Для борьбы с амнезией есть замечательная программа по имени aircrack-ng, но для более феншуёвого её использования очень желательно предварительно очищать файл дампа захваченных сетевых пакетов *.cap от лишнего мусора.
Скажите Мюллеру, что я всё вспомнил...
(с) Штирлиц
Файлы дампа захваченных сетевых пакетов *.cap могут достигать больших размеров (300 МБ, 1 ГБ и больше), а при активном сетевом трафике, например при скачивании больших файлов, размер дампа может быть гигантским - aircrack-ng может усратца при попытке открыть такие большие дампы.
Чтобы вспомнить всё
нам нужны только 4-way handshake (EAPOL протокол) и желательно, но не обязательно, Beacon frame и/или Association Request (802.11 протокол), что занимает +- какие-то 1-2 КБ.
Для извлечения только WPA Handshake's можно использовать:
- wpaclean, входит в комплект с aircrack-ng;
- wireshark, с фильтром по EAPOL;
- mergecap, для соединения *.cap файлов в один, входит в комплект с wireshark.
У каждого способа есть свои плюсы и минусы.
Extract WPA key by wpaclean
man wpaclean ... SYNOPSIS wpaclean <out.cap> <in.cap> [in2.cap] [...]
Extract WPA Handshake's:
cd /home/yuzver/wifi/cap/ $ wpaclean dump.cap dump-01.cap Pwning dump-01.cap (1/1 100%) Net B8:xx:08:xx:38:xx <ssid_name> Done
Если получили вот такой (пустой) результат (без Net B8:xx:08:xx:38:xx <ssid_name>):
$ wpaclean dump.cap dump-01.cap Pwning dump-01.cap (1/1 100%) Done
То значит ничего там не Done, и в исходном *.cap файле нет фрейма Beacon frame.
Для успешной работы wpaclean в фильтруемом *.cap файле помимо EAPOL (4-way handshake) ещё должен присутствовать Beacon frame (IEEE 802.11 Beacon frame, Flags: ........).
Beacon frame содержит информацию о беспроводной сети, передаётся периодически точкой доступа с целью объявления о своём присутствии:
A beacon frame is a type of management frame in IEEE 802.11 WLANs. It contains information about the network. Beacon frames are transmitted periodically; they serve to announce the presence of a wireless LAN and to provide a timing signal to synchronise communications with the devices using the network (the members of a service set). In an infrastructure basic service set (BSS), beacon frames are transmitted by the access point (AP). In ad hoc (IBSS) networks, beacon generation is distributed among the stations. For the 2.4 GHz spectrum, when having more than 15 SSIDs on non-overlapping channels (or more than 45 in total), beacon frames start to consume significant amount of air time and degrade performance even when most of the networks are idle.
Т.е., если мы успешно захватим 4-way handshake EAPOL, но не будет Beacon frame (был объявлен, пропущен, до начала захвата пакетов), то wpaclean такой 4-way handshake EAPOL не обнаружит!
О том, что программа ищет beacon фрейм сказано в документации:
man wpaclean ... DESCRIPTION wpaclean Cleans capture files to get only the 4-way handshake and a beacon.
Отметим, что -
- wpaclean берёт из дампа первые попавшиеся 4-way handshake записи отбрасывая все ниже следующие;
- wpaclean может соединять несколько файлов в один отбрасывая дубликаты;
- после работы wpaclean в итоговом файле останется только по 3 записи для каждого SSID
- 802.11 Beacon frame, Flags: ........
- EAPOL Key (Message 1 of 4)
- EAPOL Key (Message 2 of 4)
Во втором сообщении EAPOL Key (Message 2 of 4) передаётся вожделенный для aircrack-ng - WPA Key MIC: d810eda02c6724c226e0fffd77320ccd
Extract WPA key by Wireshark
В случае, когда мы точно знаем, что 4-way handshake был получен, но wpaclean выдала пустой результат из-за отсутствия Beacon frame, - мы можем:
- открыть исходный *.cap дамп в программе wireshark;
- вручную отметить Association Request, в котором передаётся SSID, и следующие за ним 4-way handshake EAPOL записи (Ctrl+M);
- экспортировать Только помеченные пакеты, Экспортировать как: Wireshark/tcpdump/... - pcap).
