c



  
 

Version: 1.15 Junio 9, 2007
By: darkAudax
Traducción: Última revisión el 18 de Julio de 2007

Archivo usado en este tutorial: arpcapture-01.cap


 
Durante mucho tiempo se discutió como usar una tarjeta wireless para generar paquetes
con los que obtener la clave WEP de un punto de acceso. Este tutorial describe 4
procedimientos con ejemplos sobre como hacer esto. Los ejemplos provienen de hechos
reales y no son solo teoría. Cada uno de ellos nos han servido para obtener la clave
WEP.

La idea básica es usar la tarjeta wireless como cliente para generar paquetes de datos
con IVs, que podremos usar para obtener la clave WEP. Normalmente el punto de
acceso genera paquetes de datos con IVs; entonces ¿por qué necesitamos asociar un
cliente wireless al punto de acceso? Aquí están unas pocas razones:

˜V Algunos puntos de acceso generan IVs con un tamaño max de 130k

˜V Algunos puntos de acceso imponen controles Cliente-a-cliente
˜V Existencia de filtrado MAC
˜V Puntos de acceso que no generan IVs débiles (weak IVs)
˜V No puedes hacer una falsa asociación de forma exitosa
˜V Tu estás cerca de un cliente pero muy lejos del punto de acceso, de forma que es
inalcanzable.

Me gustaría dar las gracias al equipo de desarrollo de la suite aircrack-ng por crear estás
herramientas tan potentes. Y también a toda la gente que viene al foro con ideas y
técnicas descritas en este tutorial. Yo realmente estoy asombrado por las técnicas de este
tutorial. Mi misión ha sido simplemente juntarlas en un lugar en el que se describen de
forma detallada.

Por favor enviame cualquier mensaje constructivo, positivo o negativo.

* 
 
 
  




˜V Tienes una tarjeta wireless con las mismas características que el cliente habitual.
Por ejemplo G y G, A y A. No sirve una tarjeta B si el cliente tiene una tarjeta
G. Etc«
˜V Tienes airodump-ng instalado correctamente.
˜V Tu tarjeta wireless está instalada y puede inyectar paquetes.
 ˜V Estás físicamente suficientemente cerca del cliente habitual para enviarle
paquetes a él y recibirlos de él.
˜V Tienes Wireshark instalado. Además tienes conocimientos básicos sobre como
usarlo.
˜V Estás usando la versión estable 0.9 de aircrack-ng. Esto es muy importante
puesto que hay un bug en la versión 0.6.2 con aireplay-ng que no soporta las
opciones -k y -l con las direcciones IP.

En los ejemplos, la opción ³doble guión bssid´ se muestra como ´- -bssid´. Acuérdate
de borrar el espacio entre los dos guiones cuando lo uses. Esto tambien se aplica a ´- -
ivs´, ´- -arpreplay´, ´- -deauth´, ´- -channel´, ´- -arp´ y ´- -fakeauth´.

  

 
  


Sistema operativo: WinXP (no importa realmente)

Dirección MAC: 00:0F:B5:46:11:19

 
  

ESSID: teddy (no es importante)

Dirección MAC: 00:14:6C:7E:40:80 Canal: 9

*



Sistema operativo: Linux

Dirección MAC: cualquiera

c

 

 


Sistema operativo: Linux

Dirección MAC: 00:40:F4:77:F0:9B

c

 

 


Sistema operativo: Linux

Dirección MAC: 00:0D:60:2E:CC:E1

c
  
 


Sistema operativo: Linux

Dirección MAC: 00:09:5B:EC:EE:F2

 

Este tutorial cubre cuatro escenarios:

˜V Escenario Uno: Empleando paquetes de datos capturados.

˜V Escenario Dos: Empleo interactivo de paquetes en tiempo real
 ˜V Escenario Tres: Creando un paquete de un ataque chopchop
˜V Escenario Cuatro: Creando un paquete de un ataque de fragmentación

Entremos ahora en detalles«

 
 
 



Vamos a usar un paquete de datos capturado. Suponemos que estuviste ejecutando

airodump-ng y capturaste paquetes del punto de acceso y piensas que tienes algunos
arps que podrías usar para inyectarlos.

