Tradução e Adaptação em Desenvolvimento: JaymesSmith (25/03/08)
Status: 30% traduzido.
Quando terminada, essas linhas serão apagadas.
When finished, these lines will be erased.
Airodump-ng é usado para captura de pacotes de frames brutos 802.11 e é particularmente apropriado para coletar IVs (Vetores de Inicialização) WEP com intuito de usá-los com o aircrack-ng. Se você tem um receptor GPS conectado ao computador, airodump-ng é capaz de registrar as coordenadas dos Access Points encontrados. Suplementarmente, airodump-ng cria um arquivo de texto (também chamado de “dump”) contendo os detalhes de todos os Access Points e clientes vistos.
Antes de executar o airodump-ng, inicie o script airmon-ng para listar as interfaces wireless detectadas. É possível, mas não recomendável, rodar o Kismet e airodump-ng ao mesmo tempo.
uso: airodump-ng <opções> <interface>[,<interface>,...] Opções: --ivs : Salva somente IVs capturados --gpsd : Usa GPSd --write <prefix> : Prefixo do arquivo dump -w : mesmo que --write --beacons : Grava todos os beacons em arquivo dump --update <secs> : Mostra atraso de atualização em segundos --showack : Apresenta as estatísticas ack/cts/rts -h : Esconde estações conhecidas pelo --showack -f <msecs> : Tempo em milisegundos entre canais alternando (saltos) --berlin <secs> : Tempo antes da remoção do AP/cliente da tela quando nenhum pacote a mais for recebido (Padrão: 120 segundos). -r <file> : Lê pacotes do arquivo especificado. Opções de filtro: --encrypt <suite> : Filtra APs pela criptografia (cifra) --netmask <netmask> : Filtra APs pela máscara de sub-rede --bssid <bssid> : Filtra APs pelo BSSID -a : Filtra clientes não-associados Por padrão, airodump-ng salta em canais 2.4GHz. Você pode fazê-lo capturar em outro(s)/específico(s) canal(is) usando:You can make it capture on other/specific channel(s) by using: --channel <channels>: Captura em canais específicos --band <abg> : Banda na qual o airodump-ng deve saltar (a, b ou g) --cswitch <method> : Configura o método de alternação dos canais 0 : FIFO (padrão) 1 : Round Robin 2 : Salta no último -s : mesmo que --cswitch --help : Mostra esta tela de uso do programa
Você pode converter arquivos .cap / .dump para o formato .ivs ou mesclá-los.
Airodump-ng mostrará uma lista de Access Points detectados, e também uma lista de clientes conectados (“estações”). Aqui está um exemplo de uma captura de tela:
CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR 00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear 00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy BSSID STATION PWR Lost Packets Probes 00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14 (not associated) 00:14:A4:3F:8D:13 19 0 4 mossy 00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5 00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy
A primeira linha mostra o canal atual, tempo de execução decorrido, data atual e opcionalmente se um “aperto de mão” (handshake) WPA/WPA2 foi detectado. No exemplo acima, “WPA handshake: 00:14:6C:7E:40:80” indica que um handshake WPA/WPA2 foi capturado com sucesso para o BSSID.
Campo | Descrição |
---|---|
BSSID | Endereço MAC do Access Point. Na seção Client (Cliente), um BSSID com “(not associated)” significa que o cliente não está associado com qualquer AP. Nesse estado desassociado, ele está procurando por um AP para conectar-se. |
PWR | Nível de sinal apresentado pela placa. Seu significado depende do driver, mas quanto maior o sinal mais perto você fica do AP ou estação. Se o BSSID PWR for -1, então o driver não suporta relatório do nível de sinal. Se o PWR for -1 para um número limitado de estações, então isso é para um pacote que veio de um AP para o cliente mas as transmissões do cliente estão fora do alcance da sua placa. O que significa que você está escutando somente metade da comunicação. Se todos os clientes tiverem PWR como -1, então o driver não suporta relatório do nível de sinal. |
RXQ | Qualidade de Recepção, medida pela porcentagem de pacotes (quadros de dados e de gerenciamento) recebidos com sucesso nos últimos 10 segundos. Ver nota abaixo para explicação mais detalhada. |
Beacons | Número de pacotes de aviso enviados pelo AP. Cada Access Point manda por volta de 10 beacons por segundo na velocidade mais baixa (1M), então geralmente eles podem ser pegos de bem longe. |
# Data | Número de pacotes de dados capturados (se WEP, contagem única de IVs), incluindo pacotes de difusão de dados. |
#/s | Número de pacotes de dados por segundo medidos nos últimos 10 segundos. |
CH | Número do Canal (capturados a partir dos pacotes beacon). Nota: às vezes pacotes de outros canais são capturados mesmo se o airodump-ng não estiver saltando canais, por causa da interferência de rádio. |
