WEP-WLAN-Hacking ohne aktiven WLAN-Client

WEP ist ein altes und unsicheres Verfahren zur Authentifizieren von WLAN-Clients und zum Verschlüsseln des WLAN-Datenverkehrs. Die Schwäche von WEP ist der Initialisierungsvektor (IV), der sich nach einer größeren Anzahl übertragener Datenpakete wiederholt. Die übliche Vorgehensweise, um ein WEP-WLAN zu hacken ist, Datenverkehr aufzuzeichnen und die Wiederholung des IVs zu nutzen, um den WEP-Schlüssel zu knacken.

Zusätzlich kann man den Hack beschleunigen, in dem man für zusätzlichen Datenverkehr in dem WLAN sorgt. Dann erfolgt die Wiederholung des IVs schneller. Das gelingt aber nur, wenn in dem betreffenden WLAN ein Client aktiv ist, dem man die notwendigen Daten entlocken kann. Was aber ist, wenn in dem WLAN kein Client aktiv ist. Also definitiv kein Datenverkehr stattfindet? Dann muss man zu anderen Mitteln greifen.

Die folgenden Schritte führen einen WLAN-Hack durch, der ohne einen aktiven WLAN-Client auskommt. Die auszuführenden Schritte sind umfangreicher und trickreicher, als bei der üblichen Vorgehensweise. Die Stolpersteine und Probleme, die dabei auftreten können, sind vielfältig. Der Angriff wird in den seltensten Fällen auf Anhieb gelingen. Und auch nur dann, wenn beste Voraussetzungen gegeben sind.

Dieser WLAN-Hack funktioniert aber nur dann, wenn WEP mit "Open Authentication" konfiguriert ist. Sobald WEP mit "Shared Key Authentication" konfiguriert ist, ist man wieder auf einen aktiven WLAN-Client angewiesen, der sich in dem WLAN erfolgreich authentifiziert.

Hinweis: Verschiedene Angriffe auf WEP benötigen eine bestimmte Reaktion des Access Points bzw. Datenpakete von anderen WLAN-Clients, die dupliziert werden können. Beispielsweise hofft man darauf, dass der Access Point Traffic erzeugt, den man für den weiteren Angriff nutzen kann.
Nun ist es so, dass die Hersteller von Access Points auch nicht blöd sind und für solche Angriffe vorgesorgt haben, was dazu führt, dass der hier dargestellt Angriff in der Regel nicht funktioniert.

Rechtlicher Hinweis zum WLAN-Hacking und WLAN-Pentesting

Um nicht in Konflikt mit dem Hacker-Paragrafen zu kommen, testen Sie die folgenden Schritte ausschließlich an ihrem eigenen WLAN, um dessen Sicherheitsstatus zu überprüfen.

Aufgabe

  1. Identifizieren und installieren Sie bei Bedarf die Tools, um ein WEP-gesichertes WLAN zu knacken.
  2. Knacken Sie den Schlüssel bzw. das Passwort eines mit WEP-gesicherten WLANs.

Tipps und Tricks

Ein WLAN zu hacken ist nicht ganz so einfach. Es müssen verschiedene Voraussetzungen stimmen. Wenn nicht ist der Frustpegel sehr hoch. Da sich die hier verwendeten Tools mit der Zeit weiterentwickeln, kann es sein, dass die eine oder andere Bildschirmausgabe variiert.

Voraussetzung: Konfiguration des WLAN-Access-Points

Wir benötigen einen WLAN-Access-Point zum Testen, in dem man im Wireless-Setup "WEP" mit "Open Authentication" einrichtet. Außerdem benötigen wir irgendeinen WLAN-Client (z. B. Smartphone oder Tablet), um später eine Authentication zu provozieren.
Wenn der Access Point mit WEP und "Shared Key Authentication" konfiguriert ist, dann funktioniert dieser WLAN-Hack nicht.

