2.2 深入理解Aircrack-ng套装

2.2.1 关于airdecap-ng

该工具主要用于对加密无线数据报文的解码。当安全人员或者黑客们获得了无线网络加密密钥，就可以使用airdecap-ng来对事先捕获的加密无线数据报文进行解密。操作方法很简单，具体使用步骤如下。

步骤1：抓取无线数据报文。

可以先使用airodump-ng、Wireshark等工具来对无线网络进行抓包，如图2-11所示，正常情况下，若当前无线网络启用了WEP或者WPA-PSK加密，则使用Wireshark打开捕获的无线数据报文，就会看到在“Protocol”即协议一列中全都显示为IEEE802.11，这表示当前都为无线网络数据，其内容直接是不可读取的。

步骤2：对加密无线数据报文进行解密。

当安全人员或者攻击者破解出WEP或者WPA密码后，就可以使用airdecap-ng来实现对原本加密的无线数据进行解密，具体命令如下：

参数解释：

● -l，不移除802.11 Header部分，为防止加密后的文件不可读，一般都会选择该项；

● -e，目标AP的SSID，这里就是zerone；

● -p，后跟WPA密码，此处就要输入之前破解出的密码，这里就是longaslast。

最后跟上需要解密的无线数据报文，按Enter键后即可看到如图2-12所示的内容，需要注意的是，图中显示的使用WPA加密的数据包有25046个，但解开的无线报文仅有1558个，这是因为在使用airodump-ng捕获无线数据包时，会将工作在某一频道的全部无线网络数据抓取，而我们使用“longaslast”这样的WPA密钥进行解包时，当然只有使用该密钥的无线网络数据可以被解，其他则无效了。

对于WEP加密的无线数据包来说，在破解出WEP密码后，具体参数如下：

参数解释：

● -w，后跟WEP密码，注意应使用16进制码，如图2-13所示，使用aircrack-ng破解WEP时都会同时给出16进制码，这里就是30:1C:4E:83:77。

按Enter键后就可以看到如图2-13所示内容，和前面对WPA加密的无线数据报文解码一样，稍等片刻后，就可以得到解密后的无线数据报文。注意，解密后的无线数据包会在名称后面自动加入dec的标示并保存在当前目录下，dec表示decrypted即解密的意思，也就是说若加密无线数据包文件为longas-01.cap，解密后的文件将为longas-01-dec.cap。

如图2-14所示为使用aircrack-ng破解WEP后的截图，可以看到在“KEY FOUND”后的提示即为16进制的WEP密码。

步骤3：打开并分析解密的无线数据报文。

接下来，就可以使用Wireshark这样的工具来打开解密的无线数据报文，如图2-15所示，在Wireshark中打开已经解密的无线数据包，这里就是longas-01-dec.cap。

打开后就会看到如图2-16所示的内容，可以看到相对于图2-15所示，现在的数据包中已经可以很明确地显示出不同的数据包类型，不但方便分析其中的具体内容，同时也能够清晰地显示出每一个报文的内容。

2.2.2 关于ivstools

ivstools主要用于处理ivs文件，可以通过该工具来将多个ivs文件合并，或者将cap文件转换成ivs。下面就其主要功能分别讲述。

1.合并ivs文件

很多时候，由于种种原因，在对同一个无线网络捕获ivs的时候会保存了多个ivs文件，虽然我们可以使用文件名后面加星号的方式来导入aircrack-ng破解，但对于分析来说具体命令如下：

参数解释：

● --merge，这个参数可以将后跟的多个ivs文件合并为一个ivs，在本命令中就是将1.ivs、2.ivs和3.ivs合并成out.ivs。具体如图2-17所示。

如图2-17所示，对比之前的3个ivs文件和合并后的out.ivs文件，可以看到out.ivs大小即为前者的集合。

2.转换cap文件为ivs文件

在进行无线安全审计或破解测试的时候，尤其是针对WEP加密进行破解抓包的时候，可以看到在IVS数值达到数万时，一般捕获的cap文件也会占据很大的磁盘空间。那么，如何从cap文件中将包含IVS的内容提取出来，具体命令如下：

