Обобщение

Подводя итог всему рассказанному выше о взломе беспроводных сетей, еще раз перечислим главные этапы этого процесса и используемые на каждом из них команды.

Этап 1. Сбор информации о сети:

- airmon-ng start wifi0;

- airodump-ng ath1.

Этап 2. Сбор пакетов:

• случай WEP:

- airodump-ng --ivs -w dump --band g --channel 11 ath1,

- aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(при недостаточном трафике. Команда запускается в отдельной консольной сессии);

• случай WPA-PSC:

- aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

- airodump-ng -w dump --band g --channel 11 ath1

(команда запускается в отдельной консольной сессии).

Этап 3. Анализ пакетов:

• случай WEP:

- aircrack-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

• случай WPA-PSK:

- aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.

Взлом беспроводных сетей с помощью пакета aircrack-ng 0.6.2-win и ОС Windows XP

Как мы уже отмечали в начале статьи, существует версия пакета aircrack-ng 0.6.2-win, поддерживаемая операционной системой Windows XP. Сразу отметим, что возможности пакета не столь обширны по сравнению с его Linux-аналогом, а потому, если нет стойкого предубеждения против Linux, то лучше использовать вариант с диском BackTrack.

Первое, с чем придется столкнуться в случае применения Windows-версии программы aircrack-ng, — это необходимость замены штатных драйверов от производителя беспроводного сетевого адаптера на специальные драйверы, которые поддерживают режим мониторинга и перехвата пакетов. Причем, как и в случае с Linux-версией программы, конкретная версия драйвера зависит от чипа, на котором построен сетевой адаптер. К примеру, при использовании нашего беспроводного PCMCIA-адаптера Gigabyte GN-WMAG на базе чипа Atheros AR5004 мы применяли драйвер версии 5.2.1.1 от компании WildPackets.

Сама процедура взлома беспроводной сети с помощью Windows-версии пакета aircrack-ng довольно проста и концептуально повторяет процедуру взлома беспроводных сетей посредством Linux-версии пакета. Она выполняется традиционно в три этапа: сбор информации о сети, перехват пакетов и их анализ.

Для начала работы с утилитой необходимо запустить файл Aircrack-ng GUI.exe, имеющий удобный графический интерфейс и представляющий собой, по сути, графическую оболочку для всех утилит, входящих в пакет aircrack-ng 0.6.2-win. В главном окне программы (рис. 7) имеется несколько закладок, переключаясь между которыми можно активировать нужные утилиты.

 

Рис. 7. Главное окно утилиты Aircrack-ng GUI

Для сбора необходимой информации о сети необходимо перейти на закладку airdump-ng, после чего в отдельном окне запустится утилита airdump-ng 0.6.2.

При запуске программы airdump-ng 0.6.2 (рис. 8) откроется диалоговое окно, в котором потребуется указать беспроводной сетевой адаптер (Network interface index number), тип чипа сетевого адаптера (Network interface type (o/a)), номер канала беспроводной связи (Channel(s): 1 to 14, 0=all) (если номер канала неизвестен, то можно сканировать все каналы). Кроме того, задается имя выходного файла, в котором хранятся перехваченные пакеты (Output filename prefix), и указывается, требуется ли захватывать все пакеты целиком (CAP-файлы) или только часть пактов с векторами инициализации (IVS-файлы) (Only write WEP IVs (y/n)). При WEP-шифровании для подбора секретного ключа вполне достаточно сформировать только IVS-файл, а при использовании WPA-PSK-шифрования потребуется cap-файл. По умолчанию IVS- или СAP-файлы создаются в той же директории, что и программа airdump-ng 0.6.2.

 

Рис. 8. Настройка утилиты airdump-ng 0.6.2

После настройки всех опций утилиты airodump-ng 0.6.2 откроется информационное окно, в котором отображается информация об обнаруженных точках беспроводного доступа, информация о клиентах сети и статистика перехваченных пакетов (рис. 9).

 

Рис. 9. Информационное окно утилиты airodump-ng 0.6.2

Если точек доступа несколько, то будет выдаваться статистика по каждой из них.