Ablauf eines WEP-WLAN-Hacks ohne aktiven WLAN-Client

  1. Grundzustand herstellen und Monitor Mode einschalten
  2. WLAN mit WEP identifizieren (Information Gathering)
  3. MAC-Adresse ändern (optional)
  4. WLAN-Adapter auf einen Kanal festlegen
  5. Fake-Authentication mit Aireplay-ng
  6. Fragmentierungs-Attacke mit Aireplay-ng
  7. ARP-Request mit Packetforge-ng erzeugen
  8. Datenverkehr mit Airodump-ng aufzeichnen
  9. Fake-Datenverkehr durch eine ARP-Request-Replay-Attacke erzeugen (optional)
  10. Deauthentication-Attacke (optional)
  11. WEP-Schlüssel mit Aircrack-ng knacken

1. Schritt: Grundzustand herstellen und Monitor Mode einschalten

Im folgenden Ablauf werden Daten aufgezeichnet und in Dateien gespeichert. Eventuell wurden bereits in einem vorhergehenden WLAN-Hack diese Dateien erstellt. Sorgen Sie für einen sauberen Grundzustand, in dem Sie die alten Dateien löschen. Ansonsten kann es passieren, dass Sie unter Umständen versuchen mit alten oder falschen Daten das WLAN-Passwort zu knacken.

rm wepstream* && rm *.cap

Die folgenden Schritte setzen voraus, dass der verwendete WLAN-Adapter den Monitor Mode beherrscht. Wir verwenden in den folgenden Schritten den WLAN-Adapter mit der Bezeichnung "wlan1". Beachten Sie, dass die Interface-Bezeichnung in anderen Systemen eine andere Bezeichnung haben kann.

Monitor Mode einschalten:

airmon-ng
airmon-ng start wlan1
airmon-ng

Prüfen Sie, welche Interface-Bezeichnung das Monitor-Interface hat.

Monitor Mode ausschalten (bedarfsweise):

airmon-ng stop wlan1mon

2. Schritt: WLAN mit WEP identifizieren (Information Gathering)

Zuerst wollen wir herausfinden, welche WLAN-Netze sich in der näheren Umgebung befinden. Außerdem müssen wir verschiedene Informationen zum Angriffsziel in Erfahrung bringen. Man bezeichnet diesen Vorgang als Information Gathering.

airodump-ng wlan1mon

Dieses Kommando zeigt uns alle WLAN-Netze und WLAN-Clients in der näheren Umgebung an. Die Darstellung ist zweigeteilt. Im oberen Bereich werden alle WLAN-Access-Points tabellarisch aufgelistet, die unser WLAN-Adapter empfangen kann. Im unteren Bereich werden alle WLAN-Clients tabellarisch aufgelistet, deren Signale unser WLAN-Adapter empfangen kann. Das Zielnetzwerk sollte mit WEP und "Opent Authentication" gesichert sein. Den entsprechenden Hinweis findet man in den Spalten ENC, Cipher und Auth in der oberen Tabelle. Im Zielnetzwerk sollte ein Client angemeldet und aktiv sein. Das erkennt man in der unteren Tabelle an der Zuordnung einer MAC-Adresse zur BSSID des Zielnetzwerks.

Für die weiteren Schritte sind nur die WLAN-Netze interessant, die als Verschlüsselung in der Spalte ENC (Encryption) und Cipher die Angabe "WEP" stehen haben. Sowie in der Spalte Auth die Kennzeichnung "OPN". Wenn ja, dann kann man mit dem WLAN-Hacking fortfahren.

Mit Strg + C kann man Airodump-ng beenden, wenn man das Angriffsziel identifiziert hat.

Folgende Informationen müssen für diesen WLAN-Hack ermittelt werden:

  • Kanal auf dem das Zielnetzwerks arbeitet (CH, Channel).
  • MAC-Adresses des Zielnetzwerks (BSSID).
  • WLAN-Name des Zielnetzwerks (ESSID).
  • MAC-Adresse eines zweiten, eigenen WLAN-Clients.

