Tài liệu hướng dẫn sử dụng aircrack-ng, một bộ công cụ chuyên dụng cho việc kiểm tra bảo mật mạng không dây và tấn công vào các hệ thống mã hóa WEP và WPA/WPA2-PSK. Nó giới thiệu các công cụ trong aircrack-ng như airemon-ng, airodump-ng, và aireplay-ng, cũng như các phương pháp crack khóa bằng kỹ thuật như arpreplay, chopchop và sử dụng từ điển. Tài liệu cũng cung cấp hướng dẫn chi tiết về cách tạo cơ sở dữ liệu để quét các khóa một cách hiệu quả hơn.

1. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Hướng dẫn sử dụng Aircrack-ng
Giới thiệu Aircrack-ng:
Aircrack-ng là bộ công cụ dùng để pentest mạng không dây, crack wep và dò khóa wpa/wpa2-
psk. Aircrack-ng có rất nhiều công cụ, trong tài liệu này mình chỉ giới thiệu vài công cụ đó là:
airemon-ng: dùng để chuyển card mạng của bạn từ manager sang monitor.
Cách dùng: airmon-ng <start|stop|check> <interface > [channel]
airodump-ng: dùng để bắt gói tin trong mạng wifi (lưu ý là card mạng của bạn phải ở chế độ monitor)
Cách dùng: airodump-ng <options> <interface>[,<interface>,...]
aireplay-ng: dùng để tạo ra gói tin inject gửi tới AP nhằm nhận các gói ARP phản hồi.
Cách dùng: aireplay-ng <options> <replay interface>
packetforge-ng: gửi các gói tin giả trên tới AP để nhận phản hồi.
Cách dùng: packetforge-ng <mode > <options>
airolib-ng: đây là công cụ rất hay giúp chúng ta tạo ra một cơ sở dữ liệu khóa đã được tính toán trước,
làm đơn giản hóa quá trình crack key của ta. Ưu, nhược điểm sẽ nói ở sau.
Aircrack-ng: đây là ngôi sao sáng của chúng ta :), crack wep hay dò khóa đều dùng nó.
Cách dùng: aircrack-ng [options] <capture file(s)>
Và nhiều công cụ khác...
Về các option của tools, bạn gõ man tên tool để biết chi tiết.

2. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Crack WEP key:
• Trước hết ta nói về các kỹ thuật crack WEP. Mở terminal lên và gõ aireplay-ng không có thông
số:
Ta thấy aireplay giới thiệu các kỹ thuật:
• fakeauth: dù crack wep kiểu nào thì trước tiên bạn cũng phải fake authentication nó đã :)
• arpreplay: kiểu tấn công cơ bản nhất, chúng ta cố gắng bắt đủ số lượng các gói tin arp cần thiết
cho việc crack.
• Chopchop: tạo gói tin inject đẩy tới Ap để nhận arp phản hồi. Đối với các AP đời mới, kiểu
chopchop dường như không có hiệu lực.
• Fragment: kiểu tấn công này cũng giống như chopchop nhưng nó tạo ra các gói tin phân mảnh
làm AP không biết đâu mà lần :). Kiểu này tất nhiên dễ thành công hơn, nhưng đòi hỏi kỹ năng
của bạn cũng phải cao hơn (nhưng Nhân nghe nói có airoscript có thể tự động hóa mọi công
đoạn, bạn chỉ việc đưa vào mac AP, chọn kiểu tấn công và... ngồi chờ :D).
• caffe-latte: kỹ thuật này dựa vào lỗi của windows, khi có query nó sẽ quăng ra các gói arp đã
được mã hóa, chỉ một ít, nhưng như thế cũng đủ. Kỹ thuật này cần 1,5 đến 6 tháng để thành
công.
• Test: để kiểm tra xem card mạng của bạn có khả năng inject hay không ?

3. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Demo crack WEP bằng kỹ thuật arprequest:
• Đầu tiên ta chuyển card mạng về chế độ monitor:
#airmon-ng start wlan0
câu lệnh trên sẽ tạo 1 interface ảo có tên mon0 (tùy vào hệ thống của bạn) – các bạn hãy thử tìm cách
tạo ra mon1 trên channel 11, mon2 lắng nge channel 13 thử xem ?
• Tiếp theo, chúng ta bật airodump-ng để xem xét tình hình mạng wifi xung quanh (nếu chưa bật
mon0 có thể dùng #iwlist wlan0 scan ):
#airodump-ng mon0

4. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Các bạn sẽ thấy một đống hầm bà lằng đủ thứ trong này, thật đáng sợ :), lúc đầu Nhân nhìn vào cũng
chảng biết gì cả, nhưng thật ra cũng không quá khó, và cái đám trên cũng không phải ngôn ngữ của bọn
ngoài hành tinh. Ở đây Nhân giải thích một số thông số:
• BSSID: địa chỉ Mac của AP, có bao nhiêu AP sẽ được liệt kê hết ở đây. Trong ví dụ
trên đố các bạn có bao nhiêu AP ?
• PWR: tất nhiên là... power :) chỉ độ mạnh yếu của mạng, power = -1 ta dễ dàng đoán
được đó là mạng adhoc.
• Beacons: là các mốc kết nối.
• #Data: số data luân chuyển trong mạng.
• #/s rõ ràng là số lượng packet chuyển trong mạng trong 1 s.
• CH là channel, một thông số quan trọng trong việc crack khóa.
• Nhìn thông số MB ta dễ dàng đoán được chuẩn của AP: 11 MB là chuẩn b, 54 MB là
chuẩn g, vậy chuẩn n là bao nhiêu ??
• ENC, CIPHER, AUTH – kiểu khóa, thuật toán, tình trạng kết nối. Hy vọng sau khi
authentication các bạn sẽ có OPN trong trường AUTH.
• ESSID là tên của mạng.
Bây giờ chúng ta xem một vd khác:
#airodump-ng mon0:
• Chúng ta chọn mục tiêu là mạng meodien (tiêu nó rồi). Chúng ta sẽ hướng card mạng của mình
vào mục tiêu mèo điên.
#airodump-ng mon0 --bssid Mac_meodien --essid meodien --channel 11 -w meodien.cap

5. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
• Mở thêm 1 terminal nữa, chúng ta bắt đầu fake authentication nó:
#aireplay-ng -1 45 -a Mac_meodien -h mymac mon0
• Xong phần chính, bây giờ ta áp dụng kỹ thuật arprequest:
#aireplay-ng -3 0 -b Mac_meodien -h mymac mon0
• Chờ bắt được khoảng 70.000 packet arp chúng ta sẽ tiến hành crack nó.
• Đơn giản, chạy #aircrack-ng -a 1 meodien.cap và thưởng thức :).

6. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
• Nếu bạn thấy thích kỹ thuật này thì hãy thảo luận koreK chopchop và fragment trên forum mait
nhé :).
Dò khóa WPA/WPA2-PSK:
Đây là phần chính trong buổi seminar ngày 19/4/09. Để crack WPA/WPA2-PSK hiện nay chỉ có
phương pháp dò bằng từ điển hoặc bruceforce.
Demo dò khóa WPA bằng từ điển:
• Đầu tiên ta chuẩn bị từ điển cái đã. Bạn xem mục “một số điều cần biết” để lấy từ điển. Nhân sẽ
dùng từ điển webster và longman :).
• Tiếp theo ta cũng dò các mạng wifi xung quanh bằng:
#airodump-ng mon0
• Sau đó ta cũng hướng mon0 của ta vào mạng cần dò khóa (ở đây là HocVien_MaIT)
#airodump-ng --bssid 00:21:29;7b:9b:c6 --channel 1 -w demowpa.cap mon0

7. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Bây giờ ta... ngồi chờ :D, Việc crack wpa phụ thuộc vào gói tin 4way-handshark, phải bắt được cái này
thì chúng ta mới bắt đầu công việc dò khóa của ta được. Trong quá trình “bắt tay” giữa AP và client,
khóa được mã hóa sẽ truyền đi, chúng ta sẽ cố bắt khóa này và decode nó.
Việc “phục kích” này có thành công hay không tất nhiên phụ thuộc vào việc có máy đăng nhập vào AP.
Giờ “phục kích” tốt nhất là từ 7h-8h30 sáng hay 1h-2h (giờ đi làm). 5h-7h tối (nếu bạn phục kích quán
cafe).
• Nếu may mắn chúng ta sẽ bắt được 4way-handshark, nó sẽ như thế này:
thử so sánh xem có gì khác với hình trên ?!
• Xong rồi. Bây giờ đưa nó vào aircrack-ng và đi uống cafe thôi:
#aircrack-ng -w webster wpademo.cap
Các bạn hãy thử đăng nhập với key vừa tìm được xem ?

8. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Tạo cơ sở dữ liệu dùng airolib-ng:
Việc dò khóa gây mất rất nhiều thời gian, lỡ may bị cúp điện thì chúng ta sẽ phải làm lại. Hãy thử
tưởng tượng về việc ta dành ra 2 tháng để quét, và bây giờ bị cúp điện :D. Do đó chúng ta tạo cơ sở dữ
liệu để có thể quét mà không lo cúp diện. Ưu điểm là có thể tiếp tục tạo key sau khi khởi động lại (mà
không phải dò lại từ đầu). Có thể thêm từ điển mới vào. Nhược điểm là tốn một ít ổ cứng.
• Để dùng airolib-ng thì chúng ta phải có sqlite3 trước đã:
#sudo aptitude install sqlite3 (cho ubuntu)
#yum -i sqlite3 (cho fedora/redhat)
Các phiên bản khác thì các bạn đọc các tài liệu khác để biết cách cài.
• Sau đó chúng ta còn phải kiểm tra xem aircrack có hỗ trợ quét bằng csdl hay không?
#man aircrack-ng
Nếu bạn thấy thông số -r thì aircrack đã sẵn sàng để quét bằng csdl. Nếu không thì phải build từ source.
Bạn hãy xem trên www.aircrack-ng.org để biết thêm chi tiết.
• Bây giờ chúng ta tạo csdl: file từ điển webster, file essid essid.txt, testcrk là file csdl ta sẽ tạo ra
#airolib-ng testcrk --import essid essid.txt
#airolib-ng testcrk --import passwd webster
#airolib-ng testcrk –batch
• Dùng csdl để quét:
#aircrack-ng -r testcrk wpademo.cap
Hãy làm thử và so sánh tốc độ quét, có thể bạn sẽ phải ngạc nhiên :)

9. Http://forum.mait.vn nhanth87@gmailcom
Trần Hữu Nhân – ĐHSP
Một số điều cần biết:
Đây là những kiến thức mà Nhân thu thập được trong quá trình pentest mạng không dây. Nếu bạn gặp
trục trặc gì đó thì hy vọng phần này sẽ giúp được bạn ít nhiều:
1. Card mạng của bạn không chuyển về chế độ monitor được – hãy xem danh sách card được hỗ
trợ trên www.aircrack-ng.org
2. Chỉ có thể dò được khóa WPA/WPA2-PSK, các kiểu auth khác vd
3. Change mac address có thể sẽ gặp lỗi không authentication được.
4. Sự im lặng của router: nếu trong mạng của AP không có máy con kết nối thì bạn sẽ nhanh
chóng nhận ra là mình không hề bắt được một gói tin ARP nào hết. Lý do là các con AP đời sau
này đã được harderning, tụi nó rất yên lặng, khó mà cạy ra được một gói tin ARP nào. Giải pháp
là hãy thử crack nó vào một thời gian khác :) -- hoặc dùng mdk3 để cố gắng reset AP, khi AP
khởi động lại, nó sẽ quăng ra một ít gói tin ARP, dùng koreK hoặc fragment để crack nó thôi >:)
5. Từ điển để dò wpa/wpa2 có thể tìm thấy ở : http://www.theargon.com/ hoặc
http://forums.remote-exploit.org/ mục pentesting.
Bài viết này dựa trên các tài liệu:
1. Toàn bộ tài liệu trên www.aircrack-ng.org
2. Các tài liệu và file film của Xploitz trên http://forums.remote-exploit.org/
Đây là phiên bản đầu tiên của tài liệu này, có thể sẽ có sai sót, nếu tìm thấy lỗi bạn hãy report cho Nhân
tại nhanth87 at gmail dot com.