【原创】无线破解Aircrack-ng套件详解(一)－－airmon-ng与airodump-ng

一：Aircrack-ng详解　　

1.1　Aircrack-ng概述

　　Aircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具，该工具在2005年11月之前名字是Aircrack，在其2.41版本之后才改名为Aircrack-ng。

　　Aircrack-ng（注意大小写，aircrack-ng是Aircrackng中的一个组件）是一个包含了多款工具的无线攻击审计套装，这里面很多工具在后面的内容中都会用到，具体见下表为Aircrack-ng包含的组件具体列表。

组件名称	描    述
aircrack-ng	主要用于WEP及WPA-PSK密码的恢复，只要airodump-ng收集到足够数量的数据包，aircrack-ng就可以自动检测数据包并判断是否可以破解
airmon-ng	用于改变无线网卡工作模式，以便其他工具的顺利使用
airodump-ng	用于捕获802.11数据报文，以便于aircrack-ng破解
aireplay-ng	在进行WEP及WPA-PSK密码恢复时，可以根据需要创建特殊的无线网络数据报文及流量
airserv-ng	可以将无线网卡连接至某一特定端口，为攻击时灵活调用做准备
airolib-ng	进行WPA Rainbow Table攻击时使用，用于建立特定数据库文件
airdecap-ng	用于解开处于加密状态的数据包
tools	其他用于辅助的工具，如airdriver-ng、packetforge-ng等

1.2　各组件详解(主要参考man手册)

　　1.2.1　airmon-ng

　　作用：该命令可以用于无线网卡的“管理模式”与“监听模式”的相互切换。当使用该命令并且不加任何选项时，将会显示无线网卡的状态。同时该命令也可以list或者终止会妨碍到无线网卡操作的进程。

　　a)“管理模式”与“监听模式”的相互切换

　　　　用法：airmon-ng <start|stop> <interface> [channel]　　　　　　

＃切换前
qi@zhuandshao:~/download/-专业软件$ iwconfig
wlp2s0    IEEE 802.11  ESSID:"2s"
       　　mode:Managed  Frequency:2.467 GHz  Access Point: ::5C:4A:D9:
          Bit Rate= Mb/s   Tx-Power= dBm
          Retry short limit:   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=/  Signal level=- dBm
          Rx invalid nwid:  Rx invalid crypt:  Rx invalid frag:
          Tx excessive retries:  Invalid misc:   Missed beacon:
 
#切换后
qi@zhuandshao:~/download/-专业软件$ sudo airmon-ng start wlp2s0
 
PHY    Interface    Driver        Chipset
 
phy0    wlp2s0        ath9k        Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev )
 
        (mac80211 monitor mode vif enabled for [phy0]wlp2s0 on [phy0]wlp2s0mon)
        (mac80211 station mode vif disabled for [phy0]wlp2s0)
 
qi@zhuandshao:~/download/-专业软件$ iwconfig
enp1s0    no wireless extensions.
 
lo        no wireless extensions.
 
wlp2s0mon  IEEE 802.11  Mode:Monitor  Frequency:2.457 GHz  Tx-Power= dBm
          Retry short limit:   RTS thr:off   Fragment thr:off
          Power Management:off
          

　　切换前，查看无线网卡的信息，可以看到红色底色部分展示的无线网卡的名称为wlp2s0，模式为Managed(管理模式)；

　　切换后，再次查看无线网卡信息，可以看到红色底色部分展示的无线网卡的名称为wlp2s0mon，模式为Monitor(监听模式)，并且此时无线网卡不再作为一个station接入任何无线网络。

　　b)　查看无线网卡状态

　　　　用法：airmon-ng

 qi@zhuandshao:~/download/-专业软件$ sudo airmon-ng 
 
 PHY    Interface    Driver（驱动程序）   Chipset（芯片集）
 
 phy0    wlp2s0mon    ath9k        Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev )

　　显示出无线网卡的一些基本信息，包括驱动程序与芯片集。

　　c)　list/kill会妨碍到无线网卡操作的进程

　　　　用法：airmon-ng <check> [kill]　

　　　　列出所有可能干扰无线网卡的程序。如果参数kill被指定，将会终止所有的程序。　　　　　

 qi@zhuandshao:~/download/-专业软件$ sudo airmon-ng check
 
 Found  processes that could cause trouble.
 If airodump-ng, aireplay-ng or airtun-ng stops working after
 a short period of time, you may want to run 'airmon-ng check kill'
 
   PID Name
    avahi-daemon
    avahi-daemon
   wpa_supplicant
   dhclient
   NetworkManager

 　　

补充内容：无线网卡模式

被管理模式(Managed mode)：当你的无线客户端直接与无线接入点（Wireless Access Point，WAP）连接时，就使用这个模式。在这个模式中，无线网卡的驱动程序依赖WAP管理整个通信过程。

Ad hoc模式：当你的网络由互相直连的设备组成时，就使用这个模式。在这个模式中，无线通信双方共同承担WAP的职责。

主模式（Master mode）：一些高端无线网卡还支持主模式。这个模式允许无线网卡使用特制的驱动程序和软件工作，作为其他设备的WAP。

监听模式（Monitor mode）：就我们的用途而言，这是最重要的模式。当你希望无线客户端停止收发数据，专心监听空气中的数据包时，就使用监听模式。要使Wireshark捕获无线数据包，你的无线网卡和配套驱动程序必须支持监听模式（也叫RFMON模式）。

大部分用户只使用无线网卡的被管理模式或ad hoc模式。图11-4展示了各种模式如何工作。

　　1.2.2　airodump-ng

　　作用：该命令被用作捕获原始802.11数据帧以便使用aircrack-ng破解。如果你的计算机连接的GPS接收器，airodump-ng可以记录发现的接入点的坐标。此外，airodump-ng写出一个文本文件中包含所有接入点和可见客户端的细节。