Los paquetes ARP no son los únicos que podemos usar. Pero nos centramos en estos
porque son los que garantizan que tengamos éxito y además son los más fáciles de
encontrar en un archivo de capturas. Decimos que los ARPs nos garantizan el éxito
porque el cliente debe responder a una petición arp (arp request) directamente. Recuerda
que no es cualquier ARP. Debe ser un ARP para el cliente específico al que queremos
atacar.

Primero, tenemos que haber capturado paquetes del punto de acceso en cuestión. Para
reducir el tamaño, podíamos haber usado el filtro BSSID y especificar el canal. En
nuestro ejemplo:

airodump-ng ±channel 9 ±bssid 00:14:6C:7E:40:80 -w aprcapture ath0

Necesitaremos uno o más clientes wireless activos mientras hacemos la captura. Si no

hay actividad ninguna, será imposible que capturemos algún paquete de datos. Mientras
estamos capturando datos, podemos copiar el archivo para analizarlo mientras la captura
continua. Tambien podemos ejecutar WireShark en tiempo real y ver los paquetes tan
pronto como nos llegan.

Ahora el objetivo es encontrar un paquete ARP del punto de acceso a un cliente. El

cliente siempre responderá al ³arp request´. Esto significa que el cliente generará un
³arp reply´ que regresará al punto de acceso.

Características del paquete que buscamos:

˜V BSSID: punto de acceso

˜V Dirección MAC de destino: Broadcast (FF:FF:FF:FF:FF:FF)
˜V Dirección MAC origen: cualquiera
˜V Longitud del paquete: 68 o 86 (68 es habitual en los paquetes arp originados por
los clientes wireless. 86 es típico de los paquetes arp de los clientes cableados
ethernet.)

Características del paquete ³de salida´ que queremos:

˜V BSSID: punto de acceso

˜V Dirección MAC de destino: si es la MAC de origen del paquete de entrada
significa que el cliente le está contestando.
˜V Dirección MAC origen: Dirección MAC del cliente
 ˜V Longitud del paquete: 68 o 86 (68 es habitual en los paquetes arp originados por
los clientes wireless. 86 es típico de los paquetes arp de los clientes cableados
ethernet.)

Resumiendo, buscamos un ³ARP request´ al cliente y la subsecuente respuesta.

Para ello introducimos el siguiente filtro en Wireshark: (wlan.bssid ==

00:14:6c:7e:40:80 and (frame.pkt_len>=68 and frame.pkt_len le 86))

Esto selecciona los paquetes que salen o llegan al punto de acceso y que tienen una
longitud entre 68 y 86 inclusive.

Tendrás que cambiar el ³wlan.bssid´ por la dirección MAC de tu punto de acceso y

probablemente cambiar la longitud de los paquetes a buscar para encontrar más
fácilmente cual es el adecuado. El filtro expuesto debería de ser un buen punto de
partida.

Una vez que tengas localizados los paquetes, puedes usar otro filtro para reducir la
búsqueda a un cliente específico: (wlan.bssid == 00:14:6c:7e:40:80 and
(frame.pkt_len>=68 and frame.pkt_len le 86) and (wlan.da == ff:ff:ff:ff:ff:ff or wlan.sa
== 00:0f:b5:46:11:19))

Cambia el valor de ³wlan.sa´ por el de tu cliente que quieres atacar. Cambia la longitud
del paquete para reducir las posibilidades si ves que es necesario.

Resumiendo, estamos buscando un ³ARP request´ y la subsecuente respuesta. El

archivo que puedes descargar ³aprcapture-01.cap´ tiene ejemplos reales. Puedes usar los
filtros mencionados en este archivo.

Aquí ponemos un resumen de que paquetes se trata. Los paquetes están númerados
desde el primero al último por orden. Si le echas un vistazo a el archivo arp de ejemplo
con WireShark verás los siguientes números de paquete:

