E – airdecloak-ng

Airdecloak-ng
Description
Airdecloak-ng est un outil qui supprime le wep, le masquage d’un fichier pcap. Certains WIPS (en fait un) activement « empêcher » craquage clé WEP en insérant des paillettes (wep faux cadres) dans l’air pour tromper aircrack-ng. Dans certains cas rares, voilage échoue et que la clé peut être récupéré sans enlever cette balle. Dans les cas où la clé ne peut pas être récupérée, utilisez cet outil pour filtrer les paillettes.
Le programme fonctionne en lisant le fichier d’entrée et de sélection des paquets dans un réseau spécifique. Chaque paquet sélectionné est mis dans une liste et classé (état par défaut est « inconnu »). Ensuite, les filtres sont appliqués (dans l’ordre spécifié par l’utilisateur) sur cette liste. Ils vont changer le statut des paquets (inconnu, uncloaked, potentiellement masqué ou masqué). L’ordre des filtres est vraiment important, étant donné que chaque filtre fondera son analyse entre autres sur l’état des paquets et des ordres différents donnera des résultats différents.
Condition importante : Le fichier pcap doit avoir tous les paquets (y compris les balises et tous les autres paquets « inutiles ») pour l’analyse (et si possible, des en-têtes de prisme/radiotap).
Utilisation
Airdecloak-ng 1.0 rc1 r1193 – (C) 2008 Thomas d’Otreppe

http://www.aircrack-ng.org

usage: airdecloak-ng [options]
options:
Mandatory:
-i : Input capture file
–ssid : ESSID of the network to filter
or
–bssid : BSSID of the network to filter
Optional:
–filters : Apply filters (separated by a comma). Filters:
signal: Try to filter based on signal.
duplicate_sn: Remove all duplicate sequence numbers
for both the AP and the client.
duplicate_sn_ap: Remove duplicate sequence number for
the AP only.
duplicate_sn_client: Remove duplicate sequence number for the
client only.
consecutive_sn: Filter based on the fact that IV should
be consecutive (only for AP).
duplicate_iv: Remove all duplicate IV.
signal_dup_consec_sn: Use signal (if available), duplicate and
consecutive sequence number (filtering is
much more precise than using all these
filters one by one).
–null-packets : Assume that null packets can be cloaked.
–disable-base_filter : Do not apply base filter.
–drop-frag : Drop fragmented packets
–help : Displays this usage screen
Options
Option Explication
-i < fichier d'entrée > Chemin vers le fichier de capture.
–BSSID BSSID du réseau à filtrer.
–SSID ESSID du réseau à filtrer (pas encore implémenté).
–Filters Appliquer des filtres de thèses dans l’ordre. Ils doivent être séparés par un «, ».
Exemple: –filters signal, consecutive_sn
–NULL-paquets Supposons que les paquets null peuvent être masquées (pas encore implémenté).
–Disable-base_filter Désactiver le filtre de la base.
–Drop-frag Rejeter tous les paquets fragmentés. Dans la plupart des réseaux, la fragmentation n’est pas nécessaire.
Tests
Capture du trafic
Détruire tous les VAP (nécessaire seulement pour madwifi-ng) :
airmon-ng stop ath0

Créer une interface en mode monitor (dans ce cas sur le canal 6) :
airmon-ng start wifi0 6

Capturer tout le trafic :
tcpdump -n 65535 -i ath0 -w wep_cloaking_full_speed_dl.pcap
Confirmant la clé
Il y a des paquets WEP 422879 et 248010 d’entre eux peuvent être déchiffrés avec cette clé.
Essayant de casser la clé WEP
aircrack-ng wep_cloaking_full_speed_dl.pcap -b 00:12:BF:12:32:29 -K -n 64 -d 1F:1F:1F
Fissuration ne fonctionne pas sur ce fichier directement même si le début de la clé est donné (-d).

