WEP-WLAN-Hacking mit einem aktiven WLAN-Client

WEP ist ein veraltetes und unsicheres Verfahren, um WLANs zu verschlüsseln und WLAN-Clients zu authentifizieren. Zur Verschlüsselung und Authentifizierung dient ein WEP-Schlüssel, der im allgemeinen als WLAN-Passwort bezeichnet wird. Es handelt sich dabei um eine geheime Zeichenkette, die im WLAN-Access-Point hinterlegt ist und im WLAN-Client eingegeben werden muss. Das Passwort dient in dem Fall zur Authentifizierung. Auf das WLAN bekommt dann nur derjenige Zugriff, der das Passwort kennt.

Die Frage ist, wie kann man an das Passwort gelangen, ohne den Betreiber des WLANs zu fragen. Oder anders ausgedrückt, wie kann man ein fremdes WLAN nutzen, ohne dass man das Passwort kennt. Oder um noch konkreter zu werden, wie kann man ein WEP-gesichertes WLAN hacken?

Die Erkenntnis soll sein, festzustellen, wie schnell man den WEP-Schlüssel herausbekommen kann, wie unsicher ein WEP gesichertes WLAN ist und warum der Einsatz von WPA2 für die WLAN-Sicherheit zwingend notwendig ist.

Rechtlicher Hinweis zum WLAN-Hacking und WLAN-Pentesting

Um nicht in Konflikt mit dem Hacker-Paragrafen zu kommen, testen Sie die folgenden Schritte ausschließlich an ihrem eigenen WLAN, um dessen Sicherheitsstatus zu überprüfen.

Aufgabe

  1. Identifizieren und installieren Sie bei Bedarf die Tools, um ein WEP-gesichertes WLAN zu knacken.
  2. Knacken Sie den Schlüssel bzw. das Passwort eines mit WEP-gesicherten WLANs.

Tipps und Tricks zum WLAN-Hacking oder WLAN-Pentesting

Erfolgreiches WLAN-Hacking bzw. WLAN-Pentesting bedarf verschiedener Vorbereitungen und Voraussetzungen. Es ist davon auszugehen, dass die ersten Versuche ein WLAN zu hacken nicht auf Anhieb gelingen. Die Gründe können vielfältig sein. Folgende Tipps und Tricks können den Frust-Level so niedrig wie möglich halten.

Kali Linux ist eine spezielle Linux-Distribution für Hacker und Pentester. Hier sind die meisten Anwendungen und Tools bereits enthalten. Es geht natürlich auch ohne Kali Linux. Allerdings muss man dann die notwendige Software nachinstallieren.

Für das WLAN-Hacking und -Pentesting sind nicht alle WLAN-Adapter in gleicher Weise geeignet. Es empfiehlt sich einen WLAN-Adapter zu verwenden, der die Unterstützung für den Monitor Mode und Injections mitbringt.

Die folgende Anleitung/Lösung ist NICHT idiotensicher. Es handelt sich eher um ein Lösungsmuster, das nur bei einem bestimmten Szenario funktioniert. Die genaue Vorgehensweise kann von der hier dargestellten abweichen. Der Grund ist, die verwendeten Verfahren und Tools entwickeln sich weiter.
Die einzelnen Kommandos können nicht, wie in anderen Lösungen, einfach nacheinander in die Kommandozeile kopiert werden. Einige Kommandos müssen mit Werten und Parametern versehen werden, die abhängig vom Angriffsziel voneinander abweichen. Die einzelnen Lösungsschritte erwarten, dass man mitdenkt und sich die notwendigen Werte beschaffen (Information Gathering) und die richtigen Parameter auswählen kann.

Die folgenden Schritte können schnell unübersichtlich werden. Vor allem, weil manche Schritte parallel laufen müssen. Es empfiehlt sich mit mehreren Terminal-Reitern oder Fenstern zu arbeiten. Am besten verwendet man für jeden Schritt ein eigenes. Dann kann man immer überprüfen welchen Status die einzelnen Schritte haben.