参数解释：

● --convert，这个参数用于将cap文件中的ivs提取出来并保存为一个ivs文件。在上述命令中就是将out.cap文件转成out.ivs文件。这样不但可以提高破解效率，也可以减少cap文件占据的空间。具体如图2-18所示。

在图2-18中可以看到在将cap文件中的ivs提取出来后，生成的test.ivs文件明显小了很多，在linux下只需要使用ls这样简单的命令就可以对比出其中的差别。具体如下：

2.2.3 关于airdriver-ng

经常有朋友会到处询问Aircrack-ng无线攻击套装对无线网卡芯片的支持性，但却常常找不到具体的答案。其实在Aircrack-ng中已经内置了对芯片支持查询的工具，就是airdriver-ng。该工具可以很简单地显示出Aircrack-ng所支持的全部芯片列表。基本命令很简单，具体如下。

参数解释：

● supported，即显示支持的无线网卡芯片列表。

按Enter键后就可以看到如图2-19所示的界面，清楚地列出了全部支持的无线网卡芯片列表。比如明确显示出对笔记本电脑自带的Intel Pro Wirless 3945 A/B/G/N无线芯片的支持。

若需要查看具体某一个驱动的详细内容，可以输入如下命令。

参数解释：

● detail，即序号，如图2-19所示，该序号可以通过supported参数查询。这里就输入32来查看对ralink芯片的支持。

按Enter键后就可以看到如图2-20所示的内容，可以看到当前的ralink驱动载入情况为未安装，具体驱动版本为2.2.3，但并未整合在内核中，主要支持USB接口的采用rt2X00及rt73芯片的无线网卡。

由于airdriver-ng可以列出Aircrack-ng套装支持的无线网卡芯片，但并不表示当前这些芯片驱动已经安装，所以若需要查看已经安装的无线芯片驱动，则可以使用如下命令进行查询。

参数解释：

● installed，表示已经安装的。

按Enter键后就可以看到如图2-21所示的内容，列举出了当前系统中已经安装的全部无线驱动。

为了方便大家参考，下面将BackTrack4 Linux下默认已经安装的全部无线驱动列举如下。

2.2.4 关于airdecloak-ng

相信大家在使用aircrack-ng对已经捕获的WEP或者WPA加密的无线数据包进行破解时，应该遇到过如图2-22所示的情况。可以看到当前捕获的无线数据包中，包含了大量不同SSID的无线网络数据，其中不泛一些仅仅包含极少量IVs的无线网络。而对于一些安全分析人员及黑客来说，这些多余的数据不但增加了数据包的体积，而且会干扰正常的判断，所以需要将捕获的无线数据报文中无用的数据过滤掉。

Aircrack-ng套装中包含了一款可用于在分析无线数据报文时过滤出指定无线网络的工具airdecloak-ng，该工具可以将指定的无线网络数据报文直接过滤出来，具体命令如下：

参数解释：

● --bssid，后跟需要过滤的目标AP的BSSID，简单来说就是AP的MAC地址；这里就是图2-22中所示的SSID名为“TP-Link_843006”的无线AP的MAC地址；

● --filter，过滤选项，后跟具体参数；

● -i，后跟捕获的无线报文；这里就是zerone-01.cap。

按Enter键后可以看到如图2-23所示的内容，在经过数秒钟的等待后，airdeclock-ng就会将符合过滤要求的数据报文全部提取出来，并保存为一个后缀名为filtered的pcap文件。

完成之后，当前目录下会出现名为zerone-01-filtered.pcap和zerone-01-cloaked.pcap的两个文件。其中，名为zerone-01-filtered.pcap的文件就是过滤后的无线数据包文件，该文件中只包含了事先指定的bssid涉及的全部无线报文。

如图2-24所示，在使用aircrack-ng对zerone-01-filtered.pcap进行破解后，可以看到只剩下指定的SSID为“TP-LINK_843006”的无线网络数据。和图2-23对比，现在过滤后的文件更适合分析、破解等工作。