Si la clé entière est donnée, fissuration, il montre que 56 % est déchiffré correctement et ainsi 44 % de ces paquets de données sont masquées :
Filtrage de paquets wep masqué
Filtre de base et le signaler sur ce fichier, les filtres sont appliqués. Il va créer 2 fichiers :
• .pcap filtré wep_cloaking_full_speed_dl : contient les paquets tout filtrés d’un réseau spécifique.
• .pcap nappées de wep_cloaking_full_speed_dl : contient les paquets tout masqués de ce réseau.
Le fichier de capture filtrée de craquage
Maintenant il fissuration works (PTW ne fonctionne pas sur celui-ci car il contient seulement des données, presque aucun ARP).
Avis « déchiffré correctement : 81 % « signifie que pas tous les paquets peuvent être déchiffrées avec la clé, il n’y a toujours masqués paquets (mais pas assez pour éviter la fissuration).
Résumé
Dans le fichier filtré, il y a encore des paquets de données WEP 293986 et 246212 peuvent être déchiffrées avec la clé (qui rend les paquets WEP masqué 47756 encore dans le fichier) :

Dans le fichier contenant les paquets masqués, seuls quelques paquets plus voilés sont présents : 1798 (environ 1,4 % d’erreur).

Pour résumer, avec un seul filtre simple, environ 62 % des paquets masqués ont été supprimés (126ko masqué dans le fichier masqué paquets + 48 K dans le fichier filtré) et il a aidé le fichier de craquage, mais nous ferons mieux avec les autres filtres et les filtres combinés.
Le masquage de WEP
WEP cloaking fonctionne par « insertion d’images dans l’air que l’attaquant pense est réel, et cela l’endommagerait l’analyse statistique de l’attaquant. (…) L’attaquant ne peut pas faire la différence entre les produit trames de réseau sans fil et l’usurpation d’identité générée (…). »
WEP cloaking vise à prévenir la fissuration de la clé, ne pas déchiffrer le trafic, et étant donné que rien n’est parfait, il échoue parfois.
Comment ça marche ?
Pour chaque trame de données envoyée par l’AP et les clients (trames de diffusion même), un cadre masqué est envoyé par un capteur.
La seule différence entre le cadre masqué et démasqué est :
• Numéro de séquence : il utilise un nombre de séquences différentes que son équivalent démasqué (mais proche de celle plus voilé ; parfois les mêmes).
• Paramètres WEP
• Contenu de la charge utile
• Signal si le capteur n’est pas au même endroit que le point d’accès