3. Schritt: MAC-Adresse ändern (optional)

In einem der folgenden Schritte ist vorgesehen mit einem eigenen WLAN-Client Datenpakete zu erzeugen und an das WLAN zu schicken (Injection). Dabei wird die MAC-Adresse des WLAN-Clients verwendet. Allerdings sollten Injections niemals mit der eigenen MAC-Adresse vorgenommen werden. Warum nicht? Wenn Sie erwischt werden, dann kann die MAC-Adresse als Beweis dienen, wenn der Angriff in irgendeiner Weise aufgezeichnet wurde. Deshalb empfiehlt es sich, die MAC-Adresse des betreffenden WLAN-Adapters vorher zu verändern.

Monitor Mode ausschalten:

airmon-ng stop wlan1mon

MAC-Adresse ändern:

ifconfig wlan1 down
ifconfig wlan1 hw ether AA:AA:AA:AA:AA:AA
ifconfig wlan1 up

Änderung der MAC-Adresse prüfen:

ifconfig

Die MAC-Adresse für das Interface "wlan1" muss "aa:aa:aa:aa:aa:aa" sein.

Hinweis: Die Änderung der MAC-Adresse ist temporär. Nach einem Neustart stellt sich die MAC-Adresse auf die alte wieder zurück.

4. Schritt: WLAN-Adapter auf einen Kanal festlegen

Sofern noch nicht geschehen, sollte der Monitor Mode ausgeschaltet werden:

airmon-ng stop wlan1mon

Danach schalten wir den Monitor Mode erneut ein und legen dabei den WLAN-Adapter auf den Kanal fest, auf dem unser Angriffsziel arbeitet.

airmon-ng
airmon-ng start wlan1 {CH}
airmon-ng

Wenn der Monitor Mode schon eingeschaltet ist, kann man das Interface wie folgt festlegen.

iwconfig wlan1mon channel {CH}

Die richtige Kanal-Nummer sollte beim Information Gathering ermittelt worden sein. Sie reicht von 1 bis 13.

5. Schritt: Fake-Authentication mit Aireplay-ng

Anschließend muss sich der Adapter mit dem AP verbinden, um eine Kommunikation zu ermöglichen.

aireplay-ng wlan1mon -1 100 -e "{ESSID}" -a {BSSID} -h AA:AA:AA:AA:AA:AA

Manche Access Points sind etwas wählerisch, was die Verbindungsversuche angeht und reagieren nicht ganz so wie wir uns das wünschen. In so einem Fall brauchen wir ein Kommando, das noch etwas ausgefeilter ist.

aireplay-ng wlan1mon -1 6000 -q 10 -o 1 -e "{ESSID}" -a {BSSID} -h AA:AA:AA:AA:AA:AA

Der Parameter "-1" kennzeichnet die Fake-Authentication und sorgt dafür, dass sich der WLAN-Adapter alle 6.000 Sekunden neu beim Access Point anmeldet und durch "-q" alle 10 Sekunden jeweils ein "Keep-Alive-Paket" (-o) sendet, damit die Verbindung bestehen bleibt, solange der Hack läuft. Die Parameter "-e" und "-a" geben die ESSID und BSSID an. Der Parameter "-h" beinhaltet die echte MAC-Adresse des eigenen WLAN-Clients oder dessen geänderte Adresse (AA:AA:AA:AA:AA:AA). Wenn man diesen Parameter weglässt, dann wird automatisch die MAC-Adresse des WLAN-Adapters verwendet.

Damit das Ganze gelingt muss sich ein WLAN-Client an diesem WLAN anmelden. Entweder warten man oder man provoziert diese Anmeldung mit einem zweiten WLAN-Adapter oder WLAN-Client. Die Authentication muss dabei nicht erfolgreich sein.
Die Fake-Authentication war erfolgreich, wenn das Kommando mit der Meldung "Association successful" zur Kommandoeingabe zurückkehrt.

Hinweis: Lassen Sie dieses Kommando in einem eigenen Terminal laufen, bis es sich erfolgreich beendet hat.

6. Schritt: Fragment Attack / Fragmentierungs-Attacke mit Aireplay-ng

Bei der Fragmentierungs-Attacke geht es darum, eine Datei zu bekommen, welche den WEP-Keystream enthält. Damit können die Pakete generiert werden, die für die spätere Injektion benötigt werden.

