Inviare i giusti stimoli

É giunto il momento di utilizzare l'Attacking Client. Con questo PC in pratica andremo a "stimolare" la rete a produrre più velocemente i IVs.

La tecnica utilizzata è quella di forzare la de-autenticazione del Target Client nella rete. Infatti, appena questo se ne accorgerà non farà altro che provare a ri-autenticarsi e durante la ri-autenticazione verranno generati molti IVs. Questo processo viene comunemente chiamato deauth-attack e viene implementato da aireplay. Vediamo quali sono gli attacchi che aireplay è in grado di eseguire.

aireplay

Se il driver della scheda Wireless ha la patch corretta, aireplay può iniettare pacchetti raw 802.11 in Monitor mode ed effettuare quindi 5 attacchi diversi di tipo Packet Injection. Di questi 5 noi utilizzeremo il numero 0 e 2.

Attacco 0 – Deautentication

Questo attacco è utile soprattutto per recuperare un ESSID nascosto (non annunciato) e per catturare gli handshakes WPA forzando i client a ri-autenticarsi. Può anche essere usato, come faremo, per generare richieste ARP come fanno i client Windows a volte quando vuotano la ARP cache in fase di disconnessione. Ovviamente, questo attacco è inutile se non ci sono client associati.

Attacco 1 – Autenticazione falsa

Questo attacco serve solo quando hai bisogno di un MAC address associato per gli attacchi 2, 3, 4 (ovvero opzione -h) e in questo momento non ci sono altri client associati. In genere è meglio usare il MAC address di un client vero negli attacchi 2, 3 e 4. L'attacco con falsa autenticazione NON genera ARP requests. Ricorda inoltre, gli attacchi successivi funzioneranno meglio se modifichi il MAC address della scheda, cosi che spedisca ACKs correttamente.

Attacco 2 – Replay interattivo di pacchetti

Questo attacco permette di scegliere un pacchetto specifico per il replay; a volte dà risultati migliori dell'attacco 3 (ARP reinjection automatica).

Attacco 3 – ARP-request reinjection

Serve per eseguire l'attacco ARP-request replay ed è il più efficace nel generare nuovi IVs. Hai solo bisogno del MAC address di un client associato, o di un MAC falso dall'attacco "attacco 1". Può darsi che sia necessario aspettare un paio di minuti, o anche di più, fino a vedere una ARP request; questo attacco non funziona se non c'è traffico.

Ricordiamo che il protocollo ARP (Address Resolution Protocol) fornisce la "mappatura" tra l'indirizzo IP a 32bit (4byte) di un calcolatore e il suo MAC address, l'indirizzo fisico a 48bit (6 byte). ARP è un protocollo di servizio, utilizzato in una rete di calcolatori che usa il protocollo di rete IP sopra una rete di livello datalink che supporta il servizio di broadcast. Per inviare un pacchetto IP a un calcolatore della stessa sottoreteè necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il mac address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. Se il pacchetto deve essere inviato a un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il mac address del gateway. In ogni calcolatore, il protocollo ARP tiene traccia delle risposte ottenute in una apposita cache, per evitare di utilizzare ARP prima di inviare ciascun pacchetto. Le voci della cache ARP vengono cancellate dopo un certo tempo di inutilizzo.

Attacco 4 – KoreK's "chopchop" (CRC prediction)

Questo attacco, quando funziona, può decifrare un pacchetto dati WEP senza conoscere la chiave. Può anche funzionare con uno WEP dinamico. Questo attacco non recupera la chiave WEP, ma semplicemente recupera il plaintext. Tuttavia, la maggior parte degli access point non è vulnerabile. Questo attacco richiede almeno un pacchetto dati WEP.