Voraussetzungen: Konfiguration des WLAN-Access-Points

Wir benötigen einen WLAN-Access-Point zum Testen, in dem man im Wireless-Setup "WEP" mit "Shared Key Authentication" einrichtet. Außerdem benötigen wir einen WLAN-Client (z. B. Smartphone oder Tablet), um sich mit dem WEP-WLAN zu verbinden.
Das heißt, dieser WLAN-Hack funktioniert nur, wenn wir einen aktiven WLAN-Client in diesem WLAN haben.

Ablauf eines WEP-WLAN-Hacks mit aktivem WLAN-Client

  1. Grundzustand herstellen und Monitor Mode einschalten
  2. WLAN mit WEP identifizieren (Information Gathering)
  3. Datenverkehr mit Airodump-ng aufzeichnen
  4. Fake-Datenverkehr durch eine ARP-Request-Replay-Attacke erzeugen (optional)
  5. Deauthentication-Attacke (optional)
  6. WEP-Schlüssel mit Aircrack-ng knacken

1. Schritt: Grundzustand herstellen und Monitor Mode einschalten

Im folgenden Ablauf werden Daten aufgezeichnet und in Dateien gespeichert. Eventuell wurden bereits in einem vorhergehenden WLAN-Hack diese Dateien erstellt. Sorgen Sie für einen sauberen Grundzustand, in dem Sie die alten Dateien löschen. Ansonsten kann es passieren, dass Sie unter Umständen versuchen mit alten oder falschen Daten das WLAN-Passwort zu knacken.

rm wepstream* && rm *.cap

Die folgenden Schritte setzen voraus, dass der verwendete WLAN-Adapter den Monitor Mode beherrscht. Wir verwenden in den folgenden Schritten den WLAN-Adapter mit der Bezeichnung "wlan1". Beachten Sie, dass die Interface-Bezeichnung in anderen Systemen eine andere Bezeichnung haben kann.

Monitor Mode einschalten:

ifconfig wlan1 down
iwconfig wlan1 mode monitor
ifconfig wlan1 up
iwconfig

Prüfen Sie, welche Interface-Bezeichnung das Monitor-Interface hat ("Mode:monitor").

2. Schritt: WLAN mit WEP identifizieren (Information Gathering)

Zuerst wollen wir herausfinden, welche WLAN-Netze sich in der näheren Umgebung befinden. Außerdem müssen wir verschiedene Informationen zum Angriffsziel in Erfahrung bringen. Man bezeichnet diesen Vorgang als Information Gathering.

airodump-ng wlan1

Dieses Kommando zeigt uns alle WLAN-Netze und WLAN-Clients in der näheren Umgebung an. Die Darstellung ist zweigeteilt. Im oberen Bereich werden alle WLAN-Access-Points tabellarisch aufgelistet, die unser WLAN-Adapter empfangen kann. Im unteren Bereich werden alle WLAN-Clients tabellarisch aufgelistet, deren Signale unser WLAN-Adapter empfangen kann.
Das Zielnetzwerk sollte mit WEP gesichert sein. Den entsprechenden Hinweis findet man in den Spalten ENC und CIPHER in der oberen Tabelle. Im Zielnetzwerk sollte ein Client angemeldet und aktiv sein. Das erkennt man in der unteren Tabelle an der Zuordnung einer MAC-Adresse zur BSSID des Zielnetzwerks.

Für die weiteren Schritte sind in erster Linie WLAN-Netze interessant, die als Verschlüsselung in der Spalte ENC (Encryption) die Angabe "WEP" stehen haben. Wenn ja, dann kann man mit dem WLAN-Hacking des mit WEP gesicherten Netzwerks fortfahren.

Mit Strg + C kann man Airodump-ng beenden, wenn man das Angriffsziel identifiziert hat.

Hinweis: Gelegentlich kommt es vor, dass man beim Einsatz eines WLAN-Adapters mit der Eigenschaft "High Gain" so viele WLANs empfängt, dass die Tabelle in der die Zuordnung der Clients zu den Access-Points in den nicht sichtbaren Bereich rutscht. Wenn das der Fall ist, dann kann man das Information Gathering auch auf einen Kanal (1 bis 13) oder auf die BSSID (MAC-Adresse des Access-Points) einschränken.

airodump-ng wlan1 -c {CH}

oder

airodump-ng wlan1 --bssid {BSSID}

Wir notieren wir uns für das WEP-WLAN-Hacking folgende Angaben:

  • MAC-Adresse des Access-Points (BSSID)
  • Kanal des WLANs (CH, Channel)
  • WLAN-Name (ESSID)
  • MAC-Adresse eines Clients (CLIENT)

Hinweis: Dieser WLAN-Hack gegen ein mit WEP gesichertes WLAN funktioniert nur, wenn in dem betreffenen WLAN mindestens ein Client angemeldet und aktiv ist. Wenn nicht, dann muss man so lange warten, bis ein Client aktiv wird, oder man muss eine andere Hacking-Methode wählen.

