Tutorial: El arte de aumentar los ARP

Version: 1.00 June 13, 2007
By: darkAudax
Traducción: 27 de Agosto de 2007

Archivos utilizados en este manual:

• arp-1x.cap
• arp-2x.cap
• arp-3x.cap

Este manual te enseñará como aumentar de forma importante el número de vectores de inicialización (IVs) generados por segundo. Se ha conseguido capturar a velocidades superiores a 1300 IVs por segundo. Esto se hace incrementando el número de paquetes de datos generados por cada paquete inyectado. Es recomendable que lo intenten usuarios habituados a utilizar la suite aircrack-ng.

En los últimos tiempos se han producido algunos avances que provocan que aircrack-ng necesite más paquetes de datos para obtener la clave WEP. Además una de las formas de reducir el tiempo de funcionamiento de aircrack-ng para obtener la clave wep es aumentar el número de IVs capturados. Este manual te enseña una metodología para aumentar la velocidad de captura de IVs por segundo provocando que la red wireless genere multiples paquetes de datos por cada uno que inyectamos.

Como este manual va destinado a usuarios con conocimientos de la suite aircrack-ng, se hará énfasis sobre todo en la teoría y en que se analicen los paquetes capturados. No te proporcionaremos un manual de forma detallada con todos los comandos. Cada escenario ha sido probado en la vida real y funciona. Si no sabes como se usan los comandos de la suite aircrack-ng de forma detallada, este tutorial no es para tí!

Es recomendable que experimentes con tu punto de acceso wireless para familiarizarte con estas ideas y técnicas. Si no tienes un punto de acceso propio, recuerda que debes pedir permiso al propietario de cualquier punto de acceso antes de probar con él.

Tengo que darles las gracias al equipo de aircrack-ng por crear y mantener esta suite tan potente.

Por favor envíame cualquier comentario, bien sea positivo or negativo.

• Tienes una tarjeta wireless que puede inyectar paquetes.
• Estás familiarizado con ARP. Más información la puedes encontrar aquí o buscar información en Internet.
• Tienes Wireshark instalado y funcionando. Además tienes algunos conocimientos básicos sobre como usarlo.

ESSID: teddy
Dirección MAC: 00:14:6C:7E:40:80 Canal: 9

Dirección IP: ninguna Dirección MAC: 00:0F:B5:88:AC:82

Dirección IP: 192.168.1.1 Dirección MAC: 00:D0:CF:03:34:8C

Dirección IP: 192.168.1.59 Dirección MAC: 00:0F:B5:AB:CB:9D

Analizaremos varios escenarios, comenzando con una típica inyección de un paquete y conseguir una respuesta, hasta la inyección de un paquete y conseguir 3 respuestas. Conseguiremos IVs a velocidades en rangos desde 350 a 1300 por segundo! Si, 1300 IVs por segundo. Aunque no se indican los pasos de forma detallada, cada escenario se ha probado en la vida real y funciona.

A continuación puedes ver los escenarios que analizaremos:

• Uno para un paquete ARP
• Dos para un paquete ARP
• Tres para un paquete ARP

En las siguientes secciones suponemos que has usado el ataque KoreK chopchop o Fragmentación para obtener el PRGA, Por favor lee la documentación del wiki y los tutoriales en los que se expica como usar estos ataques. Estas técnicas o métodos no serán explicadas en este manual.

Tambien suponemos que conoces la dirección IP de algunos clientes de la red. El ataque Chopchop es el modo más efectivo para determinar la dirección IP ya que desencripta paquetes. Por lo tanto, estudiando los paquetes desencriptados conocerás el rango de direcciones IP que se están usando. Tambien se podría probar a utilizar las direcciones IPs que vienen configuradas por defecto en esa marca concreta de punto de acceso. La marca del punto de acceso se puede conocer analizando los tres primeos pares de la dirección MAC.

Esto es lo que ocurre cuando se usa ARP request reinjection. Aunque no vamos a conseguir mayor velocidad de inyección que este método, lo estudiaremos para obtener algunos conocimientos y ver la velocidad de inyección. En términos simples, para cada respuesta ARP inyectada, conseguimos un nuevo IV emitido por el AP.

