So-net無料ブログ作成
エステ

Aircrack-ng のページ [Aircrack-ng]

本家の Aircrack-ngページ の一部を意訳してみました。
ご参考まで。

このコンテンツに関連するコンテンツはこちら。

Aircrack-ng newbie guide のページ

チュートリアル: WPA/WPA2 のクラッキング方法について

無線LANの復習



aircrack-ng-new-logo.jpg




はじめに


Aircrack-ngは一定量のデータパケットを収集することにより、 802.11 WEP/WPA-PSKキーを取得する解析ツール群です。
KoreK攻撃やPTW攻撃のようないくつかの最適化を施した標準的なFMS攻撃を実装しているため、他のWEPクラックツールと比較してもいくらか高速な攻撃を実現しています。
実際のところ、Aircrack-ngは無線ネットワーク向けの監査ツール群です。




Aircrack-ng とは?

どうやって動かすかを早く知りたい方はこちらへ


Aircrack-ngは様々な新しい機能を備えた次世代の無線解析ツールです。

・ドキュメント(wiki, man)とサポート(フォーラム、trac、IRC)がそれなりにある
・比較的ドライバの対応範囲が広い
・比較的対応OS、プラットフォームの範囲が広い
・新しいWEP攻撃に対応:PTW攻撃
・WEP辞書攻撃対応
・フラグメンテーション攻撃対応
・解析速度の向上
・複数カードでの収集対応
・新しいツールの登場
・最適化、他の改善、バグフィックス



ドキュメント


Aircrack-ng suite


Airbase-ng


偽装アクセスポイントを立ち上げ、接続に来たコンピュータからID、パスワードなどの情報を引き出すツールです。


Aircrack-ng


WEP,WPA/WPA2用クラッキングツールです。
airodump-ngでキャプチャした暗号化されたパケットからWEPキーを復元します。
2つの方法によるWEPキーの復元を実現しました。
1つ目がPTW攻撃で、これがデフォルトで使用されます。
この攻撃では2段階で実施します。
第一段階では、aircrack-ngはARPパケットのみ使います。
鍵が見つからなかった場合、全パケットをキャプチャして利用します。
PTW攻撃では全てのパケットを利用するわけではありません。
現状の実装では40/104bitのWEPキーにのみ対応できます。
PTW攻撃の利点はWEPキーをクラックするのに必要となるパケットが非常に少なくて済むという点です。
2つ目の方法はFMS/KoreK攻撃です。
FMS/KoreK攻撃はWEPキーを解読するための様々な統計的攻撃を内包し、それらをブルートフォースアタックとの複合技で利用することが可能です。
加えて、WEPキーを求めるために辞書攻撃も利用できます。

WPA/WPA2の事前共有鍵については辞書攻撃のみが利用できます。
SSE2サポートによりWPA/WPA2キーの特定が劇的に高速になりました。
4ウェイハンドシェイクが入力として必要となります。


Airdecap-ng


WEP/WPA/WPA2キャプチャファイルを解読するツールです。
また、暗号化されていないキャプチャから802.11ヘッダを取り出すことも可能です。
"-dec.cap"で終わるファイルを出力します。


Airdecloak-ng


(TCP dumpなどから得られる)pcapファイルからWEP情報をフィルタするツールです。


Airdriver-ng


無線LANドライバに関する情報を出力するスクリプト、ドライバのロード・アンロードを行うスクリプトです。
モニターモード、インジェクションモードに必要なパッチなどもインストールしてくれます。
他にもいろいろな機能を持ちます。


Airdrop-ng


認証済みユーザーを未認証化するツールです。


Aireplay-ng


フレームを挿入するために使うツールです。
メインの機能は、WEP/WPA-PSKキーをクラックするために、aircrack-ngの後にトラフィックを生成することです。
WPAハンドシェイク取得、認証偽装、パケットリプレイ、手動でのARPリクエスト挿入、ARPリクエスト再挿入のための未認証化を引き起こす様々な攻撃を備えます。
packetforge-ng は任意のフレームを生成するツールです。
ほとんどのドライバはインジェクションのためにパッチを当てる必要があります。


Aigraph-ng



Airmon-ng


無線LANカードでモニターモードを利用可能にします
モニターモードからマネジメントモードへ戻ることも可能です。
コマンド単独で入力するとインターフェースの状態を表示します。


Airodump-ng


生の802.11フレームのパケット収集のために用い、特にaircrack-ngと一緒に使い、WEP初期ベクトルを収集することに適しています。
コンピュータに接続されたGPSレシーバーがあれば、見つけたアクセスポイントの座標の保存が可能となります。
加えて、アクセスポイントの詳細と見つけたクライアント情報を含んだファイルを出力することができます。


