WPA/WPA2-WLAN-Hacking mit Airodump-ng

WPA bzw. WPA2 (Wi-Fi Protected Access) ist eine Kombination aus Authentifizierung und Verschlüsselung, um ein WLAN sicher zu betreiben. Die Authentifizierung erfolgt in der Regel mit einem Passwort, dem WLAN-Passwort, um den Zugriff durch unberechtigte Personen zu verhindern. Beim WLAN-Hacking gilt es, dieses Passwort herauszufinden.

Grundsätzlich gibt es beim WLAN-Hacking keine Unterschiede zwischen WPA- und WPA2-gesicherte WLANs. Die Authentifizierungsmethode ist im Prinzip identisch. Der Unterschied liegt im Verschlüsselungsverfahren, welche für die typischen Hacking-Methoden auf WPA-gesicherte WLANs unwichtig ist.

Angriff gegen den WPA/WPA2-PSK-Handshake

Der typische Angriff gegen ein WPA/WPA2-gesichertes WLAN ist eine Wörterbuch-Attacke. Der WPA-Handshake findet zwischen Access Point und WLAN-Client statt, wenn der WLAN-Client sich mit dem WLAN verbinden will. Dieser WPA-Handshake muss aufgezeichnet werden. Anschließend wird mit Hilfe einem Wörterbuch (Wordlist) das WLAN-Passwort erraten. Ein erfolgreicher Angriff steht und fällt mit einer guten Wordlist, in der das WLAN-Passwort enthalten sein muss. Darin besteht die eigentliche Schwierigkeit bei einem WPA/WPA2-WLAN-Hack.

Ein Angriff mit einer Wörterbuchattacke auf den WPA/WPA2-Handshake ist in der Praxis nur selten von Erfolg gekrönt. Das knacken des WLAN-Passworts setzt voraus, dass der Betreiber des WLANs naiv genug ist, ein Passwort zu wählen, das in einem Wörterbuch steht.

Rechtlicher Hinweis zum WLAN-Hacking und WLAN-Pentesting

Um nicht in Konflikt mit dem Hacker-Paragrafen zu kommen, testen Sie die folgenden Schritte ausschließlich an ihrem eigenen WLAN, um dessen Sicherheitsstatus zu überprüfen.

Aufgabe

  1. Zeichnen Sie den WPA/WPA2-Handshake zwischen einem Access Point und einem WLAN-Client auf.
  2. Knacken Sie das WLAN-Passwort mit Hilfe einer geeigneten Wordlist.

Tipps und Tricks zum WLAN-Hacking oder WLAN-Pentesting

Erfolgreiches WLAN-Hacking bzw. WLAN-Pentesting bedarf verschiedener Vorbereitungen und Voraussetzungen. Es ist davon auszugehen, dass die ersten Versuche ein WLAN zu hacken nicht auf Anhieb gelingen. Die Gründe können vielfältig sein. Folgende Tipps und Tricks können den Frust-Level so niedrig wie möglich halten.

Kali Linux ist eine spezielle Linux-Distribution für Hacker und Pentester. Hier sind die meisten Anwendungen und Tools bereits enthalten. Es geht natürlich auch ohne Kali Linux. Allerdings muss man dann die notwendige Software nachinstallieren.

Für das WLAN-Hacking und -Pentesting sind nicht alle WLAN-Adapter in gleicher Weise geeignet. Es empfiehlt sich einen WLAN-Adapter zu verwenden, der die Unterstützung für den Monitor Mode und Injections mitbringt.

Die folgende Anleitung/Lösung ist NICHT idiotensicher. Es handelt sich eher um ein Lösungsmuster, das nur bei einem bestimmten Szenario funktioniert. Die genaue Vorgehensweise kann von der hier dargestellten abweichen. Der Grund ist, die verwendeten Verfahren und Tools entwickeln sich weiter.
Die einzelnen Kommandos können nicht, wie in anderen Lösungen, einfach nacheinander in die Kommandozeile kopiert werden. Einige Kommandos müssen mit Werten und Parametern versehen werden, die abhängig vom Angriffsziel voneinander abweichen. Die einzelnen Lösungsschritte erwarten, dass man mitdenkt und sich die notwendigen Werte beschaffen (Information Gathering) und die richtigen Parameter auswählen kann.