Les autres attributs, y compris la taille du cadre est exactement la même chose.
Inconvénients
Ici, ce qui a été observé lors de l’analyse de la technologie :
• Depuis cela presque chaque paquet a sa version camouflée dans l’air, la vitesse du réseau est réduite : les tests montrent que sur un réseau 11Mbit avec cloaking activé, la bande passante maximale est environ 300 Ko/s (et environ 600-700 kb/s sans).
• N’empêche pas déchiffrer le trafic si vous avez la clé, juste éviter la fissuration de la clé.
• Filtrage de paquets masqués n’est pas toujours nécessaire pour casser la clé.
• Il faut environ 60 secondes pour un capteur à « voir » l’access point et donc pendant les 60 premières secondes de l’activité de l’AP, cadres ne sont pas masquées.
Filtrage de trames wep masqué
Les éléments suivants peuvent servir de filtre trames wep masqué :
• Numéro de séquence (SN)
• Cadres démasqués
• Chaque trame de données est masqué
• Qualité du signal
• Vecteur d’initialisation (IV)
• Taille du cadre
• Autres attributs de l’image
• Calendrier
• Ordre d’arrivée
Remarque : que l’analyse ne devrait pas reposer sur l’ordre de la trame reçue ; l’arrivée dépend de plusieurs facteurs : votre emplacement par rapport à la sonde envoie le cadre masqué, l’AP, l’emplacement du capteur par rapport à l’AP et quelques autres choses.
Numéro de séquence
Le numéro de séquence est un nombre de 12 bits utilisé dans les cadres de gestion et de données. Dans presque tous les cas, ce nombre est séquentiel pour chaque trame envoyée dans un seul sens ; chaque nœud (AP ou clients) a son propre compteur pour le numéro de séquence.
Cadres démasqués
Les cadres de gestion et de contrôle ne sont pas masquées, et il semble que seulement les trames de données avec le sous-type 0 sont masquées.
Chaque trame de données est masqué
Chaque trame de données est masqué, mais ne comptez pas sur le fait que vous obtiendrez tous les ou le capteur Voir tous (il peut manquer un peu en fonction de son emplacement).
Qualité du signal
Si l’AP et le capteur ne sont pas rapprochées, la qualité du signal peut servir à filtrer les trames masqués.
Vecteur d’initialisation
Il s’agit d’un nombre de 24 bits. Dans un fichier de capture, la probabilité que deux cadres ont le même IV est vraiment faible ; vous pouvez supprimer en toute sécurité de tous les cadres qui ont le même IV.
Autres attributs de l’image
Le cadre masqué possède les mêmes attributs que « son » frame démasqués tels :
• La taille du cadre masqué est identique à la démasqués
• Les attributs FromDS et ToDS sont identiques (logique étant donné que le numéro de séquence est le truc principal pour poisson d’outils de décodage).
Taille du cadre
Chaque cadre masqué a la même taille que son une démasqués. Ne filtrez pas seulement ces renseignements parce que, sur un réseau occupé, beaucoup de cadres auront la même taille. Et même sur les réseaux de trafic faible, parfois AP envoie des trames qui ont toujours la même taille dans l’air (par exemple, les trames IGMP).
Calendrier
Le temps nécessaire pour recevoir une trame masquée ont pu être analysé ; par rapport à son équivalent plus voilé, étant donné que le capteur reçoit la trame réelle alors forger un cadre masqué wep avec les informations du vrai.
Pour ce faire, 2 paquets sont nécessaires (un réel et un masqué) et il faut s’assurer que le statut de « cloaking » de ces deux paquets est exact (et que le paquet masqué est forgé contre le real celui que nous avons).

