Guia Aircrack-ng no Linux para Novatos

Idia e trabalho inicial: ASPj

Adicionais por: um nmero de boas almas
ltima atualizao: Maio 14, 2007
Traduo e Adaptao: JaymesSmith (11/01/08)
Observaes Iniciais
No esquea de dar uma olhada nos outros tutoriais! Eles podem ajud-lo em alguma
parte que voc pode no ter entendido aqui. Em breve estarei redigindo meus prpios
tutoriais para ajudar a comunidade brasileira. Aproveite tambm para juntar-se a ns na
comunidade Aircrack-ng no Orkut ou na irc.freenode.net canal #wireless-br.
Boa leitura!
Este tutorial te dar a base para comear usando o pacote Aircrack-ng. impossvel
mastigar cada pedao de informao que voc precisa e cobrir cada cenrio. Ento esteja
preparado para fazer algum dever de casa e pesquisa por conta prpria. O Forum e o Wiki
possuem muitos tutoriais e informaes suplementares.
Embora no cubra todos os passos do incio ao fim, como neste tutorial, o tutorial Quebra
Simples da Chave WEP cobre os passos do Aircrack-ng atual em muito mais detalhes.
Nos exemplos, a opo trao duplo bssid est mostrada como - -bssid. Lembre-se de
remover o espao entre os dois traos quando us-lo na vida real. Isso serve tambm para -ivs, - -arpreplay, - -deauth e - -fakeauth.

Configurando Hardware, Instalando

Aircrack-ng
O primeiro passo para fazer o Aircrack-ng funcionar corretamente no seu sistema Linux
instalando e aplicando o 'patch' no driver apropriado para sua placa wireless. Vrias placas
funcionam com mltiplos drivers, alguns deles providenciam as caractersticas necessrias
para usar o Aircrack-ng, e outros no.
Nem precisa dizer que voc necessita de uma placa wireless compatvel com o pacote
Aircrack-ng, ou seja, hardware completamente compatvel e que pode fazer injeo de
pacotes. Uma placa wireless compatvel pode ser utilizada para quebrar um Access Point
wireless em menos de uma hora.
Para determinar a qual categoria sua placa pertence, veja pgina de compatibilidade de
hardware. Leia Tutorial: Minha Placa Wireless Compatvel? se voc no sabe onde
procurar nessa tabela. Ainda assim compensa dar uma lida nesse tutorial para melhorar seu
conhecimento e confirmar os atributos da sua placa.

Primeiro, voc precisa saber qual chipset utilizado na sua placa wireless e qual driver
voc necessita para ele. Voc ter determinado isso usando as informaes do pargrafo
anterior. A seo de drivers te dir quais drivers voc precisa para seu chipset especfico.
Baixe-os e ento pegue o 'patch' correspondente de http://patches.aircrack-ng.org. (Esses
'patches' ativam o suporte injeo.)
Como eu possuo um dispositivo Ralink USB, estou providenciando os passos para faz-lo
funcionar com o Aircrack-ng. Antes que voc esteja pronto para compilar e instalar os
drivers, voc precisa ter os kernel-sources da sua distribuio instalados.
Se voc possui um outro tipo de placa, confira a pgina instalando drivers para instrues
sobre outros drivers. Do mesmo modo, faa uma procura na internet se voc est inseguro
de como instal-los.

Guia de Configurao do RaLink USB rt2570

Se voc possui um dispositivo USB rt2570 (como o D-Link DWL-G122 rev. B1 ou Linksys
WUSB54G v4) voc deve usar os drivers de http://homepages.tudarmstadt.de/~p_larbig/wlan/ Estes so drivers especialmente modificados, que suportam
injeo e tem relatos de que funcionam melhores com o Aircrack-ng. Eles no precisam de
'patch'. Claro que esses drivers tambm funcionam para uso normal da placa.
Vamos extrair, compilar e instalar os drivers:
tar xfj rt2570-k2wrlz-1.3.0.tar.bz2
cd rt2570-k2wrlz-1.3.0/Module
make
make install

O ltima passo precisa ser feito como root. Use o comando su para mudar para usurio
root. Agora ns podemos carregar o mdulo no kernel:
modprobe rt2570

Insira sua placa, ela deve ser reconhecida como rausb0 agora. Execute iwconfig para lista
seus dispositivos wireless e verificar se tudo est funcionando.

