====== Tutorial: El arte de aumentar los ARP ====== Version: 1.00 June 13, 2007 \\ By: darkAudax \\ Traducción: 27 de Agosto de 2007\\ \\ Archivos utilizados en este manual: * [[http://download.aircrack-ng.org/wiki-files/other/arp-1x.cap|arp-1x.cap]] * [[http://download.aircrack-ng.org/wiki-files/other/arp-2x.cap|arp-2x.cap]] * [[http://download.aircrack-ng.org/wiki-files/other/arp-3x.cap|arp-3x.cap]] ===== Introducción ===== Este manual te enseñará como aumentar de forma importante el número de vectores de inicialización (IVs) generados por segundo. Se ha conseguido capturar a velocidades superiores a 1300 IVs por segundo. Esto se hace incrementando el número de paquetes de datos generados por cada paquete inyectado. Es recomendable que lo intenten usuarios habituados a utilizar la suite aircrack-ng. En los últimos tiempos se han producido algunos avances que provocan que aircrack-ng necesite más paquetes de datos para obtener la clave WEP. Además una de las formas de reducir el tiempo de funcionamiento de aircrack-ng para obtener la clave wep es aumentar el número de IVs capturados. Este manual te enseña una metodología para aumentar la velocidad de captura de IVs por segundo provocando que la red wireless genere multiples paquetes de datos por cada uno que inyectamos. Como este manual va destinado a usuarios con conocimientos de la suite aircrack-ng, se hará énfasis sobre todo en la teoría y en que se analicen los paquetes capturados. No te proporcionaremos un manual de forma detallada con todos los comandos. Cada escenario ha sido probado en la vida real y funciona. Si no sabes como se usan los comandos de la suite aircrack-ng de forma detallada, este tutorial no es para tí! Es recomendable que experimentes con tu punto de acceso wireless para familiarizarte con estas ideas y técnicas. Si no tienes un punto de acceso propio, recuerda que debes pedir permiso al propietario de cualquier punto de acceso antes de probar con él. Tengo que darles las gracias al equipo de aircrack-ng por crear y mantener esta suite tan potente. Por favor envíame cualquier comentario, bien sea positivo or negativo. ===== Solución ===== ====Requisitos para este tutorial==== * Tienes una tarjeta wireless que puede inyectar paquetes. * Estás familiarizado con [[http://en.wikipedia.org/wiki/Address_Resolution_Protocol|ARP]]. Más información la puedes encontrar [[arp-request_reinjection|aquí]] o buscar información en Internet. * Tienes [[http://www.wireshark.org|Wireshark]] instalado y funcionando. Además tienes algunos conocimientos básicos sobre como usarlo. ====Equipo usado==== ===Punto de Acceso=== ESSID: teddy \\ Dirección MAC: 00:14:6C:7E:40:80 Canal: 9 ===Sistema Aircrack-ng=== Dirección IP: ninguna Dirección MAC: 00:0F:B5:88:AC:82 ===Tarjeta Ethernet cableada=== Dirección IP: 192.168.1.1 Dirección MAC: 00:D0:CF:03:34:8C ===Tarjeta Wireless=== Dirección IP: 192.168.1.59 Dirección MAC: 00:0F:B5:AB:CB:9D ==== Escenarios ==== Analizaremos varios escenarios, comenzando con una típica inyección de un paquete y conseguir una respuesta, hasta la inyección de un paquete y conseguir 3 respuestas. Conseguiremos IVs a velocidades en rangos desde 350 a 1300 por segundo! Si, 1300 IVs por segundo. Aunque no se indican los pasos de forma detallada, cada escenario se ha probado en la vida real y funciona. A continuación puedes ver los escenarios que analizaremos: * Uno para un paquete ARP * Dos para un paquete ARP * Tres para un paquete ARP En las siguientes secciones suponemos que has usado el ataque [[KoreK chopchop|KoreK chopchop]] o [[Fragmentation|Fragmentación]] para obtener el PRGA, Por favor lee la documentación del wiki y los tutoriales en los que se expica como usar estos ataques. Estas técnicas o métodos no serán explicadas en este manual. Tambien suponemos que conoces la dirección IP de algunos clientes de la red. El ataque Chopchop es el modo más efectivo para determinar la dirección IP ya que desencripta paquetes. Por lo tanto, estudiando los paquetes desencriptados conocerás el rango de direcciones IP que se están usando. Tambien se podría probar a utilizar las direcciones IPs que vienen configuradas por defecto en esa marca concreta de punto de