Airolib-ng


ESSIDとパスワードのリストを保存、管理するためのツールです。


Airserv-ng


複数のアプリケーションから独立してTCPコネクション張ることを可能にする無線LANカードサーバーです。


Airtun-ng


仮想トンネルインターフェースを作ります。
主な機能は2つで、
1.wIDS(無線LAN不正利用検知システム)用 暗号通信監視
2.ネットワークへの任意のトラフィック挿入


Easside-ng


WEPキーを知らずにWEPアクセスポイントへ接続する自動化ツールです。
最初にネットワークを特定し、アソシエートし、PRGAとデータの排他的論理和を収集し、IPスキームを特定しTAPインターフェースを立ち上げますので、WEPキーを必要としないでアクセスポイントに接続できます。
あなたは何もする必要がありません。


Packetforge-ng


インジェクションの後に使う暗号化パケットを作るツールです。
ARPリクエスト、UDP、ICMP、カスタムパケットなど様々なパケットが作れます。
最もよく使うのは、インジェクション後のARPリクエストの作成です。
暗号化パケットを作るためには、PRGAファイルが必須です。
aireplay-ng chopchop や fragmentation 攻撃からPRGAファイルは得られます。


Tkiptun-ng


このドキュメントは書いている途中です。
最新の情報をチェックしてください。
フィードバックがあればAIRCRAC-NGフォーラムまでお寄せください。

このツールは完全には動作しません。最後の攻撃のフェーズが未実装です。他の部分は、RT73、RTL8187Lチップセットについては、動作します。
madwifi-ngドライバは壊れており、うまくいかないことがわかっています。
他のドライバでは不明です。

このツールはaircrack-ngチームのMartin Beck aka hirteが生み出しました。
QoSが効いているWPA-TKIPネットワークに対していくつかのフレーム挿入を可能にしました。
WPA-TKIP攻撃の実証用ツールです。
Martin Beck と Erik Tews の論文「Practical attacks against WEP and WPA」に記載されている攻撃方法です。
論文ではWEPでの進んだ攻撃方法とWPA向けの初めての攻撃方法が示されています。

tkiptun-ngは平文の小さなパケットとMICを取得するところから始めます。これはchopchop攻撃で行われます。
これが取得できた後、MICHAELアルゴリズムはMICキーを復調します。
この時点でMICキーとキーストリームが取得できます。
その後、XORファイルを用いて、新しいパケットを生成し、それを挿入します。
これらはaircrack-ngスイートの他のツールで利用します。

これは非常に進んだ攻撃方法であることを忘れないでください。
このツールを使うためには、Linuxとaircrack-ngについての高度なスキルが必要です。
これらのスキルのない方はサポートを求めないでください。
初心者の方はご遠慮ください。


Wesside-ng


これは数分の内にWEPキーを取得するためのツールなどを含んだ自動化ツールです。
最初にネットワークを特定し、アソシエートし、PRGAとデータの排他的論理和を収集し、IPスキームを特定し、ARPリクエストを再挿入し、最終的にWEPキーを特定します。
あなたは何もする必要がありません。



ダウンロード


Linux版の最新はv1.1です。
ここからソースをダウンロード。



インストール

Ubuntuへのインストールはこちらを参照。
Ubuntu用パッケージの詳細についてはこちら
10.04、9.10用ではバージョン1.01
それ以前のUbuntuではRC版またはβ版が提供されています。

ソースから入れるときはこちらを参照。
最新版はバージョン1.1です。

チップセット

Aircrack-ngで動くチップとドライバについてはこちら





nice!(0)  コメント(9)  トラックバック(2) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 9

NO NAME

大変綺麗に纏められた内容で素晴らしいです。
特に、Aircrack・無線LANについては、翻訳を含め分かり易く、参考になります。

当方Aircrack-ngに大変興味があり、最近は Aircrack+Tinycore+自作Cプログラム でPackCore なるものを作り遊んで居ります。そんな中、不具合箇所が2つ見つかりました。

1.airodump-ngのMB欄に「54e」と表示されたAPのハンドシェイクが取得できていない事。
2.Four-way Handshakeを取得していない事

1.については、STD QOS(ソースから、何だか分からない) ・ 802.11e あたりかと思われるのですが、不明

2.については、aircrack-ngでは解析できるHandshakeが、cowpattyで解析できなかったので、調べたところ、http://www.aircrack-ng.org/doku.php?id=cracking_wpa の 「I Cannot Capture the Four-way Handshake!」に、iwconfigで通信モートを clientとAccessPointに合わせる必要がある旨の記載があるようです。

1.について、なにかご存知でしたら、ご教授頂けないでしょうか? 
2.は、翻訳お願いできないでしょうか?有意義だと思いますが?