Die folgenden Schritte können schnell unübersichtlich werden. Vor allem, weil manche Schritte parallel laufen müssen. Es empfiehlt sich mit mehreren Terminal-Reitern oder Fenstern zu arbeiten. Am besten verwendet man für jeden Schritt ein eigenes. Dann kann man immer überprüfen welchen Status die einzelnen Schritte haben.

Voraussetzungen: Konfiguration des WLAN-Access-Points

Wir benötigen einen WLAN-Access-Point zum Testen, in dem man im Wireless-Setup "WPA", "WPA2" oder "WPA/WPA2" mit einem Passwort eingerichtet hat. Außerdem muss man sicherstellen, dass sich in diesem WLAN ein aktiver WLAN-Client befindet (bzw. assoziiert ist).

Ablauf eines WPA/WPA2-WLAN-Hacks

  1. Wordlist erstellen oder besorgen
  2. Grundzustand herstellen und Monitor Mode einschalten
  3. WLAN mit WPA/WPA2 identifizieren (Information Gathering)
  4. Datenverkehr mit Airodump-ng aufzeichnen
  5. Deauthentication-Attacke mit Aireplay-ng (optional)
  6. WPA-Passwort mit Hilfe der Wordlist herausfinden

1. Schritt: Wordlist erstellen oder besorgen

Bevor wir loslegen, müssen wir eine Wordlist erstellen. Es gibt dazu verschiedene Möglichkeiten. Die eine ist, wir erstellen eine eigene. Die einfachere Möglichkeit ist, sich eine fertige Liste irgendwo herunterzuladen.
Bei der Wordlist handelt es sich um eine Text-Datei in der in jeder Zeile ein Passwort im Klartext steht.
Der einfachste Weg an eine solche Wordlist zu kommen ist mit Google nach "password wordlist" zu suchen. Die Auswahl ist riesig.

Hinweis: Wenn Sie keine Wordlist haben, dann brauchen Sie hier gar nicht weitermachen. Der Angriff funktioniert NICHT ohne diese Liste.

2. Schritt: Grundzustand herstellen und Monitor Mode einschalten

Im folgenden Ablauf werden Daten aufgezeichnet und in Dateien gespeichert. Eventuell wurden bereits in einem vorhergehenden WLAN-Hack diese Dateien erstellt. Sorgen Sie für einen sauberen Grundzustand, in dem Sie die alten Dateien löschen. Ansonsten kann es passieren, dass Sie unter Umständen versuchen mit alten oder falschen Daten das WLAN-Passwort zu knacken.

rm wpastream* && rm *.cap

Die folgenden Schritte setzen voraus, dass der verwendete WLAN-Adapter den Monitor Mode beherrscht. Beachten Sie, dass die Interface-Bezeichnung (z. B. "wlan1") in anderen Systemen eine andere Bezeichnung haben kann.

Monitor Mode einschalten:

ifconfig wlan1 down
iwconfig wlan1 mode monitor
ifconfig wlan1 up
iwconfig

Prüfen Sie, welche Interface-Bezeichnung das Monitor-Interface hat ("Mode:monitor").

3. Schritt: WLAN mit WPA/WPA2 identifizieren (Information Gathering)

Zuerst müssen wir herausfinden, welche WLAN-Netze sich in der näheren Umgebung befinden. Außerdem müssen wir verschiedene Informationen zum Angriffsziel in Erfahrung bringen. Man bezeichnet diesen Vorgang als Information Gathering.

airodump-ng wlan1

Dieses Kommando zeigt uns alle WLAN-Netze und WLAN-Clients in der näheren Umgebung an. Die Darstellung ist zweigeteilt. Im oberen Bereich werden alle WLAN-Access-Points tabellarisch aufgelistet, die unser WLAN-Adapter empfangen kann. Im unteren Bereich werden alle WLAN-Clients tabellarisch aufgelistet, deren Signale unser WLAN-Adapter empfangen kann.

Für die weiteren Schritte sind in erster Linie WLAN-Netze interessant, die als Verschlüsselung in der Spalte ENC (Encryption) die Angabe "WPA" stehen haben. Außerdem sollte im Zielnetzwerk ein Client angemeldet und aktiv sein. Das erkennt man in der unteren Tabelle an der Zuordnung einer MAC-Adresse (Station) zur BSSID des Zielnetzwerks.