MB | Velocidade máxima suportada pelo AP. Se MB = 11, é 802.11b; se MB = 22 é 802.11b+ e velocidades maiores são 802.11g. O ponto (após 54 acima) indica que preâmbulo curto - short preamble - é suportado. |
ENC | Algoritmo de criptografia em uso. OPN = sem criptografia, “WEP?” = WEP ou maior (não há dados suficientes para escolher entre WEP e WPA/WPA2), WEP (sem o ponto de interrogação) indica WEP estático ou dinâmico, e WPA ou WPA2 se TKIP ou CCMP estiver presente. |
CIPHER | A cifra detectada. Um desses: CCMP, WRAP, TKIP, WEP, WEP40 ou WEP104. Não é regra, mas TKIP é tipicamente usado com WPA e CCMP é tipicamente usado com WPA2. WEP40 é mostrado quando o índice da chave é maior que 0. O padrão define que o índice pode ser 0-3 para 40bit e deve ser 0 para 104bit. |
AUTH | O protocolo de autenticação usado. Um desses: MGT (WPA/WPA2 usando um servidor de autenticação separado), SKA (Chave compartilhada para WEP), PSK (Chave pré-compartilhada para WPA/WPA2), ou OPN (Aberto para WEP). |
ESSID | O tão chamado “SSID”, que pode estar vazio, se o esconder SSID estiver ativado. Nesse caso, airodump-ng tentará recuperar o SSID de respostas de sondagem (probe responses) e pedidos de associação (association requests). |
STATION | Endereço MAC de cada estação associada ou estações procurando por um AP para se conectarem. Clientes não associados no momento possuem um BSSID com “(not associated)”. |
Lost | O número de pacotes de dados perdidos nos últimos 10 segundos, baseado no número de sequência. Ver nota abaixo para uma explicação mais detalhada. |
Packets | O número de pacotes de dados enviados por um cliente. |
Probes | Os ESSIDs sondados pelo cliente. Estas são as redes que o cliente está tentando se conectar se não estiver conectado no momento. |
NOTAS:
RXQ expandido:
É medido em cima de todos os quadros de dados e de gerenciamento. Essa é a dica, isto permite a você tirar mais conclusões desse valor. Vamos dizer que você consegui 100 por cento de RXQ e todos 10 (ou qualquer que seja a velocidade) beacons por segundo chegando. Agora de repente o RXQ cai para menos de 90, mas você ainda captura todos os beacons enviados. Dessa forma você sabe que o AP está mandando quadros para um cliente, mas você não pode escutar o cliente, nem o AP mandando para o cliente (precisa chegar mais perto). Outra coisa seria, tendo você uma placa de 11MBit para monitorar e capturar quadros (digamos, um prism2.5) e você tem uma possição muito boa em relação ao AP. O AP está configurado para 54MBit e, de novo, o RXQ cai, então você sabe que há pelo menos um cliente 54MBit conectado ao AP.
Lost expandido:
Significa pacotes perdidos vindos do cliente. Para determinar o número de pacotes perdidos, há uma campo de sequência em cada quadro sem-controle, então você pode subtrair o penúltimo número de sequência do último número de sequência e saber quantos pacotes você perdeu.
Possible reasons for lost packets:
To minimize the number of lost packets, vary your physical position, type of antenna used, channel, data rate and/or injection rate.
To speed up the cracking process, run aircrack-ng while you are running airodump-ng. You can capture and crack at the same time. Aircrack-ng will periodically reread the captured data so it is always working with all the available IVs.
To limit the data capture to a single AP you are interested in, include the “- -bssid” option and specificy the AP MAC address. For example: “airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture ath0”.
To minimize disk space used by the capture, include the “- -ivs” option. For example: “airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture - -ivs ath0”. This only stores the initialization vectors and not the full packet. This cannot be used if you are trying to capture the WPA/WPA2 handshake or if you want to use PTW attack on WEP.
Lets say, for example, you wish to capture packets for all Cisco-Linksys APs where the BSSID starts with “00:1C:10”.
You specify that starting bytes you wish to match with the “-d” / “–bssid” option and pad with zeroes to a full MAC. Then use “-m” / “–netmask” option to specify which part of the BSSID you wish to match via “F”s and pad with zeroes to a full MAC.
So since you want to match “00:1C:10”, you use “FF:FF:FF”.
airodump-ng -d 00:1C:10:00:00:00 -m FF:FF:FF:00:00:00 wlan0
Each time airodump-ng is run with the option to write IVs or full packets, a text file is also generated and written to disk. It has the same name and a suffix of “.txt”. This text file contains the details of all access points and clients seen.
