Кратко : root# airmon-ng root# airmon-ng check kill root# kill номер процесса или airmon-ng stop название процесса root# airmon-ng start wlan0 root# airodump-ng wlan0mon airodump-ng --bssid MAC роутера -c канал -w name (чтобы записать и сохранить данные) wlan0mon ================================================================================================================================================================= А теперь подробнее : Открываем терминал и выполняем: airmon-ng start wlan0 wlan0 — идентификатор устройства-адаптера. В *nix это wlan + порядковый номер (wlan0, wlan1, wlan2 и т.д.). Номер адаптера можно узнать, выполнив ifconfig или iwconfig (это выведет только устройства беспроводных адаптеров и специфичную для них информацию). Если airmon-ng выведет сообщение (monitor mode enabled on mon0) — значит, адаптер успешно переведён в режим наблюдения. Сейчас этот режим поддерживается 80-90% всех адаптеров (по моему опыту), самые распространённые из них — Atheros, Intel и TP-LINK. Всего каналов 13 ( есть и 14-й канал -> японцы, как всегда, отличились и частота 5 ГГц с ещё 23 каналами) . Тринадцатый канал в некоторых странах запрещён, поэтому чаще всего используются 1-12. Однако 13-й можно включить, выбрав для беспроводного адаптера такую страну, как Боливия (BO) — или любую другую, где данная частота разрешена. Техническая возможность, как это часто бывает, есть в любом адаптере, но заблокирована по этическим предпочтениям. -------------------------------------------------------------------||| ifconfig wlan0 down ||| iw wlan0 reg set BO ||| ifconfig wlan0 up ||| iwconfig wlan0 channel 13 ||| ------------------------------------------------------------------- ||| Достаточно перевести адаптер в нужный регион. Любой беспроводной адаптер может принимать и передавать данные только на одном канале за раз. Однако текущий канал можно менять сколь угодно часто. Это называется channel hopping («прыжки по каналам»). Это делают и системные программы — например, Network Manager для GNOME, который показывает список беспроводных сетей в правом верхнем углу. Если канал не зафиксирован, то некоторые пакеты могут быть потеряны — адаптер переключился на соседний канал, а в это время по предыдущему каналу прошёл новый пакет, но его антенна уже не уловила. Это критично, когда вы пытаетесь перехватить handshake, поэтому для отключения всех программ, которые используют беспроводной адаптер и не дают зафиксировать канал, используется эта команда: airmon-ng check kill Без kill будет выведен список всех подозрительных процессов, а с kill они будут завершены. После этого адаптер останется целиком в вашем распоряжении. -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Вариант #2 Результат сильно зависит от типа адаптера и региона, при долгом использовании может испортить устройство, так что используйте на свой страх и риск. В случае успеха антенна сможет улавливать более слабые сигналы. ifconfig wlan0 down # Обход региональных ограничений на максимальную мощность передатчика. iw reg set BO iwconfig wlan0 txpower 500mW # Либо: iwconfig wlan0 txpower 30 ifconfig wlan0 up Обычная мощность — 15-20 дБм. При ошибке будет сообщение типа Invalid argument, однако его может и не быть — после выполнения проверьте значение txpower в iwconfig. ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- airodump-ng wlan0mon [*] airodump-ng — команда для сбора пакетов в радиоэфире. Она выводит в консоль две таблицы. В верхней выводятся найденные беспроводные сети, в нижней — клиенты, подключенные к ним, или не подключенныею [*] BSSID — уникальный MAC-адрес беспроводной сети. По аналогии с MAC-адресом сетевых карт, это 6 чисел в шестнадцатеричном формате, разделённых двоеточием. [*] PWR — уровень сигнала. Это отрицательное число; чем оно ближе к 0 — тем сигнал сильнее. Обычно для комфортной работы это число до -50, для видеосвязи — до -65, для VoIP — до -75. Значения ниже -85 и в особенности ниже -90 можно считать крайне слабым уровнем. Число зависит как от мощности передатчика, так и от коэффициента усиления антенны в вашем адаптере (внешние адаптеры имеют усиление 0-12 dB, внешние 1-2-метровые всенаправленные антенны — до 24 dB). [*] Beacons — число переданных этой точкой доступа «маячков» — пакетов, оповещающих находящихся рядом устройств о существовании этой беспроводной сети, уровне сигнала, её имени (BSSID/ESSID) и прочей информации. Используется для подключения. По умолчанию точки доступа обычно настроены на передачу маячков каждые 100 мсек (10 раз в секунду), но интервал можно увеличить до 1/сек. Отсутствие маячка не говорит об отсутствии беспроводной сети — в скрытом (hidden) режиме точка доступа не передаёт маячков, но к ней можно подключиться, если знать точное имя сети. [*] #Data — число пакетов с данными, которые пришли от этой точки доступа. Это может быть HTTP-трафик, ARP-запросы, запросы на авторизацию (handshake) и прочее. Если к сети не подключен ни один клиент или если он ничего не передаёт, то это значение не меняется и может быть 0. [*] #/s — число пакетов с данными в секунду. #Data делённое на время наблюдения за этой сетью [*] CH — номер канала. Как уже было описано выше, весь доступный спектр Wi-Fi разделён на 14 каналов. Точка доступа и, соответственно, клиенты, передают данные на определённом канале и этот столбец указывает, к какому каналу привязана эта точка доступа и её клиенты. [*] MB — скорость передачи (ширина канала) в Мбит/с. Точка в конце обозначает, что точка доступа поддерживает короткую преамбулу (short preamble). Можно увидеть значения 11, 54, 54e. [*] ENC — тип беспроводной сети — OPN (открытая), WEP, WPA, WPA2. На основании этого параметра вы выбираете подходящую схему атаки. [*] CIPHER — тип шифрования данных после handshake. Может быть TKIP и CCMP. [*] AUTH — механизм аутентификации для передачи временного ключа. Может быть PSK (обыная авторизация по единому паролю для WPA(2)), MGT (WPA(2) Enterprise с отдельным сервером с ключами RADIUS), OPN (открытая). [*] ESSID — имя беспроводной сети. Именно его вы видите в «Диспетчере беспроводных сетей» в Windows и указываете в настройках точки доступа. Так как это пользовательское имя, то оно может не быть уникальным, и для всех внутренних операций используется BSSID (то есть MAC-адрес адаптера в точке доступа), а это — просто отображаемое название. Иногда в некоторых столбцах можно увидеть числа -1, а в последнем столбце — <length: 0>. Это признаки беспроводной сети, которая не транслирует свои данные в открытом виде, а отвечает лишь когда клиент сделал явный запрос на подключение с указанием корректного ESSID и пароля. Кроме этого, точка доступа может вообще не транслировать маячки и станет активна только, когда к ней подключится клиент, знающий её имя. Если оставить airodump-ng запущенным достаточно долгое время и если в этом промежутке к скрытой сети подключится новый клиент, то строка, соответствующую «скрытой» сети, будет автоматически раскрыта и там появится номер канала, ESSID и данные о защите. При этом может быть нужно зафиксировать канал, чтобы не упустить момент подключения ====================================================== Столбцы второй таблицы с беспроводными клиентами: == ====================================================== [=] BSSID — MAC-адрес точки доступа, к которой подключен клиент (см. первую таблицу). Если указано (not associated) — клиент отключен от всех сетей, но адаптер работает (возможно, он ищет доступные сети). [=] STATION — MAC-адрес клиента. Когда-то эти адреса были вшиты в адаптер на фабрике и не могли быть изменены, но сегодня может быть настроен в подавляющем большинстве случаев. В Linux/Mac для