для аудита беспроводных сетей в винде стоит присмотреться к CommView for WiFi, последней версии ломаной в паблике пока правда нет
а именно для обнаружения атак, создания своих правил? слышал про omnipeek и airmagnet, но мне кажется они больше расчитаны на масштабы предприятий, а мне бы поменьше что-нибудь) да и крякнутых их фиг достанешь, большинство же других требуют адаптеры airpcap =\
Крякнутые они есть, но, вопрос еще будет и в том, будут ли они те, что есть крякнутые, работать с вашим железом, про масштабы, универсальность еще никто не отменял.
Ну, раз общими словами не отделаться: Вот что я вижу по точке и клиенту: CH 6 ][ Elapsed: 5 mins ][ 2011-09-19 11:31 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 1C:AF:F7:цц:цц:цц -77 81 1229 10376 19 6 54 WPA2 TKIP PSK ццццццц BSSID STATION PWR Rate Lost Packets Probes 1C:AF:F7:цц:цц:цц 00:26:5E:цц:цц:цц -84 11 - 1 0 12868 вот что происходит когда я пользую aireplay root@bt:~# aireplay-ng -0 10 -a 1C:AF:F7:цц:цц:цц -c 00:26:5E:цц:цц:цц mon0 11:31:19 Waiting for beacon frame (BSSID: 1C:AF:F7:цц:цц:цц) on channel 6 11:31:20 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|51 ACKs] 11:31:21 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|47 ACKs] 11:31:21 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|34 ACKs] 11:31:22 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|49 ACKs] 11:31:23 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|55 ACKs] 11:31:23 Sending 64 directed DeAuth. STMAC: [00:26:5E:цц:цц:цц] [ 0|58 ACKs] и т.д. Я так понимаю aireplay и так подставляет мак ассоциированного клиента при инъекциях, о чём ты и упоминалось в длинной английской фразе.
Нет, в той фразе, написано, что если вы не сделаете аутентификацию, то у вас ничего не выйдет - точка доступа не будет принимать ваши пакеты,НО та фраза написана о WEP!!! А у вас WPA2!(поэтому надо писать что вы собираетесь ломать!!!) и в той фразе шла речь о необходимости фальшивой аутентификации, для последующего взлома WEP. У вас же WPA2, и вам нужно сделать деааутентификацию - отсоединение одного единственного вашего клиента от точки доступа(-0 10). В случае с WPA2 для вас важен хороший сигнал от клиента которого вы будете отсоединять,у вас написано что сигнал -84,этого мало, и тут либо направляйте антенну на клиента, либо действительно перебирайтесь к нему ближе. Я сомневаюсь что с таким сигналом что-то получится. Вторая причина может быть в железе, ранее вы проделывали подобное на этой карте? кроме того, дабы убедиться что клиент принял ваши пакеты на отсоединение, запустите в фоне Wireshark и посмотрите прилетают ли к вам ACK пакеты от клиента, если же нет, то он просто не получает ваших,вследствие удаленности вас от него.
Я вас понял. Мне, почему-то, казалось, что пакеты деаутентификации посылаются точке, а не клиенту. Действительно -84 - мало. И разве не количество вернувшихся пакетов указывается первым числом перед "|" в выводе aireplay? У других оно обычно не 0. И, извините, я упоминал, что ловлю именно handshake, а значит это wpa. И да, я уже многих наловил (но не многих расшифровал, правда) и карта рабочая. Просто с подобной ситуацией ещё не сталкивался. Спасибо вам за подробный ответ. Machine тоже спасибо.
Скажу вам по большому секрету что и -77 это мало,хотя смотря для чего. Вам казалось, пакеты посылаются клиенту, а вот почему вам так казалось, думаю вам виднее).Дело в том что в аиркреке не всегда отражалось сколько ответов прилетело, на всякий случай я об этом упомянул.Извините, но вы пишете про хендшейк и тут же выпаливаете такую фразу "Думал-думал, покурил ман по aireplay - вычитал, что DeAuth не срабатывает при mac-фильтре на точке". По меньшей мере странные мысли,если вы ловите хендшейк).
Сегодня как то поймал себе на мысли. Вот скажем открытая точка доступа. Ставим WireShark настраиваем перехват трафика и "смотрим" трафик. А не кажется, что технология снифинг устарел? или я постарел Сейчас же почти все сайты (более менее уважаемые) авторизации принимают по HTTPS протоколу, тот же mail.ru даже уже ужает https во время передачи данных. Получается тут уже сниферы безнадежны? логин-пароли не перехватить ?
ну все же я прав по поводу "если HTTPS, то собираем вещи и переежаем" ? ну т.е. нет методик в real-time режиме получить пассы от htps? (во время снифа)
sslstrip запускаешь, либо связку sslstrip+ettercap, тут уже кому что нравится, так что не надо паниковать) либо ее + arpspoof как вариант
+1 это хорошо. А с wireshark или Cain вариант ? кстати, как это дело работает? на лету сразу дешифровывает https или потом надо дешифровать
Cain это под винду и вот что пишут в мануале: APR-HTTPS enables the capture and the decryption of HTTPS traffic between hosts. It works in conjunction with Cain's Certificate Collector to inject fake certificates into SSL sessions, previously hijacked by mean of APR. Using this trick it is possible to decrypt encrypted data before it arrives to the real destination performing a what so called Man-in-the-Middle attack. как видим фича такая есть,создание липовых сертификатов,но они же пишут ниже, что винда ругается на эти сертификаты Wireshark, он поймает все пакеты что вам нужно, но делать с ними он ничего подобного не умеет Конечно же это работает не лету тип атаки человек по середине, сначала делается arpspoofing, чтобы сделать редирект пакетов через вас, а у вас работает sslstrip и он уже на лету делает свое грязное дело, зараженный хост само собой ничего не подозревает
оно не перехватывает сам ССЛ оно просто его через твой порт пропускает как бычное подключение а твой комп уже пускает перехваченые данные на ССЛ и товарищ не чего не заподозрит!