Attaque WEP simple
Environnement
Une station de travail Windows connectée au réseau sans fil avec une clé USB Wi-Fi bon marché. Elle télécharge une image ISO sur l'Internet.
Un point d'accès Linksys WRT54G configuré en WEP avec une clé de 64 bits sur le canal 1.
Une station de travail avec une carte Cisco CB21AG lancée avec le CD Live de la distribution Backtrack (http://www.remote-exploit.org/backtrack.html). On utilisera la suite de programme aircrack-ng (http://www.aircrack-ng.org/) qui est fournie avec cette distibution. La démonstration sous Windows est possible sans réinjection de trafic.
Introduction
L'attaque se découpe en quelques phases :
- activation de la carte en mode passif (airmon-ng)
- Capture du trafic, identification des canaux utilisés par les points d'accès et les clients connectés (airodump-ng)
- Truquage (fake) de l'authentification et de l'association de la carte attaquante (aireplay-ng -1)
- Injection de trafic reconnu comme légitime (aireplay-ng -3)
- Déauthentification d'un client de façon à le forcer à générer du trafic ARP de broadcast utile à l'attaque précédente (aireplay-ng -0)
- Décodage de la clé WEP (aircrack-ng)
Activation de la carte en mode passif
Sur la station Linux, il faut lancer la carte en mode passif avec les pilotes Madwifi-ng :
bt ~ # airmon-ng start wifi0 1
usage: airmon-ng <start|stop> <interface> [channel]
Interface Chipset Driver
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0)
ath1 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)
C'est l'interface ath1 qui sera utilisée pour l'attaque.
Lancement de la capture et identification des adresses
Le logiciel airodump permet la capture du trafic et identifie les stations et les points d'accès. Nous enregistrons les paquets qui passent sur le canal 1 dans un fichier dénommé "test" :
bt ~ # airodump-ng --channel 1 -w test ath1
On constate que le BSSID du point d'accès est 00:0F:66:56:EF:4F, c'est aussi son adresse MAC. L'adresse MAC de l'autre station certainement connectée est 00:11:50:BF:AE:EA.
Authentification et association de la carte attaquante
Avant de réinjecter du trafic, il faut "voler" l'authentification légitime de l'autre station :
bt ~ # aireplay-ng -1 0 -e goffinet2 -a 00:0F:66:56:EF:4F -b 00:0F:66:56:EF:4F
-h 00:11:50:BF:AE:EA ath1
12:14:06 Sending Authentication Request
12:14:06 Authentication successful
12:14:06 Sending Association Request
12:14:07 Association successful :-)
l'option -1 active cette attaque "Fake authentication".
Injection de trafic
La carte attaquante va injecter du trafic qui va générer des trames ARP en broadcast pour augmenter la génération de vecteurs d'initialisation uniques (IVs). Ce trafic sera légitimé :
bt ~ # aireplay-ng -3 -e goffinet2 -a 00:0F:66:56:EF:4F -b 00:0F:66:56:EF:4F
-h 00:11:50:BF:AE:EA -x 600 -r test-01.cap ath1
où -x est le nombre de paquets injectés à la seconde et où -r est le nom du fichier de capture.
La réinjection de ce trafic commencera dès que la carte aura capturé une trame ARP de broadcast sur le réseau. Pour les besoins du laboratoire, on vide le cache ARP de la station légitime ("arp -d ...") et on replace du trafic.
On peut aussi forcer le client connecté à se déauthentifier. Il vidra son cache ARP et replacera lui-même du trafic ARP en broadcast :
bt ~ # aireplay-ng -0 5 goffinet2 -a 00:0F:66:56:EF:4F -c 00:11:50:BF:AE:EA ath1
où -a est le BSSID du point d'accès et -c l'adresse du client attaqué.
Décodage de la clé WEP
On lance le logiciel aircrack-ng avec la commande appropriée.
bt ~ # aircrack-ng -b 00:0F:66:56:EF:4F test-01.cap
où -b est le BSSID du point d'accès.
Dans cet exemple, aircrack a trouvé la clé en 15 minutes ...
Mot de passe oublié ?
