L’arte dell’amplificazione ARP


Dopo un breve periodo di interruzione, proseguiamo con la pubblicazione delle traduzioni dei tutorial di Aircrack-ng. In questa guida verranno spiegato le differenti tecniche utilizzabili per aumentare il numero di ARP su una rete wireless craccarla più velocemente.

Il link originale é questo

Buona lettura ( e se avete commenti, non esitate a mandarceli ).

———————————————————————————————————————————————-

File collegati a questo tutorial:

INTRODUZIONE

Questa guida tratta di come aumentare drasticamente il numero di vettori di inizializzazione (IV) generati per secondo. Sono stati raggiunte medie di 1300 IV di dati al secondo! E’ stato fatto incrementando il numero di pacchetti di dati generati per ogni pacchetto iniettato. La guida e’ stata pensata per utenti navigati della suite aircrack-ng.

Ci sono stati molti progressi, giacche’ aircrack-ng richiede sempre meno pacchetti per determinare la chiave WEP. Un altro approccio per ridurre il tempo trascorso complessivo e’ di incrementare la frequenza degli IV raccolti. Questa guida presenta una metodologia per incrementare la frequenza degli IV per secondo, facendo generare alla LAN wireless pacchetti di dati multipli per ognuno di quelli che iniettate.

Dato che questa guida E’ concepita per utenti esperti della suite aircrack-ng, l’enfasi e’ posta sulla teoria ed il riesame delle catture di pacchetti. Non fornira’ istruzioni riguardo alle meccaniche dettagliate. Ogni scenario e’ stato messo alla prova sul campo e tutto funziona. Se non sapete ancora utilizzare i comandi di aircrack-ng in dettaglio, questa guida non fa per voi!

E’ consigliato fare delle prove con il vostro access point wireless domestico per familiarizzare con queste idee e tecniche. Se non possedete un dato access point, badate a chiedere il permesso al proprietario prima di smanettarci.

Vorrei segnalare e ringraziare il team di Aircrack-ng per aver prodotto uno strumento cosi’ robusto.

Per favore, inviatemi ogni critica costruttiva, positiva o negativa.

PROCEDURA

ASSUNTI DI QUESTA GUIDA

  • Il vostro impianto wireless è attivo ed in grado di iniettare pacchetti.
  • Avete dimestichezza con l’ARP. Informazioni aggiuntive si possono trovare qui o cercando su internet.
  • Avete Wireshark installato e funzionante. Avete inoltre delle nozioni basilari su come utilizzarlo.

SPECIFICHE

Access Point
 ESSID: teddy
 Indirizzo MAC: 00:14:6C:7E:40:80 Canale: 9

Sistema Aircrack-ng
 Indirizzo IP: nessuno Indirizzo MAC: 00:0F:B5:88:AC:82

Workstation cablata con Ethernet
 Indirizzo IP: 192.168.1.1 Indirizzo MAC: 00:D0:CF:03:34:8C

Workstation Wireless
 Indirizzo IP: 192.168.1.59 Indirizzo MAC:00:0F:B5:AB:CB:9D

SCENARI
Esaminerete una varieta’ di scenari iniziando con la tipica iniezione di un pacchetto per farne passare uno fino all’iniezione di un pacchetto per riavendone tre. Cio’ tiene gli IV dei dati su livelli di 350-1500 al secondo! Si, una frequenza di cattura di 1300 IV di dati al secondo. Sebbene non vengano presentati i passi dettagli, ogni scenario e’ stato testato sul campo e funziona.

Ecco gli scenari che esploreremo

  • Uno per un pacchetto ARP
  • Due per un pacchetto ARP
  • Tre per un pacchetto ARP

Le sezioni seguenti presuppongono che abbiate utilizzato gli attacchi del Korek chopchop ( qui la traduzione in italiano che abbiamo realizzato su questo tipo di attacco ) o a frammentazione  ( e qui l’altra traduzione in italiano ) per ottenere il PRGA. Leggete la documentazione wiki e le guide riguardo all’utilizzo di questi metodi. Le meccaniche di queste tecniche non saranno coperte in questa guida.

Si presuppone che conosciate l’indirizzo IP di diversi strumenti sul network. Chopchop e’ il metodo piu’ efficace per determinare gli indirizzi IP dato che decritta i pacchetti per voi. A sua volta, essaminare il pacchetto decrittato vi fornira’ l’indirizzo IP e la rete in uso. Potete indovinare la rete ed i tipici IP basandovi sul produttore dell’Access Point. Il produttore puo’ di solito essere determinato tramite l’indirizzo MAC.

Cio’ vale anche per i DHCP pools che hanno valori standard in ciascun marchio. L’ultimo metodo e’ semplicemente cio’ che la gente raccoglie ai numeri di network. Ulteriore ricerca sta venendo effettuata utilizzando la risposta alternativa utilizzando pacchetti live come metodo alternativo invece di costruire pacchetti da zero. Una volta che questa tecnica sara’ rifinita, la guida verra’ aggiornata e ripubblicata.