Remarque : Le temps entre chaque image enregistrée peut ne pas être exacts.
Ordre d’arrivée
Comme le filtre de « timing », 2 cadres (démasqués et son équivalent masqué) permettaient de savoir celui masqué. Quand le masqué est trouvé, le cadre masqué peut être mis au rebut et chaque 2 images (dans la même direction, ce qui signifie qu’il doit être fait une fois pour le AP et une fois pour chaque client).
Mais, comme le « timing », il n’est pas le meilleur filtre
Exemples réels
Cette partie affiche vrai wep masquage des fichiers de capture et analyser les différents cas possibles. Le filtrage se fait en combinant un ou plusieurs éléments (filtres) décrits ci-dessus.
Le filtrage est possible dans la plupart des cas avec le signal et le temps (ou ordre d’arrivée, mais c’est le pire choix) mais ils doivent être utilisés en dernier recours.
Note 2: D’autres exemples seront ajoutés.
Réseau de faible trafic
Dans cet exemple, un ordinateur est ping à un autre. Cette capture est filtrée (il y a beaucoup de réseaux mais qu’un seul réseau « a » cloaking wep).
Sur cette photo, il y a 2 paquets de données réelles (paquet 7509 et 7538), les 2 autres sont masquées :
Il y a quelques possibilités pour filtrer les paquets masqué pour 7509/7510:-les deux paquets puissent être annulées car elles ont le même numéro de séquence. -utiliser le signal/calendrier pour trouver le paquet masqué.
Paquet 7538/7539, il sera plus facile, il est facile de savoir qui on est masqué, le phare a les mêmes numéros de séquence comme paquet 7539 ; 7539 est masqué :
Réseau de trafic élevé
Dans ce réseau, le filtrage est plus difficile car il y a beaucoup de paquets entre chaque balise. Paquets masqués peuvent encore être filtrés en vérifiant le numéro de séquence de balise (c’est ce que filtre de base).
Dans ce cas, aucun paquet n’utilise le numéro de séquence de balises… :
… pour les autres moyens doivent être utilisés. Beacon sera toujours utilisé, mais d’une autre manière : 1319 étant un numéro de séquence valide, la précédente (1318) et les numéros de séquence (1320) prochaines de paquets valides sont connus. Il devient plus compliqué, ces numéro de séquence sont utilisés plus d’une fois;)
Puisqu’on sait que wep cloaking copie les attributs (y compris la taille de la trame) de son cadre réel équivalent, wep masqué les paquets peuvent être facilement trouvés :
Position Démasqués Masqué Taille d’image Raison
Avant la balise Paquet #399244
(SN: 1318) Paquet #399246
(SN: 1320) 1684 octets Arrivés avant la balise de détresse et 1318 est donc un SN valide. Masqué ont les mêmes attributs qu’uncloaked ; les 2 paquets possédant la même SN n’ont pas les mêmes attributs
Avant la balise Paquet #399241
(SN: 1317) Paquet #399243
(SN: 1318) 1684 octets SN 1318 est déjà utilisé par un paquet valide (voir la ligne précédente) et donc le SN valide avant 1318 est 1317 (et aussi, ces 2 sachets ont les mêmes attributs ; ce qui n’est pas le cas des 2 paquets ayant SN 1318)
Après la balise Paquet #399249 Paquet #399251
(SN: 1320) 1400 octets
(SN: 1320) Dans ce cas, il n’y a aucun bon moyen de distinguer le vrai du faux et donc il y a 2 choix : ignorer ou utiliser le filtre de signal. Qui n’est pas visible sur la photo, mais le premier
Après la balise Paquet #399253
(SN: 1321) Paquet #399255
(SN: 1323) 1684 octets Numéro de séquence après 1320 (SN précédemment valide) est 1321, pas 1323
Mise en œuvre
Le programme utilise les statuts de paquets suivants :
• inconnu: ne sais pas si c’est un vrai paquet ou un masqué (pas encore analysées).
• démasqués: sûr qu’il ne soit pas masqué
• potentiellement masqué: il peut être un véritable paquet, mais elle pourrait également être masqué, plus amples vérifications devront être effectuées pour confirmer un cas ou l’autre
• masqué: sûr que ce paquet est masqué
L’astuce principale de dissimulation de wep est qu’il utilise des numéros de séquence proche de celle réelle et donc le point central de notre analyse sera de numéros de séquence.
Il a aussi quelques filtres qui peuvent être combinés dans des ordres différents (ce qui donneront des résultats différents).

