描述
Airodump-ng是用來抓包的,尤其適合為破解WEP收集IVs(初始向量),再用這些IVs來破解密碼�。另外,如果我們的電腦連接有GPS定位裝置,那么airodump-ng則能夠定位到它所找到的接入點的位置坐標�����。airodump-ng也能將接入點和客戶端的信息寫入文件中�。
用法
在使用airodump-ng之前,我們可先用airmon-ng列出檢測到的無線接口����。另外,不建議同時使用Kismet和airodump-ng���。
usage:airodump-ng <options> <interface> [,<interface>,...]
Options:--ivs : Save only captured IVs
--gpsd : Use GPSd
--write <prefix> : Dump file prefix
-w : same as --write
--beacons : Record all beacons in dump file
--update <secs> : Display update delay in seconds
--showack : Prints ack/cts/rts statistics
-h : Hides known stations for --showack
-f <msecs> : Time in ms between hopping channels
--berlin <secs> : Time before removing the AP/client
from the screen when no more packetsare received (Default: 120 seconds)-r <file> : Read packets from that file
-x <msecs> : Active Scanning Simulation
--manufacturer : Display manufacturer from IEEE OUI list
--uptime : Display AP Uptime from Beacon Timestamp
--wps : Display WPS information (if any)
--output-format
<formats> : Output format. Possible values:pcap, ivs, csv, gps, kismet, netxmlShort format "-o"The option can be specified multiple times. In this case, each file formatspecified will be output. Only ivs or pcap can be used, not both. --ignore-negative-one : Removes the message that says
fixed channel <interface>: -1--write-interval
<seconds> : Output file(s) write interval in seconds
Filter options:--encrypt <suite> : Filter APs by cipher suite--netmask <netmask> : Filter APs by mask--bssid <bssid> : Filter APs by BSSID--essid <essid> : Filter APs by ESSID--essid-regex <regex> : Filter APs by ESSID using a regularexpression-a : Filter unassociated clientsBy default, airodump-ng hop on 2.4GHz channels.
You can make it capture on other/specific channel(s) by using:--channel <channels> : Capture on specific channels--band <abg> : Band on which airodump-ng should hop-C <frequencies> : Uses these frequencies in MHz to hop--cswitch <method> : Set channel switching method0 : FIFO (default)1 : Round Robin2 : Hop on last-s : same as --cswitch--help : Displays this usage screen
我們可以將 .cap或者 .dump文件轉化為 .ivs文件,或者將他們合并��。
用法指導
airodump-ng顯示的每一項分別表示什么意思?