PRIMO SCENARIO – PACCHETTI ARP UNO PER UNO
E’ cio’ che accade di solito quando utilizzate l’ARP request reinjection. Sebbene non fornisca amplificazione aggiuntiva, lo studiamo per una maggiore comprensione e per fornire una misura di base della velocita’ d’iniezione. In parole povere, per ciascuna richiesta ARP che iniettiamo, viene ricevuto un nuovo IV dall’AP che lo ritrasmette.

Generiamo una richiesta ARP per iniettare:
_________________________________
packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0608-132715.xor -w arp-request-1x.cap
_________________________________

Iniettiamo il pacchetto:
_________________________________
 aireplay-ng -2 -r arp-request-1x.cap ath0
_________________________________

Misuriamo i paccheti al secondo con airodump-ng:
________________________________
CH  9 ][ Elapsed: 12 s ][ 2007-06-08 14:14                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   21  71      130     4532  355   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   38     0     6666
________________________________

Come potete notare sopra raggiungiamo 355 nuovi pacchetti dati al secondo.

Osserviamo parte della cattura. L’arp-1x.cap è un subset rappresentativo della cattura completa.

Utilizzate Wireshark per esaminare la cattura insieme alla descrizione seguente. Il modo più facile e’ quello di utilizzare "View->Expand". Ecco una descrizione dei pacchetti importanti:

  • Pacchetto 1: Il vostro beacon standard.
  • Pacchetto 2: Questo e’ il pacchetto che stiamo iniettando utilizzando aireplay-ng. Notate che la flag di status DS e’ impostata su "TO DS", cioe’ da un client che si dirige verso la rete cablata dell’AP.
  • Pacchetto 3: L’AP riconosce il pacchetto proveniente dal sistema Aircrack-ng.
  • Pacchetto 4: Il pacchetto di richiesta ARP viene trasmesso dall’AP. E’ un nuovo pacchetto di dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Notate che la flag di status DS e’ impostata su "FROM DS", cioe’ dalla rete cablata (AP) verso un client wireless.
  • I pacchetti 5->7 sono una ripetizione del ciclo 2->4 qui sopra. Il ciclo verra’ reiterato costantemente.

Come potete vedere, c’e’ stato un solo nuovo IV generato per ogni ciclo – il pacchetto 4.

SECONDO SCENARIO – DUE PACCHETTI ARP PER UNO
Qui le cose iniziano a farsi interessanti. Inviando una richiesta ARP ad un sistema attivo possiamo portare l’access point a generare due nuovi IV per ogni pacchetto che iniettiamo. Cio’ incrementa significativamente il rate dei dati raccolti.

E’ un po’ piu’ difficile di quanto sembri, dato che abbiamo bisogno di sapere un IP di un client cablato connesso alla LAN. Come descritto nell’introduzione potete determinare gli IP attraverso una varieta’ di metodi. Cosi’, a seguire, utilizzero’ "192.168.1.1" come l’IP di destinazione. Un fattore cruciale per il successo e’ di utilizzare "10.255.255.255" come l’IP sorgente. L’IP sorgente non puo’ essere un IP gia’ utilizzato nella LAN e deve rappresentare una rete valida. Non potete utilizzare "255.255.255.255" come facciamo in molti altri esempi.

Generiamo una richiesta ARP per iniettare:
______________________________________
packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.1 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-2x.cap
______________________________________

Iniettiamo il pacchetto:
_________________________________
aireplay-ng -2 -r arp-request-2x.cap ath0
_________________________________

Misuriamo i pacchetti al secondo con airodump-ng:
___________________________________________
 CH  9 ][ Elapsed: 8 s ][ 2007-06-08 14:12                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   38 100      107    10474  945   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   37     0    10921  
____________________________________________

Come potete vedere sopra, raggiungiamo 945 nuovi pacchetti di dati al secondo. Cio’ rappresenta un inscremento sostanziale rispetto al primo scenario.

Osserviamo parte della cattura. L’arp-2x.cap e’ un subset rappresentativo della cattura completa.

Utilizzate Wireshark per esaminare la cattura insieme alla descrizione seguente. Il modo piu’ facile e’ quello di utilizzare "View->Expand". Ecco una descrizione dei pacchetti importanti:

  • Pacchetto 1: Il vostro beacon standard.
  • Pacchetto 2: Questo e’ il pacchetto che stiamo iniettando utilizzando aireplay-ng. Notate che la flag di status DS e’ impostata su "TO DS", cioe’ da un client che si dirige verso la rete cablata dell’AP.
  • Pacchetto 3: L’AP riconosce il pacchetto proveniente dal sistema Aircrack-ng.
  • Pacchetto 4: Il pacchetto di richiesta ARP viene trasmesso dall’AP. E’ un nuovo pacchetto di dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Notate che la lag di status DS e’ impostata su "FROM DS", cioe’ dalla rete cablata (AP) verso un client wireless.
  • Pacchetto 5: Questo e’ il pacchetto di replica ARP reinviato dall’AP al nostro sistema. E’ un nuovo pacchetto dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Il MAC sorgente e’ un client cablato.Notate che la flag di status DS e’ impostata su "FROM DS", cioe’ dalla rete cablata (AP) verso un client wireless.
  • I pacchetti 6->9 sono una ripetizione del ciclo 2->5 qui sopra. Il ciclo verra’ reiterato costantemente.