Generamos una respuesta ARP para inyectar:

 packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 255.255.255.255 -l 255.255.255.255 -y fragment-0608-132715.xor -w arp-request-1x.cap 

Inyectamos el paquete:

 aireplay-ng -2 -r arp-request-1x.cap ath0

Podemos ver los paquetes enviados por segundo con airodump-ng:

 CH  9 ][ Elapsed: 12 s ][ 2007-06-08 14:14                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   21  71      130     4532  355   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   38     0     6666 

Como puedes observar conseguimos 355 nuevos paquetes de datos por segundo.

Vamos a ver el archivo capturado. El archivo arp-1x.cap es una parte representativa del total capturado.

Usa Wireshark para revisar el archivo de captura. La forma más fácil es usar “View –> Expand”. A continuación puedes ver una descripción de los paquetes relevantes:

• Paquete 1: Una beacon o baliza.
• Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el “DS Status flag” aparece “TO DS”, lo que significa que el paquete va desde un cliente al AP.
• Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng.
• Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en “DS Status flag” aparece “FROM DS”, lo que significa que el paquete va desde el AP al cliente wireless.
• Paquetes 5-7 es una repetición del ciclo 2-4 anterior. Este ciclo se repetirá constantemente.

Como puedes ver, solo hay un nuevo IV generado en cada ciclo - 4 paquetes.

Esto comienza a ponerse interesante. Enviando una petición ARP, podemos conseguir que el punto de acceso genere dos nuevos IVs por cada paquete que inyectamos. Esto aumenta la velocidad de captura de datos de forma significativa.

Esto es un poco más dificil porque necesitamos conocer una dirección IP de algún cliente conectado a la red. Como describimos en la introducción se pueden averiguar las direcciones IPs a través de varios métodos. Por lo tanto, en el siguiente ejemplo usamos “192.168.1.1” como la dirección IP de destino. Una coasa crítica para conseguir tener éxito es usar “10.255.255.255” como la dirección IP de origen. La dirección IP de origen no puede ser una IP que ya se está utilizando en la red. No puedes utilizar “255.255.255.255” como nosotros hacemos en algunos de nuestros ejemplos.

Generamos una respuesta ARP para inyectar:

 packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.1 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-2x.cap

Inyectamos el paquete:

 aireplay-ng -2 -r arp-request-2x.cap ath0

Vemos los paquetes capturados por segundo con airodump-ng:

 CH  9 ][ Elapsed: 8 s ][ 2007-06-08 14:12                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   38 100      107    10474  945   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   37     0    10921  

Como puedes ver conseguimos 945 nuevos paquetes de datos por segundo. Este es un aumento sustancial respecto al escenario uno anterior.

Vamos a ver el archivo de captura. El archivo arp-2x.cap es una parte representativa de la captura.

Usa Wireshark para ver el archivo y compararlo con la siguiente descripción. La forma más fácil es usar “View –> Expand”. A continuación puedes ver una descripción de los paquetes relevantes:

• Paquete 1: Una beacon o baliza.
• Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el “DS Status flag” aparece “TO DS”, lo que significa que el paquete va desde un cliente al AP.
• Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng.
• Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en “DS Status flag” aparece “FROM DS”, lo que significa que el paquete va desde el AP al cliente wireless.
• Paquete 5: Este es el paquete ARP repetido enviado por el AP a nuestro sistema. Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. La dirección MAC de origen (source MAC) es un cliente. También date cuenta que en “DS Status flag” aparece “FROM DS”, lo que significa que el paquete va desde el AP al cliente wireless.
• Paquetes 6-9 es una repetición del ciclo 2-5 anterior. Este ciclo se repetirá constantemente.

Como puedes ver, hay dos nuevos IVs generados en cada ciclo - paquetes 4 y 5.

El último escenario es en el que generamos tres nuevos IVs por cada paquete que inyectamos. Este escenario es el más dificil de conseguir con éxito. Pero, cuando lo conseguimos, obtenemos la velocidad de inyección más alta.