3. Schritt: Datenverkehr mit Airodump-ng aufzeichnen

Ein mit WEP gesichertes WLAN sendet mit jedem WLAN-Paket einen Initialisierungsvektor (IV). Der IV stellt den Schwachpunkt der WEP-Verschlüsselung dar, weil er irgendwann wiederholt wird. In dem Moment, wo er wiederholt wird, besteht die Möglichkeit den WEP-Schlüssel zu errechnen. Die Idee ist also, WLAN-Pakete so lange aufzuzeichnen, bis sich der IV wiederholt.

Arbeiten Sie ab jetzt mit mehreren Terminal-Reitern oder -Fenstern. Starten Sie die folgende Aufzeichnung in einem eigenen Terminal.

airodump-ng wlan1 -c {CH} --bssid {BSSID} -w wepstream

Jetzt wird der Datenverkehr des WLANs in mehreren Dateien, die mit "wepstream" beginnen aufgezeichnet. Bei der Aufzeichnung geht es uns um den Initialisierungsvektor (IV), der sich irgendwann wiederholt. Da wir nicht wissen wann er sich wiederholt, lassen wir die Aufzeichnung so lange laufen, bis wir in einem späteren Schritt das Passwort geknackt haben.

Interessant ist hier der Data-Zähler in der oberen Tabelle (Spalte #Data). Das sind die Anzahl der aufgezeichneten Datenpakete, seit dem die Aufzeichnung gestartet wurde.
Im Prinzip kann man ab 15.000 Paketen das Kommando zum Knacken des WEP-Schlüssels ausführen. Wie viele Pakete gebraucht werden hängt unter anderem von der Schlüssellänge ab. Unter Umständen muss man 100.000 Pakete oder sogar mehr aufzeichnen.
Wann die Anzahl der notwendigen Pakete erreicht ist, hängt vom Datenverkehr in diesem WLAN ab. Klar ist, wenn sich in dem WLAN kein Client befindet, der für Traffic sorgt, dann können wir lange darauf warten, dass sich der Initialisierungsvektor wiederholt.
Aus diesem Grund hilft man dadurch nach, dass man Fake-Datenverkehr produziert. Auf diese Weise kann man das Hacken eines mit WEP gesicherten WLANs beschleunigen. Das setzt jedoch voraus, dass sich in dem WLAN ein aktiver Client befindet.

4. Schritt: Fake-Datenverkehr durch eine ARP-Request-Replay-Attacke erzeugen (optional)

Damit sich der Initialisierungsvektor irgendwann wiederholt, müssen wir genug Datenverkehr aufzeichnen. Damit wir in einem Netzwerk mit wenig Traffic nicht so lange warten müssen, produzieren wir Fake-Datenverkehr. Wir starten dazu eine ARP-Request-Replay-Attacke, die ARP-Pakete abfängt und zurücksendet.

Während die Aufzeichnung mit Airodump-ng weiterläuft, starten Sie die ARP-Request-Replay-Attacke in einem eigenen Terminal.

aireplay-ng wlan1 -3 -b {BSSID} -h {CLIENT}

Mit diesem Kommando zeichnen wir einen ARP-Request auf und reproduzieren ihn. Dadurch generieren wir künstlichen Traffic. Diesen Traffic brauchen wir, damit der Initialisierungsvektor (IV) möglichst schnell wiederholt wird.
Der Parameter "-b" kennzeichnet die MAC-Adresse des Access Points (BSSID). Der Parameter "-h" kennzeichnet die MAC-Adresse eines angemeldeten WLAN-Clients, den wir beim Information Gathering ermittelt haben.

Hinweis: Lassen Sie aireplay-ng so lange laufen, bis Sie das WLAN-Passwort in einem späteren Schritt geknackt haben.