Instalao do Aircrack-ng
Fonte
Pegue a ltima cpia do Aircrack-ng na pgina inicial: http://www.aircrack-ng.org Os
comandos a seguir devem mudar se voc usar uma verso mais recente do software.
Extraindo, compilando, instalando:

tar xfz aircrack-ng-0.9.1.tar.gz

cd aircrack-ng-0.9.1
make
make install

Como sempre, o ltimo passo precisa ser executado como root, utilize su para logar como
root (use sudo make install para Ubuntu).

YUM
Se estiver usando um sistema como Redhat Linux ou Fedora Core voc pode instalar o
Aircrack-ng com yum. Primeiro voc precisa adicionar o repositrio de Dag Wieers ou
Dries.
su
yum -y install aircrack-ng

RPM
Se estiver usando um sistema baseado em rpm, ento pode usar o caminho fcil para
instalar o Aircrack-ng.
(Exemplo para Redhat Linux 4)
su
rpm -ihv http://dag.wieers.com/rpm/packages/aircrack-ng/aircrack-ng-0.71.el4.rf.i386.rpm

IMPORTANTE: Consulte http://dag.wieers.com/rpm/packages/aircrack-ng/ para a ltima

verso do pacote Aircrack-ng e mude o comando acima para referenciar a ltima verso.
(onde xxxxx ser a ltima verso em /aircrack-ng-xxxxx.rpm)

Bsico do IEEE 802.11

Certo, agora tudo est pronto, hora do intervalo antes da ao finalmente comear e
aprender algo sobre como redes (locais) wireless funcionam.
O captulo a seguir muito importante, se alguma coisa no funcionar como esperado.
Conhecer sobre tudo relacionado ao assunto ajuda a encontrar o problema, ou pelo menos
te ajuda para descrev-lo a algum que pode te ajudar. Isso um pouco cientfico e talvez
voc prefira pular. Entretanto, um pouco de conhecimento necessrio para quebrar redes
wireless e isso um pouco mais do que simplesmente digitar um comando e deixar o
Aircrack-ng fazer o resto.

Como uma rede wireless encontrada

Isso uma curta introduo em redes gerenciadas, estas funcionando com Access Points
(AP). Cada AP envia por volta de 10 (os to chamados) beacon frames por segundo. Esses
pacotes contm as seguintes informaes:

Nome da rede (ESSID)

Se alguma criptografia utilizada (e qual criptografia utilizada; preste ateno,
isso pode no ser sempre verdade s porque o AP faz propaganda)
Quais taxas de dados, MBit, so suportados
Em qual canal a rede est

Essas informaes so ento mostradas na sua ferramenta que conecta esta rede.
mostrada quando voc faz sua placa procurar por redes com iwlist <interface> scan e
quando voc executa airodump-ng.
Cada AP tem um nico endereo MAC (48 bits, 6 pares de nmeros hexadecimais). algo
parecido com 00:01:23:4A:BC:DE. Cada dispositivo de hardware de rede possui tais
endereos, e dispositivos de rede comunicam-se utilizando esses endereos MAC. Ento
basicamente como um nome nico. Endereos MAC so nicos, nem quaisquer dois
dispositivos de rede no mundo tem o mesmo endereo MAC.

Conectando-se a uma rede

Se voc quer conectar-se a uma rede wireless, existem algumas possibilidades. Na maior
parte dos casos, Autenticao por Sistema Aberto1) utilizada. (Opcional: Se quiser
aprender mais sobre autenticao, d uma olhada aqui.)
Autenticao por Sistema Aberto:
1.
2.
3.
4.

Pedido de autenticao ao AP enviado.

O AP responde: OK, voc est autenticado.
Pedido de associao ao AP enviado.
O AP responde: OK, voc est agora conectado.

Esse o caso mais simples. MAS pode haver alguns problemas se voc no est autorizado
a conectar:

WPA/WPA2 est em uso, voc precisa de autenticao EAPOL. O AP negar o

acesso no passo 2.
Access Point tem uma lista de clientes permitidos (endereos MAC), e no deixa
ningum mais conectar-se. Isso chamado de Filtro de Endereo MAC, ou
simplesmente, Filtro MAC.
Access Point usa Autenticao por Chave Compartilhada2), voc precisa fornecer a
chave WEP correta para conseguir conectar-se. (Veja o Tutorial: Como Fazer
Autenticao Falsa por Chave Compartilhada para tcnicas avanadas.)