˜V 391 - Este es un ³arp request´ de un cliente cableado a otro que está siendo
retransmitido (broadcast) por el AP. Este paquete nunca ha sido contestado por
lo que debe haberse perdido.
˜V 416 - Este es un nuevo ³arp request´ porque el primero (391) no ha sido
contestado.
˜V 417 - Esta es la respuesta. El cliente envia un ³arp response´ al cliente cableado
a través del AP. Presta atención al corto periodo de tiempo entre el ³arp request´
y el ³arp response´.
˜V 501 - Un cliente wireless envia un ³arp request´ a otro a través del AP. Este
paquete es una petición al AP para que reenvie el ³arp request´ a otro cliente.
˜V 503 - El AP reenvia el ³arp request´ a todos los clientes wireless.
˜V 504 - El cliente envia la respuesta o ³arp response´ a la otra tarjeta wireless a
través del AP. Este paquete es realmente una petición al AP para que envie la
respuesta ³arp response´ a la estación wireless
˜V 506 - Este es el ³ARP response´ retransmitido desde el AP al cliente wireless.
Los dos posibles paquetes que podemos usar son 416 o 503. Puedes escoger cualquiera
de los dos. El 503 es mejor puesto que genera dos paquetes por cada uno que nosostros
inyectemos: La respuesta del cliente al AP y la del AP al cliente wireless. Básicamente
doblarás la velocidad (rate) de inyección. Para la gente que pregunta como incrementar
la velocidad de inyección, esta es una técnica.

Una vez que has encontrado uno o mas de estos paquetes haz click derecho y márcalo
(Mark packet). Despues vas al menu ³File´ y haz click en ³save as´ y selecciona
³marked packets only´ para gravar el paquete con un nombre como por ejemplo
³dsarprequests.cap´ u otro nombre que quieras tu. Ahora tienes un archivo con un ³ARP
requests´.

Recuerda que no tenemos garantizado totalmente que el paquete seleccionado funcione.

Solo es un candidato seleccionado basado en nuestra observación. Puede que necesites
probar un poco con otros paquetes para conseguir que funcione.

Reinicia la captura de paquetes si todavía no está funcionando:

Y

Y 

 


Y
Y

Y

Cerciórate de que no usas la opción ´- -ivs´ si quieres utilizar más adelante el método
PTW con aircrack-ng (aircrack-ng -z). El método PTW requiere los paquetes enteros y
solo funciona con ARPs. Ahora usa el ataque de inyección interactivo en otra consola:

Y
Y



Y

  Y
Y

De esta forma estás enviando el ³ARP requests´ desde tu PC al cliente directamente, y

no a través del punto de acceso. El cliente enviará una respuesta ³ARP replay´ por cada
³arp request´. Ahora tus paquetes de datos comenzarán a crecer espectacularmente.
Inicia aircrack-ng (aircrack-ng arpcapture*.ivs) en una tercera consola y obtendrás la
clave wep. Felicidades!

  
 

! 
 

 

En este escenario vamos a hacer la captura y la inyección al mismo tiempo.

Primero, comienza a capturar paquetes que emite o recibe el punto de acceso en

cuestión. Para reducir el tamaño del archivo, usa el filtro de BSSID y especifica el
canal. En nuestro ejemplo:

Y

Y 

 

 !

Y
Y

Y

Ahora abre una segunda consola para iniciar la inyección interactiva:

Y
Y




""""""""""""
#






Y

Tendrás que cambiar ´-b´ por la dirección MAC del punto de acceso deseado. Añade el
tamamño mínimo ´-m´ y máximo ´-n´ del paquete. Lo habitual es poner un mínimo de
68 y un máximo de 86. No está de mas experimentar con otros valores.
Las características del paquete que estamos buscando son:

˜V BSSID: punto de acceso

˜V Dirección MAC de destino: Broadcast (FF:FF:FF:FF:FF:FF)
˜V Dirección MAC de origen (Source MAC): cualquiera
˜V Dirección: desde el punto de acceso
˜V Tamaño del paquete (Size): 68 o 86 (68 es lo habitual para paquetes arp
originados por clientes wireless. 86 es habitual para ³arp requests´ de clientes
cableados.)

Las otras opciones que añadimos al comando son:

˜V -d ff:ff:ff:ff:ff:ff (significa que solo nos enseñe paquetes ³Broadcast´)

˜V -f 1 (significa que solo nos enseñe paquetes que salen del punto de acceso)

Aquí ponemos un ejemplode un paquete que deberíamos seleccionar:

ù Y

Y$ 

% & 
'
"
(%
'
)(%

*+,-

.%%/(



( 
12

""""""""""""

%

12

3."

