This article is excerpt from my WiFi Penetration testing and Security eBook for aspiring WiFi hackers and Wireless security enthusiasts. 詳細はこちらをご覧ください
以前の章では、以下を取り上げました。
- Aircrack-ng Suite of tools入門
- Introduction to Wireshark
- WEP cracking using Aircrack-ng
- WPA/WPA2 Personal cracking using Aircrack-ng
today we will learn WPS cracking using reaver.WEPクラッキングを学ぶ。
WPSとは何ですか?
WPS は Wi-Fi Protected Setupの略で、一般家庭でも簡単に安全なAPを設定できるように設計されたものです。 2006 年に初めて導入されましたが、2011 年までに重大な設計上の欠陥があることが判明しました。
Reaver とは何ですか?
Reaver は無料のオープンソース WPS クラッキングツールで、無線ルーターのセキュリティホールを利用し、比較的簡単に WPS 対応ルーターの現在のパスワードをクラックすることが可能です。 このツールは、Kali Linuxにプリインストールされており、ソースコード経由で他のLinuxディストロにインストールすることができます。 Reaverは、アクセスポイントのWiFi Protected Setupのピン番号に対してブルートフォース攻撃を実行します。 WPSピンが見つかると、WPA PSKを回復することができます
Checkout my new store for Best WiFi adapters for Hacking, Best-selling Pentesting Books and Best WiFi Boosters: Rootsh3ll rStore
Description:
Reaver-wps は、WiFi Protected Setup 仕様によって義務付けられた外部レジストラ機能をターゲットにしています。 アクセス ポイントは、認証された登録者に現在のワイヤレス構成 (WPA PSK を含む) を提供し、登録者からの新しい構成も受け入れます。
登録者として認証するために、登録者は AP の 8桁のピン番号の知識を証明しなければなりません。 登録者は、ユーザーとの対話なしに、いつでもAPに対して自分自身を認証することができます。 WPSプロトコルはEAP上で行われるため、登録者はAPと関連付けられるだけでよく、無線暗号化や構成に関する事前の知識は必要ありません。
Reaver-wps はAPに対して総当り攻撃を行い、APの8桁のピン番号を推測するためにあらゆる可能な組み合わせを試みます。 ピン番号はすべて数字なので、00,000,000がキーでないことを考えると、任意のピン番号に対して10^8 (100,000,000-1 = 99,999,999) 個の可能な値が存在することになります。 しかし、ピンの最後の桁は前の7桁に基づいて計算できるチェックサム値であるため、キースペースは10^7 (10,000,000-1 = 9,999,999)に減少し、再び最初の6つの0のチェックサムが0になるので、ブルートフォースされる 0,000,000 を削除します。 つまり、ピンの最初の半分には (10^4 )-1 すなわち 9,999 の可能な値があり、ピンの後半には (10^3)-1 すなわち 999 の可能な値があり、ピンの最後の桁はチェックサムである。
Reaver-wps はピンの最初の半分とピンの後半をブルートフォースするので、WPS ピン番号の全キースペースを 10,999 回で使い尽くすことができることを意味します。 Reaverがピン番号をテストできる速度は、APがWPSリクエストを処理できる速度によって完全に制限されます。 APによっては、1秒に1回ピンのテストができるほど高速なものもあれば、10秒に1回しかテストできない低速なものもあります。 統計的には、正しいピン番号を推測するためには、その時間の半分しかかかりません。
ソース コードからの Reaver のインストール:
System: Ubuntu
Open terminal and type:
If you’ve read previous tutorial, you know that first we have to put our wireless card on monitor mode and then start scanning.