IEEE 802.11 Association Request, Flags: ........
IEEE 802.11 Wireless Management
SSID: "<SSID_NAME>"
...
EAPOL Key (Message 1 of 4)
EAPOL Key (Message 2 of 4)
EAPOL Key (Message 3 of 4)
EAPOL Key (Message 4 of 4)Merge *.cap by mergecap
Программе mergecap пофигу на содержимое (EAPOL Key, Beacon frame и/или Association Request) - mergecap просто соединяет два файла в один, входит в комплект с wireshark.
mergecap -F pcap -w dump.cap file1.cap file2.cap
При этом начинает с конца, т.е. в итоговом файле dump.cap первыми будут записи из file2.cap, а после них записи из file1.cap.
wpaclean VS Wireshark mergecap
wpaclean автоматически извлекает WPA key и может соединять множество файлов в один, но требует наличия beacon фрейма.
Можно обойтись и ручной выборкой одних лишь 4-way handshake записей, открыв исходный *.cap файл дампа в программе Wireshark с фильтром по EAPOL.
Так, для примера, мы создали итоговый файл dump.cap с WPA handshake 3х устройств, соединив записи с помощью mergecap:
- Device1 - 7 пакетов, 4 EAPOL Key и 3 Acknowledgement (экспорт из Wireshark)
- Device2 - 3 пакета, 1 Beacon frame и 2 EAPOL Key (использовался wpaclean);
- Device3 - 3 пакета, 1 Beacon frame и 2 EAPOL Key (использовался wpaclean);
Для Device1 нет Beacon frame, а Association Request удалён намеренно в целях эксперимента.
После этого запустим напоминалку aircrack-ng:
aircrack-ng -w passwd dump.cap Reading packets, please wait... Opening dump.cap Read 13 packets. # BSSID ESSID Encryption 1 B8:xx:08:xx:38:xx WPA (1 handshake) 2 xx:B4:xx:18:xx:27 Device2 WPA (1 handshake) 3 F8:xx:67:xx:2B:xx Device3 WPA (1 handshake) Index number of target network ?
Видим что для Device1 просто отсутствует ESSID, но WPA handshake с BSSID B8:xx:08:xx:38:xx доступен для брутфорса в списке под номером 1.
Если намеренно удалённый Association Request пакет вернуть взад, то поле ESSID для записи 1 будет заполнено как Device1.
Проще говоря, aircrack-ng для ассоциации ESSID с BSSID устройства хорошо понимает пакет Association Request и может вовсе без него обойтись, а wpaclean для успешной работы требует только Beacon frame.
wpaclean совсем не обязательно использовать, а иногда может быть даже вредно для дампов без Beacon фрейма.
Итого
Как показала практика, фрейм Beacon frame и/или Association Request совсем не обязательны для работы aircrack-ng над захваченными 4-way handshake!
wpaclean при отсутствии в исходном файле фрейма Beacon frame в итоге выдаст пустой результат, а это означает, что:
- можно пропустить успешно захваченные 4-way handshake EAPOL пакеты, для успешной идентификации ESSID которых вполне достаточно Association Request пакета;
- получив от wpaclean ложный нолевой результат можно много времени потратить впустую на повторный захват сетевых TCP пакетов.
Итак, приходим к выводу, что ручная выборка пакетов Association Request и 4-way handshake в сочетании с mergecap даст более точный и гарантированный результат, а Beacon frame совсем не обязателен.
Ручной поиск 4-way handshake в программе Wireshark также будет предпочтительнее, надёжнее, когда сканировался весь канал целиком и Beacon frame не всеми устройствами был объявлен в момент захвата сетевых пакетов.
Единственной проблемой Wireshark является большое потребление РАМы и при малых размерах оперативной памяти большие дампы Wireshark может не вытянуть. В таком случае придется либо пользоваться wpaclean надеясь на лучшее, либо изучать все тонкости работы с tcpdump, tcpick, tcpxtract или типа того.
- tcpdump read cap file at DuckDuckGo
- tcpdump - How can I read pcap files in a friendly format? - Server Fault
- extract eapol by tcpdump at DuckDuckGo
- c - detect eap pakets (802.1X auth) with pcap libraries - Stack Overflow