In einem eigenen Terminal-Reiter oder -Fenster führt man folgendes Kommando aus:

aireplay-ng wlan1mon -5 -b {BSSID} -h AA:AA:AA:AA:AA:AA

Der Parameter "-5" kennzeichnet die Fragmentierungs-Attacke. "-b" gibt die BSSID an. Mit "-h" gibt man die Quell-MAC-Adresse an, die in die Pakete eingesetzt wird. Die muss mit der MAC-Adresse identisch sein, die wir bei der Fake-Authenticaton verwendet haben. Man kann diesen Parameter auch weglassen. Dann wird die MAC-Adresse des WLAN-Adapters verwendet.

Jetzt brauchen wir Geduld. Irgendwann erscheint "Use this packet?" Das ist mit "y" zu bestätigen.
Wenn die Datei mit dem WEP-Keystream erzeugt wurde, erscheint abschließend folgende Meldung: "Now you can build a packet...".

7. Schritt: ARP-Request-Paket mit Packetforge-ng erzeugen

Normalerweise würden wir einen ARP-Request aufzeichnen und dann für die Injections verwenden. Da in diesem WLAN kein Datenverkehr stattfindet, müssen wir uns dieses Paket selber erzeugen.

packetforge-ng -0 -a {BSSID} -h AA:AA:AA:AA:AA:AA -k 255.255.255.255 -l 255.255.255.255 -w arpcap -y fragment

Die Ausgabe ist "wrote packet: arpcap".

8. Schritt: Datenverkehr mit Airodump-ng aufzeichnen

Jetzt starten wir die eigentliche Aufzeichnung des Datenverkehrs, wie wir es von anderen WEP-Hacks her kennen.

airodump-ng wlan1mon -c {CH} --bssid {BSSID} --ivs -w wepstream

Die Aufzeichnung wird auf den Kanal mit "-c", die BSSID mit "--bssid" und auf die Initialisierungsvektoren mit "--ivs" eingeschränkt. Dabei entsteht eine Datei, die mit "wepstream" anfängt.

Hinweis: Lassen Sie airodump-ng so lange weiterlaufen, bis Sie das Passwort geknackt haben.

9. Schritt: Fake-Datenverkehr mit Aireplay-ng erzeugen

Jetzt starten wir den Fake-Datenverkehr mit Aireplay-ng mit den Datenpaketen, die wir vorher mit Packetforge-ng erzeugt haben.

aireplay-ng wlan1mon -2 -r arpcap

Irgendwann erscheint "Use this packet?" Das ist mit "y" zu bestätigen.

10. Schritt: WEP-Schlüssel mit Aircrack-ng knacken

Wenn der Data-Zähler von Airodump-ng auf ca. 15.000 Pakete angestiegen ist, dann kann man sich an das Knacken des WEP-Schlüssels machen. Während Airodump-ng und Aireplay-ng weiterlaufen kann man in einem weiteren Terminal-Reiter oder -Fenster den WEP-Schlüssel knacken lassen. Achten Sie bei der Verwendung des folgenden Kommandos, dass Sie nicht alte Aufzeichnungen erneut verwenden. Gegebenenfalls müssen Sie den Dateinamen explizit angeben.

aircrack-ng -n 64 -b {BSSID} *.ivs
aircrack-ng -n 128 -b {BSSID} *.ivs

Was wir nicht wissen ist, welche Schlüssellänge für das WLAN-Schlüssel verwendet wird. Deshalb muss man Aircrack-ng versuchsweise mit unterschiedlichen Schlüssellängen (Parameter "-n") ausführen.
Die Schlüssellängen können 64/128/152/256/512 sein. Die gängigsten sind aber 64 und 128. Die sollte man auf alle Fälle zuerst testen.

Ist das Ergebnis "KEY FOUND!" mit dem WEP-Schlüssel, dann können Sie den Fake-Datenverkehr und die Aufzeichnung mit jeweils Strg + C beenden.

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!