Step 1: Putting Card on Monitor Mode
First kill the programs may cause problems, then we will put our card into monitor mode.まずは、問題を起こすようなプログラムを終了し、次にカードをモニタモードにします。
sudo airmon-ng check kill
sudo airmon-ng start wlan1
wlan1 は私の場合無線インターフェースですが、ターミナルで入力することで確認できます。
iwconfig
Step 2: WPS ネットワーク用にエアスキャン
Airodump-ng には限界があります、WPS 対応ルーターが検出できないのです。 そのため、WPS 対応のルーターをスキャンするために、Reaver と一緒にインストールされる wash コマンドを使用します。
Just write:
sudo wash -i wlan1mon
It will show a similar output:
Note the “WPS Locked” column; this is far from a definitive indicator, but generally, you find that APs are listed as unlocked is much likely to be susceptible for brute forcing.The APは、ロックされていないと表示されている場合、より多くの場合、総当り攻撃を受けやすくなります。 WPS ロックされているネットワークに対して攻撃を仕掛けることはできますが、成功する確率はあまり高くありません。
Here,
ESSID/Target: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Channel.FD
WPS ロックされているネットワークに対して攻撃を行うことはできません。 11
WPS Locked: Yes
一応、このような出力が出ます。
ただ、前のコマンドに “-C” または “-ignore-fcs” を追加してスキップします
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
どちらも同じ動作で、FCS パケットは無視されて前に示した出力になるはずです。
ステップ 3: Reaver を起動する
ターゲットの Ap の BSSID を取得したら、その特定の BSSID に対してのみ WPS ピン攻撃を試みるように Reaver に伝えます
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
BSSID は隠されていたり他の攻撃者によって重複している場合があるかもしれません。 その場合、ReverはWPSピン攻撃を成功させることができません。
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e “belkin.BSSID”, “ESSID “とチャンネル番号で、より正確な情報をReaverに提供しなければならないでしょう。ffd”
ESSID はスペースを含むことがあるので、常に ESSID を引用符で囲んでください。
ステップ 4: WPS のクラック
この部分は実際には Reaver 自体が行うことで、我々はすでに Reaver に必要な情報を提供しているのです。 もしルーターが WPS ピン攻撃に対して脆弱であれば、次のような出力が表示されます:
If Reaver が次々とピンを試すことに成功すれば、WPS ピンと対応する WPA2-PSK キーが数時間 (3-5) で破壊されるでしょう。
WPS はホームユーザーに簡単さとセキュリティを提供すると考えられていましたが、脆弱な WPS 有効ルーターにより潜在的攻撃者が簡単にセキュリティを破壊できることはとてもおかしなことなのです。 WPS キーだけでなく、WPA2 PreShared Key も、WPS なしでクラックするのはかなり困難です。
The ugly truth about WPS
新しい AP にはもはやこの脆弱性がないことに注意することが重要です。 この攻撃は、2006 年から 2012 年初めに販売された AP にのみ有効です。 多くの家庭では、APを何年も使用しているため、これらの脆弱なAPがまだ多く存在しています。 そのため、たまにこのテクニックが役に立つことがあります。
Supported Wireless Drivers
The following wireless drivers are tested or reported to work successfully with Reaver-wps(以下の無線ドライバーは、Rever-wps で動作することが確認されています)。
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Partially Supported
以下のワイヤレスドライバは、成功するかどうかわからないとのことでした。 また、お使いのワイヤレスカードによって動作する場合としない場合があります (例.)e.,
- ath5k
- iwlagn
- rtl2800usb
- b43
サポート外
以下の無線LANドライバー/カードはReaverでテストされたか正しく動かないという報告があります。
- iwl4965
- RT3070L
- Netgear WG111v3
対策
- WPS push buttonで、脆弱性があれば、WPSをOFFにすることです。
- ルーターが脆弱な場合、WPSを使用せず、強力なWPA2パスフレーズを使用します。
- お使いのルーターが2012年以降に製造されたものであるかどうかを確認してください。
Useful Links:
Router:
TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi antennas (Patched WPS supported router)
Network Adapters.NETWORK:
Wireless Router:
ルーター:
ルーター:
ルーター:
ルーター。
Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB
High Gain Antenna:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
USB Drive (32GB)
SanDisk Ultra Fit USB 3.1 USBドライブ:SanDisk社製 Ultra Fit USB 3.1 USBドライブ。0 32GBペンドライブ(インターナショナル)
SanDisk Ultra USB 3.0 32GBペンドライブ(インドのみ)
。