　　常用选项描述：

　　-w <prefix>, --write <prefix>：该选项可用来使用转储文件前缀；即是使用该选项指定存储文件名后，将会生成一个捕获包同名的CVS文件。

 qi@zhuandshao:~/$ sudo airodump-ng  -w qw wlp2s0mon
 CH   ][ Elapsed:  s ][ -- :                                         
 
  BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 
  :3D:::2C:  -                         54e. OPN              NCWU-Uicom
  :3D::::  -                         54e. OPN              NCWU
  :3D:::2C:  -                         54e. OPN              NCWU        
 
 ^C
 ＃可以看到转存文件（.cvs）与捕获包(.cap)
 qi@zhuandshao:~/$ ls
 
  qw-.cap  qw-.csv  qw-.kismet.csv  qw-.kismet.netxml

　　-i, --ivs：使用该选项后，只会保存可用于破解的IVS数据报文。通过设置过滤，不再将所有无线数据保存，这样可以有效地缩减保存的数据包大小。

 qi@zhuandshao:~/$ sudo airodump-ng -i -w qw wlp2s0mon
 CH   ][ Elapsed:  s ][ -- :                                         
 
  BSSID（ap的MAC） PWR(信号强度) Beacons（ap发送的beacons数据包量）    #Data（捕获的数据包的量）, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 
  :::E6:F9:  -                         54e  WPA2 CCMP   PSK  xiaoyu
  ::5A:4A:C4:  -                       54e  WPA2 CCMP   PSK  2s      
 
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                       
 
  ::5A:4A:C4:  :A4:ED:B4:E9:DD  -     - 1e                                           
 
 ^C
 #捕获的流量包被存储为ivs文件
 qi@zhuandshao:~/$ ls
 qw-01.ivs

　　-d <bssid>, --bssid <bssid>：根据Bssid过滤，显示指定的bssid的信息。

　　-N, --essid:根据Essid过滤，显示指定的Essid的信息。

 ＃显示bssid为44::5A:4A:C4: 的无线热点的信息
 qi@zhuandshao:~/$ sudo airodump-ng --bssid 44:97:5A:4A:C4:68 wlp2s0mon
 
 CH   ][ Elapsed:  s ][ -- :                                         
 
  BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 
  ::5A:4A:C4:  -                      54e  WPA2 CCMP   PSK  2s                    
 
  BSSID              STATION            PWR   Rate    Lost    Frames  Probe                      
 
  ::5A:4A:C4:  :6B:2C::6D:  -    0e- 0e               
   ＃Bssid为４４:97:5A:4A:C4:68的热点上连接有ＭＡＣ地址为48:6B:2C:83:6D:28机器。

　

　　-c <channel>：指定监听的信道，默认在2.4GHz频谱内跳跃。

 ＃监听所有的在通道1上的通信
 qi@zhuandshao:~/$ sud airodump-ng -c  wlp2s0mon
 CH  1 ][ Elapsed:  s ][ -- : 

　　输出信息详解：

 qi@zhuandshao:~/$ sudo airodump-ng  wlp2s0mon　　＃不加参数可以当做扫描周边无线网络

  CH   ][ Elapsed:  s ][ -- :                                         
 
  BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 
  :::2F::2E  -                        54e. WPA2 CCMP   PSK  I love study
  C4:::::6F  -                      54e. WPA2 CCMP   PSK  fuck you
  D4:::2D::E4  -                        54e  WPA2 CCMP   PSK  FAST_20E4 
 
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                       
 
  (not associated)   :6B:2C::6D:  -     -
  (not associated)   B6:::3C:B5:DC  -     -
  C4:::::6F  5C:AD:CF::4C:  -     -
  C4:::::6F  AC:E0::::  -    6e-                fuck you  

BSSID：无线热点的ＭＡＣ地址

PWR：无线热点的信号强度。个人经验一般信号强度大于-70的可以进行破解，大于-60就最好了，小于-70的不稳定，信号比较弱。（信号强度的绝对值越小表示信号越强）

Beacons:AP发送的beacons的数量。每个接入点在最低速率下，大约每秒发送10个beacons。因此会看到该数值增加非常快。

#Data：捕获的数据包量，包含广播数据包。

#/s:
 
CH:通道.
 
MB：AP所支持的最大的速率。如果MB = 11，就是802.11b；如果MB = 22，就是802.11b+；更高的速率是802.11g。(54.)表明短前导码的支持,”E”表明网络具有QoS（802.11e）启用。
 
ENC：使用的加密算法。OPN表示不加密;"WEP?"表示没有足够的数据证明是WEP或者时更高级的WPA; 没有问号标记的WEP表示静态或动态WEP；如果是 TKIP 、 CCMP 或者 MGT则代表WPA或WPA2。

CIPHER：检测的密码。
 
AUTH:使用的认证协议。

ESSID：也被称为SSID。

STATION:每一个相关的的工作站或搜索AP连接的工作站的MAC地址。

airodump-ng的常用使用方式：
　　airodump-ng最主要的作用就是捕获用于aircrack-ng破解使用的数据包（.ivs或者.cap）。使用时可以按照如下思路使用：
　　　　1.在使用时可以不加任何选项先搜索一下周边的AP，找到感兴趣的AP;
　　　　2.使用过滤（根据Bssid过滤）将感兴趣AP的详细信息展示出来;
　　　　3.之后开始捕获该AP用于破解的数据包。
　　

//TODO
下篇将会详解Aircrack-ng套件的另外两个组件，aireplay-ng与aircrack-ng。
第三篇会演示一个无线破解示例。