Mit Strg + C kann man Airodump-ng beenden, wenn man das Angriffsziel identifiziert hat.

Wir notieren wir uns für das WPA/WPA2-WLAN-Hacking folgende Angaben:

  • MAC-Adresse des Access-Points (BSSID)
  • Kanal des WLANs (CH, Channel)
  • MAC-Adresse eines Clients (CLIENT)

Hinweis: Dieser WLAN-Hack gegen ein mit WPA-gesichertes WLAN funktioniert nur, wenn in dem betreffenen WLAN mindestens ein WLAN-Client angemeldet und aktiv ist. Wenn nicht, dann muss man so lange warten, bis ein Client aktiv wird, oder man muss eine andere Hacking-Methode wählen.

4. Schritt: Datenverkehr mit Airodump-ng aufzeichnen

Für diesen WLAN-Hack benötigen wir die 4 Pakete des PSK-Handshakes der WPA/WPA2-Authentifizierung. Dazu müssen wir die Aufzeichnung des WLAN-Datenverkehrs vornehmen.

Arbeiten Sie ab jetzt mit mehreren Terminal-Reitern oder -Fenstern. Starten Sie die folgende Aufzeichnung in einem eigenen Terminal.

airodump-ng wlan1 -c {CH} --bssid {BSSID} -w wpastream

Zu beachten sind die Parameter "-c" für den Kanal (CH, Channel) und "--bssid" für die MAC-Adresse des Access Points (BSSID).

Jetzt wird der Datenverkehr in der mehreren Dateien mit der Bezeichnung "wpastream" aufgezeichnet. Dabei geht es uns aber nur um den WPA/WPA2-Handshake. Wenn einer aufgezeichnet wurde, dann erscheint rechts oben die Meldung: "WPA handshake". Aber, es muss ein erfolgreicher Handshake gewesen sein. Wenn ein Client ein falsches Passwort verwendet hat, dann haben wir einen fehlerhaften Handshake aufgezeichnet. Wenn wir uns sicher sind, dass wir einen erfolgreichen Handshake haben, dann können wir Airodump-ng mit Strg + C beenden.

Unter Umständen kann es sehr lange dauern, bis ein WPA-Handshake aufgezeichnet wird. Der erfolgt auch nur dann, wenn ein WLAN-Client eine Authentifizierung vornimmt. Darauf muss man warten oder man nimmt selber aktiv eine Deauthentifizierung vor, um eine erneute Authentifizierung zu erzwingen.

5. Schritt: Deauthentication-Attacke mit Aireplay-ng (optional)

Eine Deauthentication-Attacke ist immer dann erforderlich, wenn das Warten auf den WPA/WPA2-Handshake zu lange dauert. Eine erfolgreiche Deauthentication-Attacke setzt aber voraus, dass sich in dem betreffenden WLAN ein aktiver WLAN-Client befindet, den man deauthentifizieren kann, um ihn zu einer erneute Authentifizierung zu bringen. Entweder automatisch oder durch seinen Nutzer.

Gezielte Deauthentication-Attacke gegen einen vorhandenen WLAN-Client:

aireplay-ng wlan1 --deauth 1 -a {BSSID} -c {CLIENT}

Deauthentication-Attacke gegen alle Clients:

aireplay-ng wlan1 --deauth 3 -a {BSSID}

Die gezielte Deauthentication ist natürlich effektiver. Es kann aber sein, dass diesen Client das Deauthentication-Paket nicht erreicht. Weil er sich vielleicht außerhalb der Reichweite befindet. In dem Fall muss man ein wenig nachhelfen, in dem man die Deauthentication an alle sendet und mehrmals nacheinander wiederholt.

Bei der Deauthentication-Attacke müssen Sie Geduld mitbringen und unter Umständen mehrere Versuche unternehmen. Allerdings bringt es nichts in dieser Phase des Angriffs in blinden Aktionismus zu verfallen. Die Deauthentication und erneute Anmeldung des Clients kann ein paar Sekunden dauern. Das hängt vom Client und auch vom Access Point ab. Manche können sehr träge sein.
Unter Umständen ist die Sendeleistung des eigenen WLAN-Adapters oder die Eingangsempfindlichkeit des oder der WLAN-Clients nicht hoch genug und damit die Entfernung zu den Clients zu gering. Dann erreicht die Deauthentication die Clients nicht.