Voici comment cela fonctionne :
• Charger toutes les données d’un réseau spécifique (bssid) dans une liste
• Marque toutes les données images comme « inconnu » statut et tous les autres (cadres de gestion) uncloaked.
• Appliquer le filtre de base (voir ci-dessous pour plus de détails).
• Appliquer tous les (autres que de base) filtres dans l’ordre demandé par l’utilisateur (voir ci-dessous pour plus de détails).
• Marque de tous les paquets de statut « inconnu » comme « démasqués »
• Marquer tous les cadres « potentiellement masqués » comme « masqué »
• Écrire tous les cadres « démasqués » dans le fichier d’one capture
• Écrire tous les cadres « masqués » dans un autre fichier de capture
Remarque : Il est vraiment important d’avoir tous les cadres (et si possible les en-têtes radiotap/prism) dans le fichier de capture, y compris les cadres « inutile » pour craquer comme balises,…
Filtres
Actuellement seulement Base filtre et filtre de Signal sont mis en œuvre.
Filtre de base
Étant donné que tous les cadres de gestion ne sont pas masqué, tout autre cadre (quelques paquets à l’extérieur, dans la même direction) en utilisant le même numéro de séquence est masqué.
signal
Essayer de filtrer le signal sur la base (pour les paquets venant de l’AP). En-têtes de prisme ou de radiotap sont nécessaires pour ce filtre fonctionne.
• Calculer le signal moyen pour toutes les balises et sonder les trames de réponse
• Cadres qui auront le même signal exact seront marqués comme démasqués
• Les cadres qui ont l’état potentiellement masqué et ont un signal avec une différence absolue de plus de 2 seront marqués comme masqué (abs (moyenne signal – signal de frame actuel) > 2)).
• Les cadres qui ont le statut inconnu et qui ont un signal avec une différence absolue de plus de 3 seront marqués comme masqué (abs (moyenne signal – signal de frame actuel) > 3)).
Remarque : L’implémentation actuelle est basée sur la qualité du signal madwifi-ng. Note 2: Calcul de la moyenne de signal sera améliorée. Note 3: Filtrage des cadres de client seront ajoutés.
duplicate_sn_ap
Supprimer le numéro de séquence en double pour le point d’accès uniquement (qui sont à proximité de l’autre).
duplicate_sn_client
Supprimer le numéro de séquence en double pour le client uniquement (qui sont à proximité de l’autre).
duplicate_sn
Supprimer tous les numéros de séquence en double pour l’AP et le client (qui sont proches les uns des autres).
Fondamentalement, il applique les filtres duplicate_sn_ap et duplicate_sn_client
consecutive_sn
Filtrer le fait que IV doit être consécutive (uniquement pour les AP).
duplicate_iv
Ce filtre supprime tous les cadres qui ont le même IV.
signal_dup_consec_sn
Filtre à l’aide du signal (si disponible), numéro de séquence en double et consécutifs ; Il utilise tous ces filtres dans l’un, et ainsi le filtrage est beaucoup plus précis (nombre de cas peut être couverts pour savoir si les paquets sont masquées ou non).
FAQ
Je ne peux pas casser la clé WEP, signifie il y a dissimulation de wep ?
Si ce n’est un réseau domestique, puis aucune. Le matériel est trop cher pour une personne (c’est moins cher d’acheter du nouveau matériel qui prend en charge WPA).
Vérifiez également la question suivante.
Comment puis-je savoir si les données que j’ai provient d’un réseau masqué wep ?
Si vous avez les symptômes suivants, il y a quelques chances que le réseau a dissimulation de wep :
• Le réseau utilise WEP
• Ne peut pas décoder la clé ou « Déchiffré correctement » pourcentage est d’environ 50 à 65 %.
• À l’aide de cet outil de sortie paquets masqués.
• Certaines entreprises annoncés sur le web qu’ils ont acheté le masquage de wep. Dans ce cas, google est votre ami:).
En-têtes de PPI sont pris en charge ?
Pas encore, mais ils le feront.
Pourquoi KoreK est utilisé au lieu de PTW ?
Seulement quelques centaines de paquets dans ce fichier de capture peuvent être utilisés pour PTW et qui n’était pas suffisant. Voyez suivant entrée pour plus de détails.
Liens
• DEFCON 16, déplaçant l’accent de la sécurité WiFi : diapositives, les conférences et les Questions et les réponses (seront téléchargés)
• DEFCON 15, l’empereur n’a aucune Cape : Conférence – Questions / réponses
• Joshua Wright Blog
• Liste Wifisec postale : sécurité sans fil faibles Perpetuating – archive officielle de la liste de diffusion
Merci
Merci à Alex Hernandez aka alt3kx de sybsecurity.com pour le matériel.
airdecloak-ng.txt • Dernière modification : 2009/09/26 22:01 par darkaudax

Laisser un commentaire