Sniffing (Farejamento) e Quebra Simples

Descobrindo as Redes
A primeira coisa a fazer procurar por um alvo em potencial. O pacote Aircrack-ng contm
o airodump-ng para isso - mas outros programas como o Kismet podem ser usados tambm.
Antes de procurar por redes, voc precisa colocar sua placa wireless no chamado modo
monitor. Modo Monitor um modo especial que permite que sua placa wireless escute
cada pacote wireless trafegado no ar. semelhante ao Modo Promscuo em redes cabeadas,
mas aqui o meio deixa de ser um cabo de redes, e passa a ser o ar. Esse Modo Monitor
tambm permite, opcionalmente, injetar pacotes em uma rede. Injeo ser abordado mais
adiante neste tutorial.
Para colocar sua placa wireless em Modo Monitor:
airmon-ng start rausb0
Lembrando! O rausb0 acima est sendo utilizado porque a placa wireless usada como
exemplo aqui a citada no incio do tutorial. Para confirmar se est em Modo Monitor,
execute iwconfig e verifique o modo no qual sua placa est. A pgina airmon-ng no Wiki
tem informaes gerais e como inici-lo, para outros drivers.
Ento, inicie o airodump-ng para procurar por redes:
airodump-ng rausb0

Mais uma vez! rausb0 o nome da interface de rede. Se voc est usando um dispositivo
Wi-Fi diferente de um rt2570 ento deve utilizar um nome de interface de rede diferente,
prprio para sua placa. D uma olhada na documentao do driver da sua placa.
Se o airodump-ng puder conectar-se ao dispositivo Wi-Fi, voc ver uma tela como esta:

O airodump-ng salta de canal em canal, e mostra todos os Access Points dos quais consegue
receber beacons. Canais do 1 ao 14 so utilizados no 802.11b e g (nos Estados Unidos s
so permitidos utilizar os canais do 1 ao 11; do 1 ao 13 na Europa, com algumas excees;
do 1 ao 14 no Japo; e no Brasil, como na maiora da Amrica Latina, segue-se o padro
americado, do 1 ao 11). Canais entre 36 e 149 so utilizados no padro 802.11a.
O canal atual mostrado no canto superior esquerdo.
Aps um curto perodo de tempo, alguns APs e (com sorte) alguns clientes associados
apareero.
O quadro de dados superior mostra os Access Points encontrados:
BSSID O endereo MAC do AP.
PWR Fora do sinal. Alguns drivers no informam.
Nmero de beacon frames recebidos. Se voc no tem a fora do sinal, voc pode
Beacons estimar usando o nmero de beacons: quanto mais beacons, melhor a qualidade do
sinal.
Data Nmero de frames de dados recebidos.
CH Canal no qual o AP est operando.
Velocidade ou Modo do AP. 11 significa 802.11b, 54 significa 802.11g. Valores
MB
entre 11 e 54 so uma mistura.
Encriptao: OPN: sem criptografia, WEP: criptografia WEP, WPA: criptografia
ENC
WPA ou WPA2, WEP?: WEP ou WPA (ainda no sei).
ESSID Nome da rede. s vezes escondido.
O quadro de dados inferior mostra os clientes encontrados:
BSSID O endereo MAC do AP no qual esse cliente est associado.
STATION O endereo MAC do cliente.
PWR Fora do sinal. Alguns drivers no informam.

Packets Nmero de frames de dados recebidos.

Probes Nomes das redes (ESSIDs) que este cliente sondou.
Agora voc deve procurar por uma rede alvo. Ela deve ter um cliente conectado porque
quebrar redes sem um cliente um tpico avanado (Veja Como quebrar WEP sem
clientes). Ela deve usar criptografia WEP e ter sinal forte. Talvez voc possa reposicionar
sua antena para obter um sinal melhor. Geralmente alguns centmetros fazem uma grande
diferena na fora do sinal.
No exemplo acima, a rede 00:01:02:03:04:05 seria o nico alvo possvel, porque o nico
com um cliente associado. Mas tambm tem um sinal forte, ento um bom alvo para
praticar.