Первым делом необходимо записать MAC-адрес точки доступа, SSID беспроводной сети и MAC-адрес одного из подключенных к ней клиентов (если их несколько). Затем нужно подождать, пока не будет перехвачено достаточное количество пакетов. Для останова процесса захвата пакетов (работы утилиты) служит комбинация клавиш Ctrl+C. Отметим, что в Windows-версии пакета не предусмотрено способов, позволяющих принудительно увеличить трафик между точкой доступа и клиентом сети (напомним, что в Linux-версии пакета для этого предусмотрена утилита aireplay-ng).

Основная проблема при взломе WPA-PSK-сетей с использованием Windows-версии программы Aircrack-ng GNU 0.6.2 заключается в том, что в CAP-файл необходимо захватить саму процедуру инициализации клиента в сети, то есть придется посидеть «в засаде» с запущенной программой airodump-ng. После того как в CAP-файл захвачена процедура инициализации клиента сети, можно остановить программу airodump и приступить к процессу расшифровки. Собственно, накапливать перехваченные пакеты в данном случае не нужно, поскольку для вычисления секретного ключа применяются только пакеты, передаваемые между точкой доступа и клиентом в ходе инициализации.

В случае WEP-шифрования после формирования выходного IVS-файла можно приступать к его анализу с помощью утилиты aircrack-ng 0.6.2, для запуска которой опять необходимо открыть главное окно программы Aircrack-ng GUI на соответствующей закладке и настроить утилиту aircrack-ng. При WEP-шифровании настройка утилиты заключается в том, чтобы задать длину WEP-ключа, указать ESSID беспроводной сети, задать MAC-адрес точки доступа, исключить некоторые типы атак (RoreK-атаки), задать при необходимости набор символов, используемый для ключа, и т.д. Здесь предусмотрены все те же настройки, что и в случае Linux-версии данной утилиты. Разница лишь в том, что в Linux-версии все настройки указываются в виде опций в командной строке, а в Windows-версии для настройки утилиты применяется удобный графический интерфейс (рис. 10).

 

Рис. 11. Результат анализа IVS-файла
утилитой aircrack-ng 0.6.2

Результат анализа IVS-файла показан на рис. 11. Вряд ли строка KEY FOUND! нуждается в комментариях. Обратите внимание: секретный ключ был вычислен всего за 1 с!

При WPA-PSK-шифровании в настройках утилиты aircrack-ng 0.6.2 в качестве выходного файла необходимо использовать именно CAP-, а не IVS-файл. Кроме того, нужно указать путь к применяемому для взлома словарю, который предварительно устанавливается в директорию с программой aircrack-ng 0.6.2 (рис. 12).

 

Рис. 12. Результат анализа ivs-файла
утилитой aircrack-ng 0.6.2

Результат анализа CAP-файла показан на рис. 13. Однако следует иметь в виду, что положительный результат поиска ключа возможен только в том случае, если пароль присутствует в анализируемом словаре.

 

Рис. 13. Результат анализа CAP-файла

Обход защиты фильтра по MAC-адресам

В самом начале статьи мы отмечали, что помимо WEP- и WPA-PSK-шифрования часто используются и такие функции, как режим скрытого идентификатора сети и фильтрация по MAC-адресам. Они традиционно относятся к функциям обеспечения безопасности беспроводного соединения.

Как мы уже продемонстрировали на примере пакета aircrack-ng, полагаться на режим скрытого идентификатора сети вообще нельзя. Упомянутая нами утилита airodump-ng все равно покажет вам SSID сети, который впоследствии можно использовать для создания профиля подключения (несанкционированного!) к сети.

Ну а если говорить о такой мере безопасности, как фильтрация по MAC-адресам, то здесь вообще все очень просто. В Интернете можно найти довольно много разнообразных утилит и под Linux, и под Windows, которые позволяют подменять MAC-адрес сетевого интерфейса. В качестве примера можно привести следующие Windows-утилиты: SMAC 2.0 (утилита платная, http://www.klcconsulting.net/smac), MAC MakeUP (утилита бесплатная, www.gorlani.com/publicprj/macmakeup/macmakeup.asp — рис. 14) или MAC Spoofer 2006 (утилита бесплатная).