4



####
####
####




. 56

4


3 
#
Y
3

Y3


7 6 

4

8
Y
 8

333
8
3
Y

9 : 9

48

8 
8
#38
Y
Y 3
Y#

8

; < # = 

4

8
3

 

:
 
Y$ 
>

Recuerda que necesitarás probar algunos paquetes para conseguir que funcione. El ARP
debe ser de un cliente wireless. Una vez que estes inyectando paquetes y tengas
suficientes, inicia aircrack-ng para obtener la clave WEP.

 c    
  
  

Primero necesitamos generar el archivo xor. Este archivo nos da la posibilidad de crear
nuevos paquetes encriptados para inyectarlos.

Puedes ejecutar el siguiente comando y seleccionar un paquete de un tamaño adecuado.

Tiene que ser mayor que el paquete ARP que queremos crear. Por lo tanto elige algo
como 86 o mas bytes. Tambien necesitamos determinar la dirección IP que está usando.
por lo tanto elige un paquete con origen o destino la dirección MAC de la estación
wireless. La razón de esto es que despues usaremos tcpdump para mirar los paquetes
desencriptados y obtener la dirección.
Run ³aireplay-ng -4 ath0 -h 00:0F:B5:46:11:19´.

Cambia -h por la dirección MAC del cliente asociado con el AP. Puedes tambien hacer
una falsa autenticación y usar esta MAC. Es solo porque es más simple usar una MAC
ya asociada al AP.

Aunque este ejemplo es de un ³arp request´, como mencionamos anteriormente ,

deberías probar a capturar un paquete con origen o destino la tarjeta wireless. Aquí está
la salida del ejemplo:

% & 
'
"
(%
'
)(%

*+,-

.%%/(



( 
12

""""""""""""

%

12

"".

4



####
####
####




. 56

4


#
# 
 8


33
Y

6  ?  : /@

4

##
YY



Y
8


 Y4 
0 A

48




8

 8
3
 3

 "B C

4







3


/ / 6

43

8
3#


D) E

:
 
Y$ 
>


%Y! 
 
Y$ 


YF
 8833 Y

G## 

3
*
=
 -
H
4

0

H

0

H


#
Y 

 




G## 


*
=
 -
H
4

0

H

0

H


#
Y 

 




G## 

8
*
8=
 -
H
4

0
(.
H

0

H


#
Y 

 


8

G## 


*
3=
 -
H
4

0

H

0

H

3
#
Y 

 


83

G## 


*
=
 -
H
4

0
8
H

0

H

3
#
Y 

 


3

G## 


*
=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 


*=
 -
H
4

0

H

0

H


#
Y 

 




G## 


*8=
  -
H
4

0

H

0

H


#
Y 

 




G## 


*3=
 -
H
4

0

H

0

H


#
Y 

 


38

G## 


*=
 -
H
4

0
3
H

0

H


#
Y 

 




G## 

3
*=
 -
H
4

0
.
H

0

H


#
Y 

 




G## 


*=
 -
H
4

0
(
H

0

H

3
#
Y 

 




G## 

8
*8=
 -
H
4

0

H

0

H


#
Y 

 




G## 


*3=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 


*=
 -
H
4

0

H

0

H


#
Y 

 


8

G## 


*=
 -
H
4

0

H

0

H

3
#
Y 

 


83

G## 


*8=
 -
H
4

0
(
H

0

H


#
Y 

 




G## 


*8=
 -
H
4

0
.
H

0

H


#
Y 

 




G## 


*8=
 -
H
4

0
(
H

0

H

38
#
Y 

 


3

G## 


*8=
 -
H
4

0

H

0

H


#
Y 

 


38

G## 

3
*8=
 -
H
4

0

H

0
 
H


#
Y 

 


3

G## 


*=
 -
H
4

0

H

0

H


#
Y 

 


8

G## 

8
*=
 -
H
4

0

H

0
(
H


#
Y 

 




G## 


*=
 -
H
4

0

H

0
8
H

8
#
Y 

 




G## 


*=
 -
H
4

0
(
H

0
2
H

38
#
Y 

 


3

G## 


*=
 -
H
4

0

H

0

H


#
Y 

 




G## 

3
*3=
 -
H
4

0
8
H

0

H


#
Y 

 




G## 

3
*3 =
 -
H
4

0

H

0

H


#
Y 

 




G## 

3
*38=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 

3
*33=
 -
H
4

0

H

0

H


#
Y 

 


8

G## 

33
*3=
 -
H
4

0
.8
H

0

H


#
Y 

 




G## 

3
*3=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 

38
*=
 -
H
4

0

H

0
88
H


#
Y 

 