airodump-ng會顯示出它所探測出的接入點,并且會顯示與之連接的客戶端(”stations”)��。下面給出一個例子:
CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR 00:14:6C:7A:41:81 34 100 57 14 1 9 11e WEP WEP bigbear 00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy BSSID STATION PWR Rate Lost Packets Probes00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 36-24 2 14(not associated) 00:14:A4:3F:8D:13 19 0-0 0 4 mossy 00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 36-36 0 500:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 54-54 0 99 teddy
其中:
數據項意義
| BSSID | 接入點的MAC地址,在客戶端部分,“(not associated)”表示客戶端沒有連接到任何接入點����。在這種沒有連接的狀態下,它一直會搜尋接入點 |
| PWR | 網卡反饋的信號水平,它的數值是驅動決定的,但是離接入點或基站越近,信號數值就會變得越大�����。如果接入點的PWR是-1,則表示驅動不支持信號水平;如果部分station的PWR是-1,則表示網卡能接收到接入點的數據包,但是卻超出了網卡的傳輸范圍�。這就意味著我們只能監聽到1/2的信息交流�。如果所有station都是-1,則表明驅動不支持顯示信號水平 |
| RXQ | 接收質量,用過去100秒內成功接收到的數據包的百分比表示 |
| Beacons | 接入點發出的公告報文的數量,每個接入點每秒大概發送10個公告包(以最低的速率1M),所以通常相距較遠時也能收集到它們 |
| Data | 捕捉到的數據包的數量(如果是WEP,則是不同IV的數量),包括數據廣播包 |
| /s | 過去10秒每秒接收到的數據包數量 |
| CH | 無線信道(從beacon包中得到),注意:即使固定了信道,有時也會捕捉到其他信道的數據包,這時由于無線電干擾造成的 |
| MB | 接入點支持的最大速度����。如果MB=11,就是802.1b,如果MB=22,就是802.1b+,更高的就是802.1g��。如上圖54后的小數點表示支持短前導碼,11后面的e表示該網絡支持QoS |
| ENC | 表示使用的加密算法�����。OPN表示沒有加密,“WEP?”表示不確定是WEP還是WPA/WPA2;WEP表示靜態或者動態的WEP,TKIP或者CCMP表示WPA/WPA2 |
| CIPHER | 檢測出的密碼體系,CCMP,WRAP,TKIP,WEP,WEP40和WEP104中的一種����。雖然不是必須的,但是TKIP通常用于WPA,CCMP常用于WPA2���。當鍵字索引大于0時,會顯示WEP40���。(40位時,索引可以是0-3;104位時,索引需為0) |
| AUTH | 使用的認證協議�。GMT(WPA/WPA2 使用單獨的認證服務器),SKA(WEP共享密鑰) ,PSK(WPA/WPA2 預共享密鑰),或者OPN(WEP開放認證) |
| ESSID | 無線網絡名稱����。也叫“SSID”,如果開啟SSID隱藏模式,則此項為空��。在這種情況下,airodump-ng會嘗試通過探測響應和關聯請求恢復SSID |
| STATION | 每一個已連接或者正嘗試連接用戶的MAC地址,還沒有連接上接入點的用戶的BSSID是“not associated” |
| Lost | 過去的10秒鐘丟失的數據包數量 |
| Packets | 用戶發出的數據包數量 |
| Probes | 用戶探測的無線網絡名稱,如果還沒有連接那么它是用戶正嘗試連接的網絡名稱 |
注:
RXQ補充
它測量的是所有的管理和數據幀,接收到的數據幀含有一串接入點添加的數字�。RXQ=100表示所有從接入點發出的數據包都被接收到,沒有丟失�����。我們假設現在RXQ=100,所有的10 beacons / s都能被接收,突然RXQ減小到90,beacons不變,這就說明接入點正在向一個我們不能監聽的用戶發送數據���。另一件可能的事情是,我們用一個11MB的網卡來監聽捕捉數據幀,并且與接入點距離很近,接入點被設置為54MBit�����。然后同樣地,RXQ變小了,這時我們需要知道至少有一個54MBit的用戶連接到了接入點���。最后,RXQ列只有在固定信道的時候才會顯示����。
Lost補充
此列表示丟失的來自用戶的數據包,丟失數據包可能的原因有:
- 我們不能同時發送和監聽,所以每次我們發送數據包的時候,都不能監聽到當時的數據包�����。
- 也可能因為太高的傳輸功率導致數據包丟失(可能靠接入點太近)