Ob die Deauthentication-Attacke erfolgreich war, kann man an der Datenaufzeichnung von Airodump-ng erkennen. Wenn dort rechts oben "WPA handshake" erscheint, dann hat man einen Handshake erfolgreich aufgezeichnet.

In dem Fall kann man Airodump-ng mit Strg + C beenden und im nächsten Schritt das Kommando zum Knacken des WPA-Schlüssels auszuführen.

6. Schritt: WPA-Passwort mit Hilfe der Wordlist herausfinden

In diesem Schritt geht es darum, mittels des aufgezeichneten WPA/WPA2-Handshakes und einer Wordlist, das WLAN-Passwort herauszufinden. Das "WLAN-Passwort knacken" ist in diesem Fall eigentlich zuviel gesagt. Im Prinzip werden nur der Reihe nach alle Wörter aus einer Liste ausprobiert, bis eines der Wörter mit dem richtigen WLAN-Passwort übereinstimmt.

aircrack-ng -w wordlist.txt wpastream.cap

Aircrack-ng wird mit zwei Parameter gestartet. Der erste Parameter "-w" kennzeichnet die Datei, in der mögliche Passwörter enthalten sind und der zweite Parameter ist die Datei, in der der WPA-Handshake enthalten ist.

Nachdem man Aircrack-ng gestartet hat, kann einige Zeit vergehen. Je nachdem wie schnell der Rechner ist und wie lang die Wordlist ist. Und natürlich ob und an welcher Stelle das Passwort in der Datei steht.

Geduld ist gefragt.

Probleme beim WPA/WPA2-Hacking

Das WPA/WPA2-Hacking basiert darauf, den WPA-Handshake aufzuzeichnen und mit einem Passwort-Wörterbuch das richtige WLAN-Passwort automatisiert zu erraten. Dabei stolpert man gerne mal über mehrere Probleme.
Ein sehr häufiges Problem hat mit der räumlichen Nähe zum Angriffsziel zu tun. In der Regel wird man nur passiv den Datenverkehr aufzeichnen. Allerdings muss man nahe genug sein, um die Funksignale mit dem WPA-Handshake zwischen Access Point und Client empfangen zu können. Ein WLAN-Adapter mit einer hohen Eingangsempfindlichkeit (High Gain) kann hier eine große Hilfe sein.
Selbiges betrifft den Fall, wenn in dem betreffenen WLAN nur wenig Clients aktiv sind und deshalb kein WPA-Handshake zeitnahe stattfindet. Dann kann man per Deauthentication-Attacke nachhelfen. Doch dazu muss man entweder nahe genug sein, damit die Clients die Deauthentication bekommen oder man benötigt einen WLAN-Adapter mit einer hohen Sendeleistung.

Der schwerwiegendste Knackpunkt ist allerdings die Wörterbuch-Datei (Wordlist). Sie muss das Passwort enthalten, mit dem das WLAN gesichert ist. Ist das verwendete Passwort nicht in der Wörterbuch-Datei enthalten, dann gelingt auch der WPA/WPA2-Hack nicht.

Erweiterung: WPS-WLAN-Hacking

Bevor Sie ein WPA-gesichertes WLAN mit einer Wordlist hacken, prüfen Sie, ob das WLAN die Authentifizierung per WPS zulässt. Denn das Passwort eines WPA-gesicherten WLANs bekommen Sie mit der Wörterbuch-Attacke nur heraus, wenn das Passwort in dem Wörterbuch (Wordlist) drinsteht. Wenn Sie Pech haben, dann ist das WLAN-Passwort einigermaßen komplex. Mit einfachen Mitteln ist dem nicht beizukommen.
Wenn jetzt das betreffende WLAN zusätzlich die Authentifizierung per WPS zulässt, dann lohnt sich viel eher eine Brute-Force-Attacke auf den WPS-Pin. Den bekommt man unter günstigen Bedingungen schneller heraus, als einen WPA-Schlüssel.

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!