8

G## 

3
*8=
 -
H
4

0
.
H

0
8
H

8
#
Y 

 


8

G## 

3
*3=
 -
H
4

0
2
H

0
2
H


#
Y 

 




G## 

3
*=
 -
H
4

0

H

0

H


#
Y 

 




G## 


*=
 -
H
4

0

H

0
.
H


#
Y 

 


3

G## 


*=
 -
H
4

0
.
H

0
"
H


#
Y 

 


8

G## 


*8=
 -
H
4

0
3
H

0

H


#
Y 

 




G## 


*3=
 -
H
4

0
.8
H

0
"
H

38
#
Y 

 


3

G## 

3
*=
 -
H
4

0
3
H
 
0

H


#
Y 

 


8

G## 


*=
 -
H
4

0
8(
H

0

H


#
Y 

 




G## 

8
*=
 -
H
4

0
2
H

0

H


#
Y 

 


38

G## 


*=
 -
H
4

0

H

0

H


#
Y 

  




G## 


*=
 -
H
4

0

H

0

H


#
Y 

 




G## 


*=
 -
H
4

0
.
H

0

H


#
Y 

 




G## 

8
*=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 

8 
*=
 -
H
4

0

H

0

H


#
Y 

 




G## 

8
*=
 -
H
4

0

H

0

H

8
#
Y 

 




G## 

8
*=
 -
H
4

0

H

0

H


#
Y 

 


3

G## 

83
*=
 -
H
4

0
2.
H

0

H

8
#
Y 

 




% 

Y$ '



 
3

)
2,
Y Y




Y$ 



Y
83
 

Y 
YY


$Y

2ù,
 Y



Y 

+Y
  
/I
 $
!
# Y 
"2/J(K

%Y! 
Y  4


YF 888 Y

%Y! 
$ 
Y


YF  888 4

  


* 
 L-

Despues mira el paquete desencriptado con Wireshark o tcpdump para conseguir la

información sobre la IP que necesitamos. Si no sabes como hacerlo, mira el ejemplo a
continuación. En este caso, hemos tenido suerte y conseguimos la IP del cliente
wireless. Puede que tengas que probar unos cuantos paquetes para conseguir la IP del
cliente wireless.



!!!





YF  888 Y

Y 
#

# 

YF  888 Y'
 $ 
/F

* -

88 3

(2.
YY
.%%/( 

%2##
JJ'
Y
%C2,
*4YY-'
Y
%C2,
*4YY-'


48


 
*4-'


2ù,
*4-
Y

 Y

  33 

 
  33 3

Ahora tenemos la IP del cliente wireless y podemos usar el archivo xor para crear un
paquete ARP. Asegurate completamente de que incluyes las opciones -j y -o.

Como estás usando la versión 0.9 entonces el comando adecuado es:

Y$ #

Y

Y


".3


"".
@


  33 
$
  33 3


YF  888 4


Y
#
Y

˜V -a 00:14:6C:7E:40:80 dirección MAC del punto de acceso

˜V -c 00:0F:B5:46:11:19 dirección MAC del cliente wireless
˜V -h 00:40:F4:77:F0:9B dirección MAC de un cliente ethernet. Puedes falsificar la
dirección MAC si no conoces una válida.
˜V -l 192.168.55.109
˜V -k 192.168.55.51
 ˜V -y replay_dec-1231-133021.xor
˜V -j fija el bit de ³FromDS´
˜V -o elimina el bit de ³ToDS´

Este comando es correcto para la versión 0.6.2. Había un bug en la versión 0.6.2 que
consistia en que las opciones -k y -l estaban intercambiadas.

packetforge-ng ±arp -a 00:14:6C:7E:40:80 -c 00:0F:B5:46:11:19 -h 00:40:F4:77:F0:9B

-j -o -k 192.168.55.109 -l 192.168.55.51 -y replay_dec-1231-133021.xor -w
arpforge.cap

Despues de crear el paquete, usa tcpdump para revisarlo. Mira a continuación, parece
que está correcto!



!!!




Y
#
Y

Y 
#

# 
Y
#
Y'
 $ 
/F
* -

88 38
+,

 
3
(2.
YY

.%%/( 
%2##
(YY
/I
,Y

M /(


Como estás probando con tu propio AP (si no es así NO CONTINUES), desencripta el

paquete y asegurate de que es correcto. Este paso no es necesario, solo sirve para
comprobar por ti mismo que has generado el paquete correcto.