Die ARP-Request-Replay-Attacke wird nur dann funktionieren, wenn Aireplay-ng einen ARP-Request findet und reproduzieren kann. Die Antwort auf einen ARP-Request wird ein ARP-Replay sein, was den IV-Zähler nach oben treibt.

Aufmerksame Leser werden jetzt die Frage stellen, wie es sein kann, dass es möglich ist, ein ARP-Paket aufzuzeichnen und erneut zu senden, wenn die Datenpakete mit WEP verschlüsselt sind? Die Antwort ist einfach und beleuchtet auch warum diese Attacke eventuell nicht funktioniert. Ja, es ist richtig, das ARP-Paket ist verschlüsselt. Das heißt, Aireplay-ng kann das ARP-Paket nicht an seinem Inhalt erkennen. Aber diese Pakete haben eine bestimmte Länge. Und anhand der Paketlänge wird dann auf das ARP-Paket geschlossen. Aber, es kann auch sein, dass ein Nicht-ARP-Paket fälschlicherweise als ARP-Paket erkannt wird. Das wird nicht oft vorkommen, aber man muss damit rechnen.

Die Frage ist, wie kann man eine erfolgreiche ARP-Request-Replay-Attacke von einer nicht erfolgreichen unterscheiden?
Wenn ein Datenpaket, egal ob korrekt oder irrtümlich, erkannt wird, dann flutet die ARP-Request-Attacke das WLAN mit bis zu 500 pps (Pakets per Second). Das ist der Moment, wo man den Data-Zähler der Aufzeichnung mit Airodump-ng kontrollieren sollte. Wenn die Data- bzw. Packet-Zähler gemeinsam schnell hochzählen, dann hat es funktioniert. Wenn nur der aireplay-Packet-Zähler schnell hochzählt, dann wird kein ARP-Paket gesendet. In dem Fall müsste man aireplay-ng mit Strg + C abbrechen und erneut starten.

Die ARP-Request-Attacke funktioniert nur, wenn aireplay-ng ein ARP-Paket erkannt hat. Im Regelfall ist das dann der Fall, wenn sich ein Client mit dem Access Point verbindet und daraufhin ARP-Pakete sendet. Das Problem ist, dass man auf eine solche Authentication unter Umständen lange warten muss. Man muss also Geduld mitbringen. Oder man führt eine Deauthentication-Attacke durch. Im Regelfall wird sich ein betroffener Client daraufhin automatisch eine Authentication durchführen und dann ARP-Pakete senden.

Auf diese Weise kann man das Hacken des mit WEP gesicherten WLANs beschleunigen.

5. Schritt: Deauthentication-Attacke (optional)

Die Deauthentication-Attacke hat den Zweck, allen oder dem betreffenden Client ein oder mehrere Deauthentication-Pakete zu schicken. Der oder die Clients werden sich daraufhin abmelden und in der Regel versuchen sich erneut anzumelden. In dem Prozess wird ein ARP-Request gesendet, der aufgezeichnet und erneut gesendet wird (ARP-Request-Replay-Attacke).

Gezielte Deauthentication-Attacke gegen einen vorhandenen Client:

aireplay-ng wlan1 --deauth 1 -a {BSSID} -c {CLIENT}

Damit die Deauthentication-Attacke funktioniert, muss sich der betreffende Client im WLAN befinden. Sobald er sich nicht mehr in Reichweite des WLANs befindet, funktioniert auch die Deauthentication-Attacke nicht.

Deauthentication-Attacke gegen alle Clients:

aireplay-ng wlan1 --deauth 3 -a {BSSID}

Die gezielte Deauthentication ist natürlich effektiver. Es kann aber sein, dass diesen Client das Deauthentication-Paket nicht erreicht. Weil er sich vielleicht außerhalb einer stabilen Reichweite befindet. In dem Fall muss man ein wenig nachhelfen, in dem man die Deauthentication an alle und mehrmals nacheinander wiederholt.

Bei der Deauthentication-Attacke müssen Sie Geduld mitbringen und unter Umständen mehrere Versuche unternehmen. Allerdings bringt es nichts in dieser Phase des Angriffs in blinden Aktionismus zu verfallen. Die Deauthentication und erneute Anmeldung des Clients kann ein paar Sekunden dauern. Das hängt vom Client und auch vom Access Point ab. Manche können sehr träge sein.