Here is an example:
BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, # beacons, # IV , LAN IP, ID-length, ESSID, Key 00:1C:10:26:22:41, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 171, 301, 0, 0. 0. 0. 0, 5, zwang, 00:1A:70:51:B5:71, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 175, 257, 1, 0. 0. 0. 0, 9, brucey123, 00:09:5B:7C:AA:CA, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 11, 54, OPN , , , 189, 212, 0, 0. 0. 0. 0, 7, NETGEAR, Station MAC, First time seen, Last time seen, Power, # packets, BSSID, Probed ESSIDs 00:1B:77:7F:67:94, 2007-10-07 12:49:43, 2007-10-07 12:49:43, 178, 3, (not associated) ,
If you have a laptop with a builtin wireless card, ensure it is “turned on / enabled” in the bios
Does your card works in managed mode? If not, the problem is not with airodump-ng. You need to get this working first.
See if this madwifi-ng web page has information that may be helpful.
Although it is not very “scientific”, sometimes simply unloading then reloading the driver will get it working. This is done with the rmmod and modprobe commands.
Also see the next troubleshooting tip.
Make sure there are no other VAPs running. There can be issues when creating a new VAP in monitor mode and there was an existing VAP in managed mode.
You should first stop ath0 then start wifi0:
airmon-ng stop ath0 airmon-ng start wifi0
or
wlanconfig ath0 destroy wlanconfig ath create wlandev wifi0 wlanmode monitor
This is happening because your driver doesn't discard corrupted packets (that have an invalid CRC). If it's a ipw2100 (Centrino b), it just can't be helped; go buy a better card. If it's a Prism2, try upgrading the firmware.
The most common cause is that a connection manager is running on your system and takes the card out of monitor mode. This is a very common problem especially with the Ubuntu distribution. Be sure to stop all connection managers prior to using the aircrack-ng suite.
Use “killall NetworkManager && killall NetworkManagerDispatcher” to do this.
As well, make sure that wpa_supplicant is not running. Another potential cause is the PC going to sleep due to power saving options. Check your power saving options.
The madwifi-ng driver for the atheros chipset contains a bug in releases up to r2830 which causes airodump-ng in channel hopping mode to stop capturing data after a few minutes. The fix is to use r2834 or above of the madwifi-ng drivers.
You will sometimes see “<length: ?>” as the SSID on the airodump-ng display. This means the SSID is hidden. The “?” is normally the length of the SSID. For example, if the SSID was “test123” then it would show up as “<length: 7>” where 7 is the number of characters. When the length is 0 or 1, it means the AP does not reveal the actual length and the real length could be any value.
To obtain the hidden SSID there are a few options:
wlan.fc.type_subtype == 0 (association request) wlan.fc.type_subtype == 4 (probe request) wlan.fc.type_subtype == 5 (probe response)
There are two workarounds:
Obtain the file from http://www.dll-files.com/dllindex/dll-files.shtml?msvcr70 or it is also located in the bin directory of the zip file of the Windows version of aircrack-ng suite. Typically, it should be located in C:\<windows root directory>\system32.
Ensure you are using the correct drivers for your particular wireless card. Plus the correct Wildpackets driver. Failure to do so may result in your PC freezing when running airodump-ng.
The powersaver option on the card can also cause the application to freeze or crash. Try disabling this option via the “Properties” section of your card. Another kludge is to keep moving your mouse every few minutes to eliminate the powersaver option from kicking in.
The following fix has reportedly worked for some people: What you have to do is right click on airodump-ng.exe, select properties, compatibility, and check run in compatibility mode for Windows XP. Also, check the box at the bottom that says to run as administrator.
Peek.sys being zero bytes is normal. You can proceed to use airodump-ng.
This file is created by airodump-ng to prevent the driver dialog box from being shown each time the program is run.
You may have a DNS problem or there is an Internet connectivity problem. Manually download the following files and place them in the same directory as the airodump-ng.exe file.
If you receive one or more of these errors:
This means the peek.dll and/or peek5.sys file are missing from the directory which contains the airodump-ng.exe file or are corrupted. See the previous troubleshooting entry for instructions on how to download the files.
If airodump-ng is not functioning, it cannot detect your card or you get the blue screen of death, review the instructions for installing the software and drivers. If you cannot identify the problem, redo everything from scratch. Also check the this tutorial for ideas.
Airodump-ng or any “user space” program cannot produce a bluescreen, it is the driver which is the root cause. In most cases, these bluescreen failures cannot be resolved since these drivers are closed source.