Desencripta el paquete con: airdecap-ng -e teddy -w <put your WEP key here>
arpforge.cap Echale un vistazo al paquete desencriptado: tcpdump -n -r arpforge-
dec.cap Debería aparecer algo como esto:

Y 
#

# 
Y
#
  Y'
 $ 
C1.
*
 -

38 83
Y

 Y
  33 3
 
  33 

Parece que está bien, ya que sabemos que nuestro cliente tiene la IP 192.168.55.109 y
queremos capturar un ³arp request´ con destino ese cliente.

Por lo tanto, ahora inyectamos el paquete:

Y
Y



Y
#
Y
Y

En este punto, debeías ser capaz de generar paquetes de datos para usarlos con aircrack-
ng y obtener la clave WEP.

  
   
  
  "




El ataque de fragmentación es básicamente lo mismo que el chopchop. La única

diferencia es que usamos el ataque de fragmentación para obtener el archivo xor en
lugar de la técnica chopchop.

Primero, necesitas usar la dirección MAC de un cliente asociado al AP o hacer una

autenticación falsa.

Uno de los desafios es determinar que IP usamos en el comando ³aireplay-ng -5´

porque en teoría no sabemos el rango de IPs usadas en la red wireless. Para esto hay un
par de estrategias que podríamos usar. Una primera buena idea es usar una IP del rango
con el que por defecto viene configurado ese AP de fábrica. Muy poca gente cambia las
direcciones IPs por defecto. Otra alternativa es mirar si podemos obtener la IP interna
del AP a través de alguna vulnerabilidad a través de servidores web, páginas web,
cabeceras de e-mail, etc«

Sobra decir, que hay un truco que funciona en la mayoría de los APs. Usa una IP
255.255.255.255. Por defecto, aireplay-ng usa 255.255.255.255 para ambas IPs de
origen y de destino.

Hay algunos problemas de hardware con el ataque de fragmentación:

˜V No está soportado por los chipsets prism

˜V Chipsets Atheros: La dirección MAC de la tarjeta debe ser la misma que la
dirección MAC origen de los paquetes que estás generando. Usa tu método
favorito para cambiar la MAC de tu tarjeta atheros.
˜V Funciona muy bien con los chipsets ralink y realtek.
˜V Echale un vistazo a los foros para más información sobre compatibilidad.

Aquí está el comando a ejecutar:

Y
Y
3



".3
Y

+Y  
#

Y
YY
Y$ 

% & 
'
"
(%
'
) (%

*+,-

.%%/(



( 
12

".3

%

12

(

4



#
3





. " 56

4



 
8


3Y
3

?
N O

4


8
Y
88
8

Y


 - 0 P? Q

48


38
38
#8
Y
3
##
#

4


#Y

8
 
88
#3
#

@ A 

43



3
YY 8
#3#
#
#
8

 9 7 G6 .

4



3

Y8

Y
Y

/ 1R   *

4

3Y
#
8



Y33
Y

 ! !2 :

4

Y
#

Y
 83
Y
8
3 

S 3 7

:
 
Y$ 
>

Contesta ³y´ y comenzará el ataque de fragmentación. Aquí está la salida. Algunas

veces necesitarás probar varios paquetes para tener éxito.

%Y! 
 
Y$ 


YF
 83 Y

(YY
Y$ 
#K

%  
#
Y   
Y$ 

A
ùJ2T(
Y$ KK

)Y


2ù,
Y$ K

)
 


8
 
#
Y
$ 
Y

A
ùJ2T(
Y$ KK

)Y


2ù,
Y$ K

)
 


3
 
#
Y
$ 
Y

A
ùJ2T(
Y$ KK

)Y


2ù,
Y$ K

%Y! 
$ 
Y

#
Y   83 4

C

Y
 
Y
Y$ 
 
Y$ #


#
Y
3
 

$ 
Y

Bingo! El archivo "


#$$%$&#'()*+ es el archivo xor con el que podremos
generar el paquete arp para inyectar.

A partir de aquí el proceso es idéntico al del ataque chopchop. El gran problema es

conocer la dirección IP para usarla. Como mencionamos antes hay varias posibilidades,
hay que investigarlas.