よろしくお願い申し上げます。

by NO NAME (2010-12-15 16:34) 

nao

忙しくて、お返事ができないままで、すみませんでした。

1.についてですが、54eのハンドシェイクが取得できていないことに気づいていませんでした。そのような事象が発生した際に、ちょっと探ってみます。

2.についてですが、実はこのページの日本語版(他)を書いていたのですが、途中でMacの環境を移している際にファイルが行方不明になったり(汗)、忙しくなったりで、その後放置な状況です。まとまった時間がとれたところで、このブログか、本家にアップロードする予定です。
by nao (2011-01-07 00:51) 

nao

2.についてですが、本家の日本語ページを追加しました。

http://www.aircrack-ng.org/doku.php?id=ja:cracking_wpa

例によって、意訳ですが。ご参考まで。
by nao (2011-01-09 01:12) 

tohru

 お忙しいところ、ご丁寧なご回答を頂き、有難うございました。また、コメントが遅くなり大変失礼致しました。翻訳を読ませて頂き、なんとなくしか理解できなかった事が、やっぱりそうか、という感じで、すっきりしました。4wayHandshakeの取得については、一律に取得するのは難しそうですね。Cowpattyを使う為に、4wayhandshakeを取得する意味があまりないように思える為、外すことにします。実際、WPA解析には、CowpattyでもAircrack-ngでもなく、Elcomsoft WirelessSecurity Auditor(趣旨と反しますが)を使っています。Cowpattyの、時間を掛けてhashfileを作り、高速に総当たりという意義が理解できないのと、GPU利用で力業で総当たりするWirelessSecurity Auditorでは、環境にもよりますが、GPU利用の方が有利だと思われたからです。
 翻訳を読んでいると、総当たり以外の方法で解析できるのだろうか? tkiptun-ngは、どんな方法を考えているのか?という疑問が沸いてきます。
 本当に有難うございました。

by tohru (2011-02-10 08:47) 

hiroki

はじめまして。私もAircrack-ngでWEPキークラックを検証していますが、
クライアントが一つもAPに接続していない状態で、
aireplay-ng -1 0 -e $ESSID -a $BSSID -h $MYMAC mon0
をした後に
aireplay-ng -5 -b $BSSID -h $MYMAC mon0
を実行するとuse this packet?と聞いてきてyを押した後
16:25:58 Sending fragmented packet
16:26:00 No answer, repeating...
16:26:00 Trying a LLC NULL packet
16:26:00 Sending fragmented packet
16:26:01 No answer, repeating...
16:26:01 Sending fragmented packet
16:26:03 No answer, repeating...
16:26:03 Still nothing, trying another packet...
Read 241 packet...
となり、そのまま、いつまでたってもReadが終わりません。
そのため.xorファイルが作成されず、先に進めない状態です。
飛んでいるビーコンからARPリクエストを作成する情報が読み取れていない状態であると思われますが、
なぜできないのか、原因や解決方法をご教授願います。
by hiroki (2011-06-19 13:11) 

nao

まず、
> aireplay-ng -1 0 -e $ESSID -a $BSSID -h $MYMAC mon0
の結果は問題ありませんか?

つぎに、
> aireplay-ng -5 -b $BSSID -h $MYMAC mon0

> aireplay-ng -3 -b $BSSID -h (接続済み無線LANクライアント) mon0
にでやるとどのような結果が帰ってくるでしょうか?

まわりにはもうWEPなアクセスポイントがないので、検証できないので
あまり有効なコメントができませんが。。。
by nao (2011-06-20 23:48) 

hiroki

お返事ありがとうございます。
aireplay-ng -1 0 -e $ESSID -a $BSSID -h $MYMAC mon0
の結果は正常です。
他に1台クライアントを接続し、
aireplay-ng -3 -b $BSSID -h (接続済み無線LANクライアント) mon0
では、以下のような結果でした。

 Saving ARP requests in replay_arp-0627-121526.cap
 You must also start airodump to capture replies.
 Read 2436 packets (got 1 ARP requests), sent 1385 packets...
この繰り返しが続きます。
しかし、#dataは増えません。
また、ARPリクエストを取得するのも時間がかなりかかります。
by hiroki (2011-06-23 10:37) 

hiroki

連投失礼します。
もう一つ疑問なのですが、WPAキーのクラックの際ブルートフォースアタックするには辞書にその記述を書く必要がありますが、その記述内容はどのような物なのでしょうか。
by hiroki (2011-06-26 13:56) 

nao

まず一つ目の件について。
Fragmentation attackについて詳しくないので、よく知りませんが、

http://www.aircrack-ng.org/doku.php?id=fragmentation

に記載してある、"Possible reasons"には該当しませんか?

二つ目の件について。
質問の意図がつかめてないので、的外れかもしれませんが。。。
Brute force attack用の辞書は基本的に辞書そのものを自ら用意
する必要があります。Googleで検索すれば出てきますし、
http://bibo-log.blog.so-net.ne.jp/2011-01-09
のStep4あたりにも記載しています。

ご参考まで。
by nao (2011-06-26 23:58) 

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

トラックバック 2

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。