Ob die Deauthentication-Attacke zusammen mit ARP-Request-Attacke erfolgreich war und Fake-Datenverkehr produziert, kann man im Terminal mit der Traffic-Aufzeichnung mit Airodump-ng erkennen. Hier steigt der "#Data"-Zähler innerhalb weniger Sekunden stark an. In relativ kurzer Zeit wird er 10.000 bis 15.000 Pakete aufzeichnen. Das ist dann der richtige Zeitpunkt, um das Kommando zum Knacken des WEP-Schlüssels auszuführen.

6. Schritt: WEP-Schlüssel mit Aircrack-ng knacken

Wenn der Data-Zähler von Airodump-ng auf ca. 15.000 Pakete angestiegen ist, dann kann man sich an das Knacken des WEP-Schlüssels machen. Während Airodump-ng und Aireplay-ng weiterlaufen kann man in einem weiteren Terminal-Reiter oder -Fenster den WEP-Schlüssel knacken lassen.
Achten Sie bei der Verwendung des folgenden Kommandos, dass Sie nicht alte Aufzeichnungen erneut verwenden. Gegebenenfalls müssen Sie den Dateinamen explizit angeben.

aircrack-ng *.cap

Wenn Aircrack-ng erfolgreich war, dann wird es mit der Meldung "KEY FOUND!" beendet. Das WLAN-Passwort wird in der Regel in ASCII und Hex angezeigt.

Eine Fehlermeldung in der Form "Failed. Next try with 15000 IVs." braucht uns nicht irritieren. Das heißt nur, dass der Schlüssel noch nicht geknackt ist und auf weitere Daten gewartet wird. Aircrack-ng macht selbständig weiter. Wenn Aircrack-ng mit einem Speicherfehler abbrechen sollte, dann einfach nochmal starten. In der Regel ist das nur ein temporäres Problem.

Erst wenn genug Daten gesammelt wurden, kann Aircrack-ng den WEP-Schlüssel knacken. Meistens werden zwischen 15.000 und 100.000 Pakete benötigt. Das ist davon abhängig, wann sich der Initialisierungsvektor (IV) wiederholt. Und das hängt unter anderem davon ab, welche Länge der WEP-Schlüssel hat. Für einen WEP-Schlüssel mit 5 Stellen brauchen wir vielleicht nur 15.000 Pakete. Bei einem WEP-Schlüssel mit 13 Stellen müssen wir bis zu 100.000 Pakete sammeln. Das Knacken selber dauert nur wenige Sekunden. Wenn alles geklappt hat meldet Aircrack-ng "KEY FOUND!"

Anschließend können Sie die noch laufenden Prozesse mit Airodump-ng und Aireplay-ng jeweils mit Strg + C beenden.

Ende

Wenn man die Dateien mit den Aufzeichnungen nicht mehr braucht, dann sollte man die Dateien löschen. Die Dateien befinden sich im aktuellen Verzeichnis, sofern man kein Verzeichniswechsel durchgeführt hat.

ls

Löschen mit

rm wepstream* && rm *.cap

Wie lange dauert das Knacken des WEP-Schlüssels?

Das hängt hauptsächlich davon ab, wie lang und komplex der WEP-Schlüssel bzw. das WEP-Passwort gewählt wurde. Nehmen wir an, das Passwort hat nur eine Länge von 5 Zeichen, dann ist es innerhalb weniger Sekunden geknackt. Es kommt aber noch darauf an, wie schnell wie viel Datenverkehr aufgezeichnet werden kann. Bei einem hinreichend langen und komplexen Passwort wird man in der Regel bis zu 100.000 Datenpakete aufzeichnen müssen, bis Aircrack-ng den WEP-Schlüssel geknackt hat.
Mit etwas Übung und dem Wissen, welche Kommandos und Parameter nacheinander eingegeben werden müssen, dauert der ganze Vorgang, bis der WEP-Schlüssel geknackt ist, etwa 5 bis 10 Minuten. Wenn das Passwort sehr kurz ist, dann geht es sogar noch schneller.

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!