Se fate il conto, ci sono due nuovi IV generati per ciclo – i pacchetti 4 e 5.

TERZO SCENARIO – TRE PACCHETTI ARP PER UNO
L’ultimo scenario e’ quello in cui generiamo tre nuovi pacchetti di dati IV per ognuno di quelli che iniettiamo. Questo scenario e’ il piu’ difficile da eseguire con successo. Tuttavia, quando riesce, ragiunge il piu’ alto rate d’iniezione.

In questo caso, abbiamo bisogno di conoscere un IP di un client wireless connesso ed attualmente associato all’access point. Come descritto nell’introduzione potete determinare gli IP attraverso una varieta’ di metodi. Cosi’, a seguire, utilizzero’ "192.168.1.1" come l’IP di destinazione. Un fattore cruciale per il successo e’ di utilizzare "10.255.255.255" come l’IP sorgente. L’IP sorgente non puo’ essere un IP gia’ utilizzato nella LAN e deve rappresentare una rete valida. Non potete utilizzare "255.255.255.255" come facciamo in molti altri esempi.

Generiamo una richiesta ARP per iniettare:
_______________________________
packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.89 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-3x.cap
_______________________________

Iniettiamo il pacchetto:
_______________________________
 aireplay-ng -2 -r arp-request-3x.cap ath0
______________________________

Misuriamo i pacchetti al secondo con airodump-ng:
______________________________
 CH  9 ][ Elapsed: 0 s ][ 2007-06-09 12:52                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   32 100       30     3797 1294   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:AB:CB:9D   47     0     1342                                                     
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   33     0     2641               
_______________________________

Come potete vedere sopra raggiungiamo 1294 nuovi pacchetti di dati al secondo. Wow! Anche questo rappresenta un incremento sostanziale rispetto al primo scenario. Nella schermata di airodump-ng qui sopra ci sono due client. Il nostro sistema di attacco ed il client wireless su cui facciamo leva.

Osserviamo parte della cattura. L’arp-3x.cap e’ un subset rappresentativo della cattura completa.

Utilizzate Wireshark per esaminare la cattura insieme alla descrizione seguente. Il modo piu’ facile e’ quello di utilizzare "View->Expand". Ecco una descrizione dei pacchetti importanti:

  • Pacchetto 1: Il vostro beacon standard.
  • Pacchetto 2: Questo e’ il pacchetto che stiamo iniettando utilizzando aireplay-ng. Notate che la flag di status DS e’ impostata su "TO DS", cioe’ da un client che si dirige verso la rete cablata dell’AP.
  • Pacchetto 3: L’AP riconosce il pacchetto proveniente dal sistema Aircrack-ng.
  • Pacchetto 4: Il pacchetto di richiesta ARP viene trasmesso dall’AP. E’ un nuovo pacchetto di dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Notate che la flag di status DS Ë impostata su "FROM DS", cioe’ dalla rete cablata (AP) verso un client wireless.
  • Pacchetto 5: Questo e’ il pacchetto di replica ARP inviato dal client wireless all’AP. E’ un nuovo pacchetto dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Il MAC sorgente e’ il client wireless.Notate che la flag di status DS e’ impostata su "TO DS", cioe’ da un client wireless verso la rete cablata dell’AP.
  • Pacchetto 6: L’AP riconosce il pacchetto proveniente dal client wireless.
  • Pacchetto 7: Il pacchetto di richiesta ARP del client wireless viene inviato al sistema Aircrack-ng dall’AP. Potete verificarlo esaminando gli indirizzi MAC di origine e destinazione. E’ un nuovo pacchetto dati. Noterete che ha un nuovo IV unico ed un numero di sequenza diverso. Notate che la flag di status DS e’ impostata su "FROM DS", cioe’ dalla rete cablata dell’AP verso un client wireless.
  • I pacchetti 8->13 sono una ripetizione del ciclo 2->7 qui sopra. Il ciclo verra’ reiterato costantemente.

Se fate il conto, ci sono tre nuovi IV generati per ciclo – i pacchetti 4, 5 e 7.

NOTA IMPORTANTE
La velocita’ che potete raggiungere dipende dall’hardware utilizzato. Sia quello dell’Access Point che il vostro.

Consultate questo thread per maggiori informazioni.

Comments are closed.