proporcionados anteriormente, y verás, que puede
ser el comienzo de alguna palabra, por lo que parece que está usando una clave ASCII; en esta situación
activa la opción -c para probar únicamente con claves ASCII.
OTRAS PISTAS:
Para procesar varios archivos al mimso tiempo, se puede usar un cmodín como el * o especificar cada
archivo uno por uno.
Ejemplos:
1.- aircrack-ng -w password.lst wpa.cap wpa2.eapol.cap

2.- aircrack-ng *.ivs
3.- aircrack-ng archi*.ivs
Determinar una clave WPA/WPA2 depende absolutamente de que la palabra se encuentre en el diccionario
que usemos. Por lo que es muy importante usar un buen diccionario. Puedes buscar en Internet algún
diccionario. Hay varios disponibles.
Como has visto, si hay varias redes en tus archivos necesitarás elegir la que quieres crackear. En lugar de
hacerlo manualmente, puedes especificar la red que quieras en la linea de comandos indicando su essid o
su bssid. Esto se hace con las opciones -e o -b.
Otra alternativa es usar “John the Ripper” para crear un diccionario específico. Si sabes que la palabra
clave es el nombre de una calle además de 3 digitos. Puedes crear una regla en JTR y ejecutar un
comando como este:
Código:
john --stdout --wordlist=specialrules.lst --rules | aircrack-ng -e test -a 2 -w -
/root/capture/wpa.cap
Código:
Fuente: http://www.aircrack-ng.org/doku.php?id=aircrack-ng.es
En línea
Citar

Desconectado
Mensajes: 39
[AIRDECAP-NG]~
Aquí también voy a pecar de hacer Copy/Paste de la página oficial ya que no hay mucho que decir acerca
de este programa y después de varias semanas trabajando en esta guía he de decir que me encuentro un
poco cansado.
Con airdecap-ng puedes descifrar archivos capturados que tengan encriptación WEP/WPA/WPA2.
Tambien puede ser usado para ver la cabecera de una captura wireless sin encriptación.
USO:
Código:
airdecap-ng [opciones] <archivo cap>
EJEMPLOS DE USO:
El siguiente comando elimina las cabeceras wireless de una captura de una red sin encriptación:
Código:
airdecap-ng -b 00:09:5B:10:BC:5A red-abierta.cap
El siguiente comando descifra un archivo con encriptación WEP usando la clave hexadecimal:
Código:
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
El siguiente comando descifra un archivo con encriptación WPA/WPA2 usando la palabra o “passphrase”:
Código:
airdecap-ng -e 'the ssid' -p passphrase tkip.cap
RECOMENDACIONES DE USO:
Para ESSIDs que contengan espacios, escribe el ESSID entre comillas: 'este contiene espacios'.
Código:
Fuente: http://www.aircrack-ng.org/doku.php?id=airdecap-ng.es
Abogados en Jalisco Mex. Abogados y Consultores Financieros Soluciones integrales ww w.fmlsc.mx
Software Jurídico Software para la admnistracion y gestion de documentos legales www.lexdigital.com.mx
Consulte con un abogado Asesoramiento de un abogado. Regístrate gratis. www.LegalCom.org

En línea
Citar

Desconectado
Mensajes: 39
Bueno pues la guía ha llegado a su final. El motivo que me impulsó a hacer esta guía fue que no había
manuales en español (paso a paso) que explicasen cada uno de los ataques del aireplay-ng con todas sus
capacidades (bueno, haberlos los hay, pero para gente que se inicia pueden resultar algo complicados de
entender). La parte del Airodump y la parte del Aireplay son totálmente mías y la parte de Aircrack y
Airdecap son copiadas literalmente de la página oficial ya que la explicación sobre Aircrack que había en
la página oficial estaba de sobra bien explicada. Lo mismo pasa con la parte que explica el Airdecap, que
aunque sea breve, está bien explicada ya que no hay mucho más que decir sobre ese programa. Esta
guía es al fin y al cabo una recopilación de textos con aportes de mi cosecha.
En línea
Bueno pues espero que esta guía os sirva de ayuda. Me ha llevado semanas terminarla así que espero
Citar
que os haya gustado. Cualquier duda, sugerencia, críticas constructivas etc. posteadla aquí
Saludos!;)
Páginas: [1]
Ir a: ===> Wireless en Linux ir
Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.
elotrolado lawebdegoku MundoDivx Hispabyte Truzone