Sniffing (Farejando) IVs

Por causa dos saltos dos canais voc no ir capturar todos os pacotes da sua rede alvo.
Ento ns queremos escutar somente um canal e ainda salvar todos os dados no disco, para
que possa utiliz-lo para quebrar a chave:
airodump-ng -c 11 - -bssid 00:01:02:03:04:05 -w dump rausb0

Com o parmetro -c voc sintoniza um canal especfico, e o parmetro seguinte -w o

prefixo para gravar os dados da rede no disco. O - -bssid em combinao com o endereo
MAC do AP limita a captura para aquele AP. A opo - -bssid est disponvel somente em
verses novas do airodump-ng.
Voc pode tambm adicionar o parmetro - -ivs. Esse diz ao airodump-ng para capturar
somente os IVs, pra economizar espao.
Antes de estar pronto para quebrar o WEP, voc geralmente precisa de algo entre 250.000 e
500.000 Vetores de Inicializao diferentes (IVs). Cada pacote de dados contm um IV. IVs
podem ser reutilizados, portanto os nmeros de IVs diferentes so um pouco menor do que
o nmero de pacote de dados capturados.
Ento voc ter qu esperar e capturar de 250 mil a 500 mil pacotes de dados (IVs). Se a
rede no est ocupada levar muito tempo. Em geral voc pode aumentar bastante a
velocidade da captura utilizando um ataque passivo, como o Packet Replay. Veja o prximo
captulo.

Quebra
Se voc conseguiu capturar IVs suficientes em um ou mais arquivos, voc pode tentar
quebrar a chave WEP:
aircrack-ng -b 00:01:02:03:04:05 dump-01.cap

O MAC aps a opo -b o BSSID do alvo, e dump-01.cap o arquivo que contm os

pacotes capturados. Voc pode usar mltiplos arquivos, simplesmente adicionando todos os
seus nomes, ou voc pode utilizar coringa (caracteres especiais para generalizar algo) como
dump*.cap.
Para maiores informaes sobre os parmetros do aircrack-ng, descrio da sada dos dados
e uso, veja o manual.
O nmero de IVs que voc precisa para quebrar a chave no fixo. Isto por que alguns IVs
so fracos e vazam mais informaes sobre a chave do que outros. De modo geral esses IVs
fracos so aleatoriamente misturados no meio dos mais fortes. Ento, se voc tiver sorte,
voc pode quebrar uma chave com somente 100.000 IVs. Porm, geralmente isso no o
suficiente e o Aircrack-ng vai continuar rodando por muito tempo (at uma semana ou at
mais que isso com um fator fudge alto) e ento te informar que a chave no pde ser
quebrada. Se voc tiver mais IVs, a quebra pode ser feita bem mais rpida, e geralmente em
poucos minutos. Experincias mostram que entre 250.000 e 500.000 IVs , em geral,
suficiente para quebrar a chave.
Existem alguns APs mais avanados por a, que usam algoritmos para filtrar IVs fracos. O
resulta que voc no consegue mais do que n IVs diferentes do AP, ou voc precisa de
milhes (tipo de 5 a 7 milhes) para quebrar a chave. Procure no Forum, existem alguns
tpicos sobre casos como estes e o que fazer.

Ataques ativos
Suporte injeo de pacotes
A maioria dos dispositivos no suportam injeo - pelo menos no sem os drivers com
'patch'. D uma olhada na pgina de compatibilidade, coluna aireplay. s vezes essa tabela
no est atualizada, ento se voc ver um NO para seu driver l no disista ainda, mas
olhe na pgina inicial do driver, a lista de e-mail do driver ou nosso Forum. Se voc
conseguiu realizar o 'replay' com sucesso usando um driver que no est listado como
funcionando, no hesite em atualizar a tabela da pgina de compatibilidade e adicionar um
link para um curto Como Fazer.
O primeiro passo ter certeza de que a injeo de pacote realmente funciona com sua placa
e driver. O forma mais fcil de testa isso o ataque de teste de injeo. Tenha certeza de
realizar este teste antes de ir adiante. Sua placa tem que ser capaz de injetar com sucesso,
para realizar os passos a seguir.
Voc precisar do BSSID (MAC do AP) e ESSID (nome da rede) de um AP que no use
Filtro MAC (por exemplo, o seu prprio), e precisa estar dentro da rea de cobertura do AP.
A primeira coisa a fazer descobrir o endereo MAC do seu prprio dispositivo Wi-Fi. s
vezes existe uma etiqueta com o MAC no prprio dispositivo. Mas voc pode sempre ach-

lo usando o comando ifconfig (os primeiros 6 bytes hexadecimais aps HWaddr,

geralmente divididos por : ou -).
Ento voc pode tentar conectar-se ao seu AP usando aireplay-ng:
aireplay-ng - -fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 -h
00:11:22:33:44:55 rausb0

O valor aps -a o BSSID do seu AP, o valor aps -h o MAC do seu prprio dispositivo
Wi-Fi.
Se injeo funciona, voc deve ver algo assim:
12:14:06
12:14:06
12:14:06
12:14:07