 

Рис. 14. Подмена MAC-адреса с использованием утилиты MAC MakeUP

Осуществив такую подмену, можно прикинуться своим и реализовать несанкционированный доступ в беспроводную сеть. Причем оба клиента (настоящий и непрошеный) будут совершенно спокойно существовать в одной сети с одним MAC-адресом, более того — в этом случае непрошеному гостю будет присвоен точно такой же IP-адрес, как и у настоящего клиента сети.

Выводы

Итак, преодолеть всю систему безопасности беспроводной сети на базе WEP-шифрования не представляет никакого труда. Возможно, многие скажут, что это неактуально, поскольку WEP-протокол уж давно умер — его не используют. На смену ему пришел более стойкий протокол WPA. Однако не будем торопиться с выводами. Это действительно так, но только отчасти. Дело в том, что в некоторых случаях для увеличения радиуса действия беспроводной сети разворачиваются так называемые распределенные беспроводные сети (WDS) на базе нескольких точек доступа. Самое интересное заключается в том, что такие сети не поддерживают WPA-протокол и единственной допустимой мерой безопасности в данном случае является применение WEP-шифрования. При этом взламываются WDS-сети абсолютно так же, как и сети на базе одной точки доступа. Кроме того, КПК, оснащенные беспроводным модулем, тоже не поддерживают протокол WPA, поэтому для включения клиента на базе КПК в беспроводную сеть необходимо использовать в ней протокол WEP. Следовательно, протокол WEP еще долгое время будет востребован в беспроводных сетях.

Рассмотренные нами примеры взлома беспроводных сетей весьма наглядно демонстрируют их уязвимость. Если говорить о WEP-протоколе, то его можно сравнить с защитой «от дурака». Это примерно то же самое, что сигнализация на машине, — только от хулиганов и спасает. Что касается таких мер предосторожности, как фильтрация по MAC-адресам и режим скрытого идентификатора сети, то их вообще рассматривать как защиту нельзя. Тем не менее даже такими средствами не стоит пренебрегать, правда только в комплексе с другими мерами.

Протокол WPA, хотя и гораздо более сложен для взлома, но тоже уязвим. Впрочем, не стоит падать духом — не все так безнадежно. Дело в том, что успех взлома секретного WPA-ключа зависит от того, есть он в словаре или нет. Стандартный словарь, который мы использовали, имеет размер чуть более 40 Мбайт, что, в общем-то, не так много. После трех попыток мы сумели подобрать ключ, которого не оказалось в словаре, и взлом сети оказался невозможным. Количество слов в этом словаре — всего 6 475 760, что, конечно же, очень мало. Можно использовать словари и большей емкости, к примеру в Интернете можно заказать словарь на трех CD-дисках, то есть размером почти в 2 Гбайт, но даже он содержит далеко не все возможные пароли. Действительно, давайте приблизительно рассчитаем количество паролей длиной от 8 до 63 символов, которые можно сформировать с использованием 26 букв английского алфавита (с учетом регистров), десяти цифр и 32 букв русского алфавита. Получится, что каждый символ можно выбрать 126 способами. Соответственно если учитывать только пароли длиной 8 символов, то количество возможных комбинаций составит 1268=6,3·1016. Если размер каждого слова длиной 8 символов составляет 8 байт, то размер такого словаря составит 4,5 млн Тбайт. А ведь это только комбинации из восьми символов! Какой же получится словарь, если перебрать все возможные комбинации от 8 до 63 символов?! Не надо быть математиком, чтобы подсчитать, что размер такого словаря составит примерно 1,2·10119 Тбайт.

Так что не стоит отчаиваться. Шанс, что применяемый вами пароль не содержится в словаре, велик. Просто при выборе пароля не следует использовать слова, имеющие смысл. Лучше всего, если это будет беспорядочный набор символов — что-нибудь типа «FGпроукqweRT4j563апп».