ZonaPhotoshop Yashira.org Videojuegos indetectables.net Seguridad Colombia
Indejuegos Seguridad Informática Juegos de Mario Internet móvil Noticias Informatica
ADSL eNYe Sec Seguridad W ireless Underground México Biblioteca de Seguridad
InSecurity.Ro - ISR
Todas las webs afiliadas están libres de publicidad engañosa.
Powered by SMF 1.1.12 | SMF © 2006-2008, Simple Machines LLC

Guía Completa Aircrack-Ng

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía Completa Aircrack-Ng

Cargado por

Copyright:

Formatos disponibles

07/02/2011 Guía completa Aircrack-ng

Bienvenido(a), Visitante. Por favor Ingresar

7 Febrero 2011, 18:04

Autor Tema: Guía completa Aircrack-ng (Leído 74782 veces)

SH4V Guía completa Aircrack-ng

Mensajes: 39 [Guía Completa Aircrack-ng]~

-Airodump: programa utilizado para la captura de paquetes 802.11.

¿Quiere saber cuál es la estrella más cercana?

« Última m odificación: 14 Octubre 2008, 23:53

SH4V Re: Guía completa Aircrack-ng

Y tecleamos lo siguiente en la línea de comandos:

Hasta ahora deberíamos ver algo así:

-airmon-ng start interfaz ------->Esto activaría el modo monitor.

A continuación, procedemos a escribir en la shell el siguiente comando "airodump-ng", os saldrá algo

Airodump-ng 0.9.1 r511 - (C) 2006,2007 Thomas d'Otreppe

usage: airodump-ng <options> <interface>[,<interface>,...]

By default, airodump-ng hop on 2.4Ghz channels.

--help : Displays this usage screen

Os pongo una imagen para que lo veáis más claro :

--ivs: Solo capturaremos ivs (o vectores de inicialización).

BSSID-->Dirección MAC del punto de acceso.

SH4V Re: Guía completa Aircrack-ng

-Ataque 0: Ataque de deautenticación.

Paso a explicar lo que hemos puesto:

-0: Indica que vamos a hacer el ataque "0" o de deautenticación de cliente.

Ataque DoS (Denegación de Servicio):

Captura del Handshake (Saludo) WPA:

Paso a continuación a describir cada comando:

airodump-ng --write chipichape --channel 6 eth1------>Este comando pondría el airodump-ng a la

aireplay-ng -0 20 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96 eth1----->Este comando enviaría 20

aircrack-ng -w /ruta/al/diccionario chipichape-01.cap (este comando crackearía, o al menos lo intentaría

1.- Ejecutamos el comando airodump-ng:

Nos saldrá esta imagen:

2.- Ejecutamos el comando aireplay-ng:

3.- Crackeamos con aircrack-ng:

Generación de peticiones ARP:

aireplay-ng -3 -b 00:89:4F:D2:15:A3 -h 00:14:D8:7F:B1:96 eth1

Se nos abriría una ventana como esta:

ATAQUE 1: AUTENTICACIÓN FALSA

Modo 1: Por medio del "macchanger" (interfaz):

Modo 2: Por medio del "macchanger" (consola):

Modo 3: Por medio de "ifconfig" (consola):

Paso a explicar la sintaxis:

Veámoslo con un ejemplo:

ASPECTOS A TENER EN CUENTA:

CAUSAS DE UN POSIBLE FRACASO:

1.- El router tiene filtrado de MACs.

ATAQUE 2: REENVÍO INTERACTIVO DE PAQUETES

1.- No está de más conocer otras live-cd's. No os preocupéis, el procedimiento es el mismo.

-2= Indica que estamos realizando el ataque 2 "Reenvío interactivo de paquetes".

Paso a explicar el comando:

Vamos a ver un ejemplo:

2.- Reenvío de peticiones ARP con encriptación WEP.

Procedo a explicar lo que hemos puesto:

Veámoslo en el siguiente ejemplo:

Veámoslo en la siguiente imagen:

ATAQUE 3: REINYECCIÓN DE PETICIONES ARP

1.- 24 bits correspondientes a un vector de inicialización (IV)

Vamos a proceder ahora a explicar la sintaxis de este ataque:

-2= significa que estamos haciendo el ataque -2 (reenvío interactivo de paquetes)

Como ya he dicho antes, este ataque puede ser usado de 3 maneras:

1.- Con cliente asociado:

Así el sistema responderá con: