步驟1：載入無線網卡。

其實很多新人們老是在開始載入網卡的時候出現一些疑惑，所以我們就把這個基本的操作仔細看看。首先查看當前已經載入的網卡有哪些，輸入命令如下：

ifconfig

回車后可以看到如下圖3所示內容，我們可以看到這里面除了eth0之外，并沒有無線網卡。

圖3

確保已經正確插入USB或者PCMCIA型無線網卡，此時，為了查看無線網卡是否已經正確連接至系統，應輸入：

ifconfig?-a

參數解釋：

-a?顯示主機所有網絡接口的情況。和單純的ifconfig命令不同，加上-a參數后可以看到所有連接至當前系統網絡接口的適配器。

如下圖4所示，我們可以看到和上圖3相比，出現了名為wlan0的無線網卡，這說明無線網卡已經被BackTrack4 R2 Linux識別。

圖4

既然已經識別出來了，那么接下來就可以激活無線網卡了。說明一下，無論是有線還是無線網絡適配器，都需要激活，否則是無法使用滴。這步就相當于Windows下將“本地連接”啟用一樣，不啟用的連接是無法使用的。

在上圖4中可以看到，出現了名為wlan0的無線網卡，OK，下面輸入：

ifconfig?wlan0?up

當然，通過輸入iwconfig查看也是可以滴。這個命令專用于查看無線網卡，不像ifconfig那樣查看所有適配器。

iwconfig

該命令在Linux下用于查看有無無線網卡以及當前無線網卡狀態。如下圖6所示。

圖6

步驟2：激活無線網卡至monitor即監聽模式。

對于很多小黑來說，應該都用過各式各樣的嗅探工具來抓取密碼之類的數據報文。那么，大家也都知道，用于嗅探的網卡是一定要處于monitor監聽模式地。對于無線網絡的嗅探也是一樣。

在Linux下，我們使用Aircrack-ng套裝里的airmon-ng工具來實現，具體命令如下：

airmon-ng?start?wlan0

如下圖7所示，我們可以看到無線網卡的芯片及驅動類型，在Chipset芯片類型上標明是Ralink 2573芯片，默認驅動為rt73usb，顯示為“monitor mode enabled on mon0”，即已啟動監聽模式，監聽模式下適配器名稱變更為mon0。

圖7

步驟3：探測無線網絡，抓取無線數據包。

在激活無線網卡后，我們就可以開啟無線數據包抓包工具了，這里我們使用Aircrack-ng套裝里的airmon-ng工具來實現，具體命令如下：

不過在正式抓包之前，一般都是先進行預來探測，來獲取當前無線網絡概況，包括AP的SSID、MAC地址、工作頻道、無線客戶端MAC及數量等。只需打開一個Shell，輸入具體命令如下：

airodump-ng?mon0

參數解釋：

mon0為之前已經載入并激活監聽模式的無線網卡。如下圖8所示。

圖8

回車后，就能看到類似于下圖9所示，這里我們就直接鎖定目標是SSID為“TP-LINK”的AP，其BSSID（MAC）為“00：19：E0：EB：33：66”，工作頻道為6，已連接的無線客戶端MAC為“00：1F：38：C9：71：71”。

圖9

既然我們看到了本次測試要攻擊的目標，就是那個SSID名為TP-LINK的無線路由器，接下來輸入命令如下：

airodump-ng?--ivs?–w?longas?-c?6?wlan0

參數解釋：

--ivs?這里的設置是通過設置過濾，不再將所有無線數據保存，而只是保存可用于破解的IVS數據報文，這樣可以有效地縮減保存的數據包大小；

-c?這里我們設置目標AP的工作頻道，通過剛才的觀察，我們要進行攻擊測試的無線路由器工作頻道為6；

-w?后跟要保存的文件名，這里w就是“write寫”的意思，所以輸入自己希望保持的文件名，如下圖10所示我這里就寫為longas。那么，小黑們一定要注意的是：這里我們雖然設置保存的文件名是longas，但是生成的文件卻不是longase.ivs，而是longas-01.ivs。

在回車后，就可以看到如下圖11所示的界面，這表示著無線數據包抓取的開始。

圖11

步驟4：對目標AP使用ArpRequest注入攻擊

若連接著該無線路由器/AP的無線客戶端正在進行大流量的交互，比如使用迅雷、電騾進行大文件下載等，則可以依靠單純的抓包就可以破解出WEP密碼。但是無線黑客們覺得這樣的等待有時候過于漫長，于是就采用了一種稱之為“ARP Request”的方式來讀取ARP請求報文，并偽造報文再次重發出去，以便刺激AP產生更多的數據包，從而加快破解過程，這種方法就稱之為ArpRequest注入攻擊。具體輸入命令如下：

aireplay-ng?-3?-b?AP的mac?-h?客戶端的mac?mon0

參數解釋：

-3?指采用ARPRequesr注入攻擊模式；

-b?后跟AP的MAC地址，這里就是前面我們探測到的SSID為TPLINK的AP的MAC；

-h?后跟客戶端的MAC地址，也就是我們前面探測到的有效無線客戶端的MAC；

最后跟上無線網卡的名稱，這里就是mon0啦。

回車后將會看到如下圖12所示的讀取無線數據報文，從中獲取ARP報文的情況出現。

圖12

在等待片刻之后，一旦成功截獲到ARP請求報文，我們將會看到如下圖13所示的大量ARP報文快速交互的情況出現。

圖13

此時回到airodump-ng的界面查看，在下圖14中我們可以看到，作為TP-LINK的packets欄的數字在飛速遞增。

圖14

步驟5：打開aircrack-ng，開始破解WEP。

在抓取的無線數據報文達到了一定數量后，一般都是指IVs值達到2萬以上時，就可以開始破解，若不能成功就等待數據報文的繼續抓取然后多試幾次。注意，此處不需要將進行注入攻擊的Shell關閉，而是另外開一個Shell進行同步破解。輸入命令如下：

aircrack-ng?捕獲的ivs文件

那么經過很短時間的破解后，就可以看到如下圖16中出現“KEY FOUND”的提示，緊跟后面的是16進制形式，再后面的ASCII部分就是密碼啦，此時便可以使用該密碼來連接目標AP了。 一般來說，破解64位的WEP至少需要1萬IVs以上，但若是要確保破解的成功，應捕獲盡可能多的IVs數據。比如下圖16所示的高強度復雜密碼破解成功依賴于8萬多捕獲的IVs。

注意：由于是對指定無線頻道的數據包捕獲，所以有的時候大家會看到如下圖17中一樣的情景，在破解的時候出現了多達4個AP的數據報文，這是由于這些AP都工作在一個頻道所致，很常見的。此時，選擇我們的目標，即標為1的、SSID位dlink的那個數據包即可，輸入1，回車后即可開始破解。

補充一下：

若希望捕獲數據包時，能夠不但是捕獲包括IVS的內容，而是捕獲所有的無線數據包，也可以在事后分析，那么可以使用如下命令：

airodump-ng?–w?longas?-c?6?wlan0

就是說，不再--ivs過濾，而是全部捕獲，這樣的話，捕獲的數據包將不再是longas-01.ivs，而是longas-01.cap，請大家注意。命令如下圖20所示。

圖20

同樣地，在破解的時候，對象也變成了longas-*.cap。命令如下：

aircrack-ng?捕獲的cap文件

回車后如下圖21所示，一樣破解出了密碼。

總結

以上是生活随笔為你收集整理的Aircrack-ng破解WEP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。