- 在當前的信道中有太多的噪聲(其他的接入點,微波爐,藍牙等)
為了減少丟失的數據包數量,可以改變我們的物理位置���、使用天線的類型�����、信道�、數據速率和注入速率��。
在捕獲數據的同時運行aircrack-ng
為了加速破解的時間,可在運行airodump-ng的同時運行aircrack-ng���。這樣就可以在捕捉數據的同時進行破解���。Aircrack-ng會周期性地讀取所捕獲的數據,所以會一直利用所能利用的新IVs����。
將數據捕獲限定在一個接入點
可以使用”– bssid”這個參數選項將數據捕捉限定在一個接入點���。后面跟所選接入點的MAC地址�。如:
airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture ath0
如何減少存儲數據所需磁盤空間
可以在命令中包含”–ivs”選項,如:
airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture - -ivs ath0
這樣就會只存儲IVs,而不是整個數據包�。注意在以下兩種情況下不適用:
抓取WPA/WPA2握手包用PTW攻擊WEP
如何選擇所有以相似BSSID開頭的接入點
我們假定現在想捕捉所有BSSID以 “00:1C:10”開頭的接入點�����。我們用”-d” / “–bssid”參數選項來表示我們需要匹配的BSSID,其他部分用0擴充;再用”-m”/”-netmask”參數選項來表示我們需要匹配的位置信息�����。如我們匹配以”00:1C:10”開頭的BSSID,就需要以下命令:
airodump-ng -d 00:1C:10:00:00:00 -m FF:FF:FF:00:00:00 wlan0
如何選定特定的信道或者單個信道
參數”–channel”(-c)可以讓我們來選擇單個或者特定的信道
選擇單個信道的例子:
airodump-ng -c 11 wlan0
對于在單個信道時需要重置的網卡:
airodump-ng -c 11,11 wlan0
選擇一些特定信道:
airodump-ng -c 1,6,11 wlan0
包含客戶端和接入點的文本文件
每次運行airodump-ng命令時,如果帶有寫IVs或者完整數據包的參數,一些文本文檔就會被創建并寫道磁盤中���。他們有相同的名稱和后綴”.csv”(CSV文件),”kismet.csv”(Kismet CSV文件),”kismet.netxml”(Kismet新核netxml文件)����。CSV文件包含有接入點和客戶端的詳細信息,可查看kismet官方文檔獲得詳細信息,下面給出一個例子:
BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, # beacons, # IV , LAN IP, ID-length, ESSID, Key00:1C:10:26:22:41, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 171, 301, 0, 0. 0. 0. 0, 5, zwang,00:1A:70:51:B5:71, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 175, 257, 1, 0. 0. 0. 0, 9, brucey123,00:09:5B:7C:AA:CA, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 11, 54, OPN , , , 189, 212, 0, 0. 0. 0. 0, 7, NETGEAR,Station MAC, First time seen, Last time seen, Power, # packets, BSSID, Probed ESSIDs00:1B:77:7F:67:94, 2007-10-07 12:49:43, 2007-10-07 12:49:43, 178, 3, (not associated) ,
常見問題及解決方法
沒有得到接入點或者客戶端
如果使用的是筆記本內置的無線網卡,需要確保它在bios中被打開或啟動了�����。如果網卡在使用airodump-ng之前沒有工作在managed模式,那就不是和airodump-ng相關的問題,需要先讓網卡正常工作起來����?����?梢詤⒁娺@篇關于madwifi-ng的文章��。盡管不是一種科學的方法,但有時候卸載和重新加載驅動會解決問題�����。需要使用rmmod和modprobe命令�����。
得到很少或得不到數據
- 確保使用了”-c”或者”–channel”選項來選定一個具體的信道,否則airodump會在信道之間跳變���。
- 保證離接入點足夠近
- 保證網卡已經用airmon-ng開啟了monitor模式
對于madwifi-ng驅動的網卡:
需要保證沒有其他VAPs在運行,已經存在一個managed模式下的VAP時,再創建一個新的monitor模式的VAP可能會產生問題,我們應該先停掉ath0,然后啟動wifi0:
airmon-ng stop ath0
airmon-ng start wifi0
或者:
wlanconfig ath0 destroy
wlanconfig ath create wlandev wifi0 wlanmode monitor
Airodump-ng在WEP和WPA之間變化
這樣的現象會發生是因為,網卡的驅動沒有丟棄損壞的數據包(其中含有無效的CRC)��。如果是ipw2100,那就沒救了,可以換一張網卡�����。如果是prism2,可以嘗試升級firmware���。
Airodump-ng在一段時間后停止捕捉數據
最常見的原因是一個連接manager正在系統運行,使網卡退出了monitor模式��。所以我們在使用aircrack-ng套裝中的命令之前,需要先停掉所有的連接manager����。通常,禁止掉就應該可以了,但有時不得不將其停掉,則使用airmon-ng命令來完成:
airmon-ng check kill
現在的linux發行版使用upstart命令,它會自動地重啟網絡管理員�����。同樣我們需要保證wpa_supplicant沒有運行�����。還有一個可能的原因是電腦由于節約電能而休眠,此時需要檢查電源選項���。atheros芯片的madwifi-ng驅動(r2830)有一個bug會導致當網卡處于信道跳變模式時,停止捕捉數據����。解決方法是使用r2834或以上版本的驅動�����。
隱藏的SSID”
wlan.fc.type_subtype == 0 (association request)wlan.fc.type_subtype == 4 (probe request)wlan.fc.type_subtype == 5 (probe response)
當改變注入速率時,airodump-ng停止工作
兩種解決方法:
在使用airodump-ng之前改變速率重啟airodump-ng
錯誤信息:”fixed channel”
如果airodump-ng顯示的第一行信息類似于下面:
CH 6 ][ Elapsed: 28 s ][ 2008-09-21 10:39 ][ fixed channel ath0: 1
這表明我們在一個固定的信道上使用airodump-ng,然而有其他的一些進程正在改變信道����。左邊的”CH 6”是airodump-ng啟動時所選的特定信道����。 右邊的”fixed channel ath0: 1”表示在啟動airodump-ng時,使用了ath0接口,然而接口現在工作在信道1(而不是信道6)上�����。信道的變化還有可能是信道掃描造成的��。
所以要解決這個問題,我們必須先要消除導致問題的原因,然后重啟airodump-ng��。以下是一些可能的原因,以及解決方法:
- “managed”模式上有多個接口,這些接口正在嘗試搜尋和連接接入點�����。在使用aircrack-ng套裝的時候,不要使用任何命令,進程,或者程序來連接接入點��。
- 其他的進程在改變信道�。比較常見的一個原因是網絡管理員����。我們可以使用airmon-ng check來檢查影響正常工作的進程,然后用kill或者killall命令來結束這些進程��。如:使用killall NetworkManager && killall NetworkManagerDispatcher來消除網絡管理員�����。
- 如果我們使用的是madwifi-ng驅動,并且又創建了不止ath0這一個接口,那么驅動則有可能自動掃描其他接口�����??梢酝ㄟ^停掉除ath0以外的其它接口來解決這個問題�。
- 我們同時在運行wpa_supplicant,則需停掉wpa_supplicant
- 在airodump-ng運行的同時,使用airmon-ng設定了信道
- 運行了不止一個airodump-ng,并且被設定在不一樣的信道
- 還可能是我們不能使用該信道,如一個只支持信道1-11的網卡,我們卻試圖將其設定到13
- 最后有一個bug也可能是導致問題的原因,參見[這里](http://trac.aircrack-ng.org/ticket/742
輸出文件在哪
運行了airodump-ng,但是卻找不到輸出文件了��。首先,保證自己使用的命令會創建文件(即:使用-w或者-write加上文件的前綴名)���。默認情況下,文件會在airodump-ng的運行目錄中���??稍谑褂胊irodumo-ng的時候,使用”pwd”顯示當前路徑��。記錄下這個路徑,以便隨后找到輸出文件�����?����?墒褂胏d命令,直接到這個目錄查看�。
當然也有方法將文件輸出到特定的目錄當中,那就是在文件前綴名前加上絕對路徑�。例如:我們假設現在需要將文件輸出到”/aircrack-ng/captures”中�����。那么首先我們需要創建這個文件夾(如果這個文件夾并不存在的話),然后使用的命令-w的部分應該是”-w /aircrack-ng/captures/< file prefix >”�����。