acceso. La marca del punto de acceso se puede conocer analizando los tres primeos pares de la dirección MAC. ===Escenario Uno - Uno para un paquete ARP === Esto es lo que ocurre cuando se usa [[arp-request_reinjection|ARP request reinjection]]. Aunque no vamos a conseguir mayor velocidad de inyección que este método, lo estudiaremos para obtener algunos conocimientos y ver la velocidad de inyección. En términos simples, para cada respuesta ARP inyectada, conseguimos un nuevo IV emitido por el AP. Generamos una respuesta ARP para inyectar: packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0608-132715.xor -w arp-request-1x.cap Inyectamos el paquete: aireplay-ng -2 -r arp-request-1x.cap ath0 Podemos ver los paquetes enviados por segundo con airodump-ng: CH 9 ][ Elapsed: 12 s ][ 2007-06-08 14:14 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 21 71 130 4532 355 9 54 WEP WEP teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 38 0 6666 Como puedes observar conseguimos 355 nuevos paquetes de datos por segundo. Vamos a ver el archivo capturado. El archivo [[http://download.aircrack-ng.org/wiki-files/other/arp-1x.cap|arp-1x.cap]] es una parte representativa del total capturado. Usa Wireshark para revisar el archivo de captura. La forma más fácil es usar "View --> Expand". A continuación puedes ver una descripción de los paquetes relevantes: * Paquete 1: Una beacon o baliza. * Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el "DS Status flag" aparece "TO DS", lo que significa que el paquete va desde un cliente al AP. * Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng. * Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en "DS Status flag" aparece "FROM DS", lo que significa que el paquete va desde el AP al cliente wireless. * Paquetes 5-7 es una repetición del ciclo 2-4 anterior. Este ciclo se repetirá constantemente. Como puedes ver, solo hay un nuevo IV generado en cada ciclo - 4 paquetes. ===Escenario Dos - Dos para cada paquete ARP === Esto comienza a ponerse interesante. Enviando una petición ARP, podemos conseguir que el punto de acceso genere dos nuevos IVs por cada paquete que inyectamos. Esto aumenta la velocidad de captura de datos de forma significativa. Esto es un poco más dificil porque necesitamos conocer una dirección IP de algún cliente conectado a la red. Como describimos en la introducción se pueden averiguar las direcciones IPs a través de varios métodos. Por lo tanto, en el siguiente ejemplo usamos "192.168.1.1" como la dirección IP de destino. Una coasa crítica para conseguir tener éxito es usar "10.255.255.255" como la dirección IP de origen. La dirección IP de origen no puede ser una IP que ya se está utilizando en la red. No puedes utilizar "255.255.255.255" como nosotros hacemos en algunos de nuestros ejemplos. Generamos una respuesta ARP para inyectar: packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.1 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-2x.cap Inyectamos el paquete: aireplay-ng -2 -r arp-request-2x.cap ath0 Vemos los paquetes capturados por segundo con airodump-ng: CH 9 ][ Elapsed: 8 s ][ 2007-06-08 14:12 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 38 100 107 10474 945 9 54 WEP WEP teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 37 0 10921 Como puedes ver conseguimos 945 nuevos paquetes de datos por segundo. Este es un aumento sustancial respecto al escenario uno anterior. Vamos a ver el archivo de captura. El archivo [[http://download.aircrack-ng.org/wiki-files/other/arp-2x.cap|arp-2x.cap]] es una parte representativa de la captura. Usa Wireshark para ver el archivo y compararlo con la siguiente descripción. La forma más fácil es usar "View --> Expand". A continuación puedes ver una descripción de los paquetes relevantes: * Paquete 1: Una beacon o baliza. * Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el "DS Status flag" aparece "TO DS", lo que significa que el paquete va desde un cliente al AP. * Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng. * Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en "DS Status flag" aparece "FROM DS", lo que significa que el paquete va desde el AP al cliente wireless. * Paquete 5: Este es el paquete ARP repetido enviado por el AP a nuestro sistema. Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. La dirección MAC de origen (source MAC) es un cliente. También date cuenta que en "DS Status flag" aparece "FROM DS", lo que significa que el paquete va desde el AP al cliente wireless. * Paquetes 6-9 es una repetición del ciclo 2-5 anterior. Este ciclo se repetirá constantemente. Como puedes ver, hay dos nuevos IVs generados en cada ciclo - paquetes 4 y 5. ===Escenario Tres - Tres para cada paquete ARP === El último escenario es en el que generamos tres nuevos IVs por cada paquete que inyectamos. Este escenario es el más dificil de conseguir con éxito. Pero, cuando lo conseguimos, obtenemos la velocidad de inyección más alta. Necesitamos conocer la dirección IP de un cliente wireless asociado actualmente con el punto de acceso. Como describimos en la introducción se pueden averiguar las direcciones IPs a través de varios métodos. Por lo tanto, en el siguiente ejemplo usamos "192.168.1.89" como la dirección IP de destino. Una coasa crítica para conseguir tener éxito es usar "10.255.255.255" como la dirección IP de origen. La dirección IP de origen no puede ser una IP que ya se está utilizando en la red. No puedes utilizar "255.255.255.255" como nosotros hacemos en algunos de nuestros ejemplos. Generamos un paquete ARP para inyectarlo: packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.89 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-3x.cap Inyectamos el paquete: aireplay-ng -2 -r arp-request-3x.cap ath0 Vemos los paquetes capturados por segundo con airodump-ng: CH 9 ][ Elapsed: 0 s ][ 2007-06-09 12:52 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 32 100 30 3797 1294 9 54 WEP WEP teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:AB:CB:9D 47 0 1342 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 33 0 2641 Como puedes ver conseguimos 1294 nuevos paquetes de datos por segundo. Wow! Este es tambien un aumento sustancial respecto al escenario uno. En la imagen de airodump-ng puedes ver dos clientes. El que estamos utilizando en nuestro ataque y el cliente wireless asociado. Vamos a analizar una parte de la captura. El archivo [[http://download.aircrack-ng.org/wiki-files/other/arp-3x.cap|arp-3x.cap]] es una parte representativa del total capturado. Usa Wireshark para ver el archivo y compararlo con la siguiente descripción. La forma más fácil es usar "View --> Expand". A continuación puedes leer una descripción de los paquetes relevantes: * Paquete 1: Una beacon estandard. * Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el "DS Status flag" aparece "TO DS", lo que significa que el paquete va desde un cliente al AP. * Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng. * Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en "DS Status flag" aparece "FROM DS", lo que significa que el paquete va desde el AP al cliente wireless. * Paquete 5: Este es el paquete de respuesta ARP enviado por el cliente wireless al AP. Este es un nuevo paquete de datos. Date cuenta que tiene otro nuevo IV y un diferente número de secuencia. La dirección MAC de origen es la del cliente wireless. También date cuenta que en "DS Status flag" aparece "TO DS", lo que significa que el paquete va desde el cliente wireless al AP. * Paquete 6: El AP anuncia el paquete recibido del cliente wireless. * Paquete 7: El paquete de respuesta ARP recibido del cliente wireless es enviado a la tarjeta que estamos usando con el sistema Aircrack-ng por el AP. Puedes comprobar esto mirando las direcciones MAC de origen y de destino. Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en "DS Status flag" aparece "FROM DS", lo que significa que el paquete va desde el AP al cliente wireless. * Paquetes 8-13 es una repetición del ciclo 2-7 anterior. Este ciclo se repetirá constantemente. Si haces cuentas, se generan tres nuevos IVs en cada ciclo - paquetes 4, 5 y 7. ===== Nota importante ===== La velocidad que puedes conseguir depende del hardware utilizado. Y el punto de acceso tambien forma parte de tu hardware. Mira [[http://forum.aircrack-ng.org/index.php?topic=1960.0|este post del foro en inglés]] para más información.