Necesitamos conocer la dirección IP de un cliente wireless asociado actualmente con el punto de acceso. Como describimos en la introducción se pueden averiguar las direcciones IPs a través de varios métodos. Por lo tanto, en el siguiente ejemplo usamos “192.168.1.89” como la dirección IP de destino. Una coasa crítica para conseguir tener éxito es usar “10.255.255.255” como la dirección IP de origen. La dirección IP de origen no puede ser una IP que ya se está utilizando en la red. No puedes utilizar “255.255.255.255” como nosotros hacemos en algunos de nuestros ejemplos.

Generamos un paquete ARP para inyectarlo:

 packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -k 192.168.1.89 -l 10.255.255.255 -y fragment-0608-132715.xor -w arp-request-3x.cap

Inyectamos el paquete:

 aireplay-ng -2 -r arp-request-3x.cap ath0 

Vemos los paquetes capturados por segundo con airodump-ng:

 CH  9 ][ Elapsed: 0 s ][ 2007-06-09 12:52                                         
                                                                                                            
  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID
                                                                                                            
  00:14:6C:7E:40:80   32 100       30     3797 1294   9  54  WEP  WEP         teddy                           
                                                                                                            
  BSSID              STATION            PWR  Lost  Packets  Probes                                             
                                                                                                            
  00:14:6C:7E:40:80  00:0F:B5:AB:CB:9D   47     0     1342                                                     
  00:14:6C:7E:40:80  00:0F:B5:88:AC:82   33     0     2641               

Como puedes ver conseguimos 1294 nuevos paquetes de datos por segundo. Wow! Este es tambien un aumento sustancial respecto al escenario uno. En la imagen de airodump-ng puedes ver dos clientes. El que estamos utilizando en nuestro ataque y el cliente wireless asociado.

Vamos a analizar una parte de la captura. El archivo arp-3x.cap es una parte representativa del total capturado.

Usa Wireshark para ver el archivo y compararlo con la siguiente descripción. La forma más fácil es usar “View –> Expand”. A continuación puedes leer una descripción de los paquetes relevantes:

• Paquete 1: Una beacon estandard.
• Paquete 2: Este es el paquete que estamos inyectando con aireplay-ng. Date cuenta que en el “DS Status flag” aparece “TO DS”, lo que significa que el paquete va desde un cliente al AP.
• Paquete 3: El AP anuncia (acknowledges) el paquete recibido del sistema Aircrack-ng.
• Paquete 4: El paquete de respuesta ARP es enviado por el Ap hacia todos los clientes (broadcast). Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en “DS Status flag” aparece “FROM DS”, lo que significa que el paquete va desde el AP al cliente wireless.
• Paquete 5: Este es el paquete de respuesta ARP enviado por el cliente wireless al AP. Este es un nuevo paquete de datos. Date cuenta que tiene otro nuevo IV y un diferente número de secuencia. La dirección MAC de origen es la del cliente wireless. También date cuenta que en “DS Status flag” aparece “TO DS”, lo que significa que el paquete va desde el cliente wireless al AP.
• Paquete 6: El AP anuncia el paquete recibido del cliente wireless.
• Paquete 7: El paquete de respuesta ARP recibido del cliente wireless es enviado a la tarjeta que estamos usando con el sistema Aircrack-ng por el AP. Puedes comprobar esto mirando las direcciones MAC de origen y de destino. Este es un nuevo paquete de datos. Date cuenta que tiene un nuevo IV y un diferente número de secuencia. También date cuenta que en “DS Status flag” aparece “FROM DS”, lo que significa que el paquete va desde el AP al cliente wireless.
• Paquetes 8-13 es una repetición del ciclo 2-7 anterior. Este ciclo se repetirá constantemente.

Si haces cuentas, se generan tres nuevos IVs en cada ciclo - paquetes 4, 5 y 7.

La velocidad que puedes conseguir depende del hardware utilizado. Y el punto de acceso tambien forma parte de tu hardware. Mira este post del foro en inglés para más información.