Sending Authentication Request

Authentication successful
Sending Association Request
Association successful :-)

Se no
1.
2.
3.
4.
5.

verifique duas vezes o ESSID, BSSID e seu prprio MAC

tenha certeza de que seu AP tenha o Filtro de MAC desabilitado
teste contra outro AP
tenha certeza de que seu driver est propriamente com o 'patch' e tenha suporte
Ao invs de 0, tente 6000 -o 1 -q 10

ARP Replay
Agora que sabemos que a injeo de pacote funciona, ns podemos fazer algo para
aumentar massivamente a captura de IVs: Reinjeo de ARP Request

A idia
ARP funciona (simplicado) fazendo broadcast de um pedido para um IP, e o dispositivo que
tem esse IP envia uma resposta de volta. Por WEP no proteger contra ataques de ARP
Replay, voc pode sniffar (farejar) um pacote, mand-lo de volta de novo e de novo, e ainda
ser vlido. Ento voc precisa simplesmente capturar e fazer o Replay de um ARP Request
com o alvo no AP, para criar muito trfego (e sniffar IVs).

A maneira suave
Primeiro abra uma janela com o airodump-ng sniffando (farejando) um trfego. Aireplayng e airodump-ng podem ser executados ao mesmo tempo. Espere um cliente aparecer na
rede alvo. Ento comee o ataque:
aireplay-ng - -arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 rausb0

-b especifica o BSSID alvo, e -h o endereo MAC do cliente conectado.

Agora voc tem que esperar um pacote ARP chegar. Em geral voc ter que esperar alguns
minutos (ou d uma olhada no prximo captulo).
Se voc obteve xito, ver algo parecido com isso:
Saving ARP requests in replay_arp-0627-121526.cap
You must also start airodump to capture replies.
Read 2493 packets (got 1 ARP requests), sent 1305 packets...

Traduo do quadro acima:

Salvando ARP Requests em replay_arp-0627-121526.cap
Voc deve tambm iniciar o airodump para capturar ARP Replies.
Lido 2493 pacotes (pegou 1 ARP Requests), enviou 1305 pacotes...

Se voc tiver que parar o ataque ARP Replay, no ter que esperar o prximo pacote ARP
aparecer, mas pode reutilizar o pacote capturado anteriormente com a opo -r <nome do
arquivo>.
Quando usar a tcnica de injeo ARP, voc pode usar o mtodo PTW para quebrar a chave
WEP. Esse reduz dramaticamente o nmero de pacotes de dados que voc precisa, e
tambm o tempo necessrio. Voc precisa capturar o pacote competo no airodump-ng, o
que significa no usar a opo - - ivs quando execut-lo. Para aircrack-ng, use aircrack
-z <nome do arquivo>.
Se o nmero de pacotes de dados recebidos pelo airodump-ng parar de aumentar de vez
enquando, ento voc talvez tenha que reduzir a taxa de ARP Replay. Voc faz isso com a
opo -x <pacotes por segundo>. Eu geralmente comeo com 50, e vou reduzindo at que
os pacotes voltem a ser recebidos continuamente. Melhor posicionamento da sua antena
ocasionalmente tambm ajuda.

A maneira agressiva
A maioria dos sistemas operacionais apagam a ARP cache quando disconectados. Se eles
querem mandar o prximo pacote aps a reconexo (ou simplesmente usando DHCP), eles
tm que mandar ARP Requests. Ento a idia desconectar um cliente e forc-lo a
reconectar para podermos capturar um ARP Request. Um outro efeito que voc pode
sniffar (farejar) o ESSID durante a reconexo tambm. Isso facilita as coisas, se o ESSID
do seu alvo est escondido.
Mantenha seu airodump-ng e aireplay-ng rodando. Abra outra janela, e execute um ataque
de desautenticao:
aireplay-ng - -deauth 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 rausb0

-a o BSSID do AP, e -c o MAC do cliente alvo.

Espere alguns segundos e seus ARP Replay deve comear a executar.

A maioria dos clientes tentam reconectar automaticamente. Mas o risco de algum
reconhecer esse ataque, ou ao menos ter a sua ateno dirigida s coisas acontecendo na
rede Wi-Fi maior que em outros ataques.

Maiores informaes e mais ferramentas

Tutorial em francs para o Aircrack-ng ou em ingls
1) Open System Authentication - OSA
2) Shared Key Authentication - SKA