этого есть штатные средства., в Windows с этим сложнее и поддержка зависит от драйвера. MAC-адрес точно так же, как и в проводных сетях, передаётся буквально в каждом пакете от этого клиента и это основная причина, почему фильтрация по MAC почти бесполезна. [=] PWR — уровень сигнала от клиента. Чем ближе к 0, тем клиент ближе/сигнал мощнее (см. первую таблицу). [=] Rate — когда airodump-ng запущен с фиксацией канала , этот столбец покажет частоту передачи пакетов с данными от точки доступа к клиенту (слева от дефиса) и от клиента обратно (справа). [=] Lost — число потерянных пакетов, которые наша система (не клиент) не зарегистрировала. Это легко вычислить, так как в передаваемых пакетах есть счётчик. [=] Frames или Packets — число пакетов с данными, которые мы уловили от этого клиента (см. #Data в первой таблице). [=] Probe — список ESSID-имён беспроводных сетей, к которым клиент пытался подключиться. Здесь могут быть перечислены совсем не те сети, которые вы видите вокруг, а те, к которым клиент подключался ранее, или же скрытые сети. Параметры запуска airodump-ng (можно комбинировать) : <|> airodump-ng -c 3 wlan0mon — зафиксировать канал №3 — полный приём пакетов без потерь при переключении на другие каналы (из-за перекрывающихся частот в список могут попасть соседние каналы). <|> airodump-ng -w captures.pcap wlan0mon — записывать все принятые пакеты в файл captures.pcap — используется для offline-атаки на перебор пароля WEP/WPA. <|> airodump-ng --essid "Имя сети" wlan0mon — фильтровать принимаемые (записываемые/отображаемые) пакеты по принадлежности к заданному имени сети. Обычно используется для уменьшения размера файла, так как на качество перехвата это никак не влияет. <|> airodump-ng --bssid 0A:2B:R3:AA:A9:FF wlan0mon — фильтрация по MAC-адресу точки доступа (BSSID). Аналогично --essid. «Скрытая» сеть — не что иное, как сеть, не передающая маячки о своём существовании 10 раз в секунду, либо передающие их, но с пустым ESSID и другими полями. Каждый подключенный клиент общается с базовой станцией по её BSSID — и это именно то, что вы видите в обеих таблицах airodump-ng. Вы можете «отключить» клиента от сети, после чего он должен будет подключиться вновь — и в этот момент airodump-ng перехватит рукопожатие со всеми идентификаторами и ключами. Либо вы можете просто оставить ноутбук включенным на пару часов с airodump-ng на нужном канале и подождать. Кстати, при успешном «вскрытии» в правом верхнем углу появится сообщение вида [ Decloak: 01:A4:12:BB:33:2C ] с BSSID точки доступа, конспирацию которой вы раскрыли ).
Что делать если интересует, к какому вай фай подключен конкретный клиент с известным мне его mac адресом, но airodump не ассоциирует его с точкой доступа? Остальных ассоциирует нормально
Передислоцироваться до тех пор, пока не увидишь, с какой точкой он ассоциирован. Если это не помогает, значит он не подключён ни к одной точке. Остаётся лишь смотреть, какие названия точек он пытается обнаружить (probe request).
Можете пожалуйста подробнее описать, как смотреть названия какие названия точек он пытается обнаружить?
В колонке Probes: пусто, только иногда у пары клиентов показывает название, но у нужного клиента ни разу, а насчёт дислокации -70 вроде должно хватать, может ещё какие нибудь способы есть?
В таком случае, клиент с сетью не соединён. Если названия в эфире не светит, значит сам периодически пассивно сканирует сети, и подключается при совпадении. Но названия не узнать.
При ловле хендшейка ловятся только 1 и 3 ключ из 4Х на протяжении 2х недель. В чем может быть причина?
Я полгода один хэндшейк ловил - и словил Причина - условия приема. Решение - подбираться ближе, улучшать качества антенны, попробовать с другим адаптером.
За три недели еле выловил в дополнение к 1му и 3му ключу еще 2й. Условия приема отличные. 4 единицы из 5.
