Dejadme explicar un poquito como utilizo el chopchop para entrar en un router vulnerable cuando no hay gente conectada a el:
mi entorno de trabajo es un portatil centrino 1730 con debian etch y con dos tarjetas wifi: su integrada ipw2200 y una netgear wg511T con su chip atheros.
en primer lugar el AP contra el que probamos ha de ser vulnerable al chopchop (hay bastantes, como el amper xavi que pone telefonica)
- activo el radio killer de mi ipw2200 o en su defecto bajo la interfaz y retiro el modulo ip2200
- configuro una mac falsa para mi atheros 1:2.3:4:5:6
- pongo mi atheros en modo híbrido monitor/managed para poder capturar e inyectar a la vez (con los drivers parcheados correspondientes habilito la interfaz ath0raw para permanecer asociado/monitorizar/inyectar al mismo tiempo)
- a la interfaz ath0 le pongo una ip falsa para que tenga alguna.
(p ej.: 10.255.255.254)
[linux deduce la mascara de 8 bits para esta ip]
- me aseguro con el comando route de que la tabla de enrutado se encargue de enviar los paquetes a traves de la interfaz ath0 (otra manera mas cutre de hacerlo es bajando todas las interfaces menos la atheros antes de levantar la susodicha)
- hago un iwlist ath0 scan y anoto el bssid de la red que quiero comerme con patatas (llega un punto en el que pasas de kismet si tienes el panorama claro)
- pongo una key falsa a la interfaz, simplemente para que asocie con redes cifradas. Esto lo hago con:
#iwconfig ath0 key AAAAAAAAA
- le indico que quiero que asocie con el bssid que he anotaado antes.
#iwconfig ath0 AP xx:xx:xx:xx:xx:xx
- espero un segundito y compruebo con iwconfig que aparece el ESSID de la red (osea que hemos asociado)
en este punto estoy asociado dentro de la red (no necesitariamos el ataque 1 de aireplay) pero evidentenmente no entiendo ni papa de lo que se habla dentro porque no tengo la key.
- en otro terminal preparo el chopchop en el canal de la red en cuestion y lo dejo escuchando. Los parametros que le paso, entre otras cosas, le indican que falsee la mac 1:2.3.4:5:6 para hacer el ataque. Como esta mac es de un cliente asociado (¡yo mismo!), podemos tener la certeza de que no serán rechazados los paquetes (salvo que la naturaleza del router lo impida).
Aqui es donde entra la interfaz ath0raw: es la que la que debe usar aireplay para trabajar para no fastidiarnos la asociación pasando la interfaz ath0 a modo monitor.
hago un ping a una ip ficticia que esta dentro del rango de ip's que me he asignado antes (p ej 10.0.0.1). Estamos generando tráfico que deberia ser respondido.
Aqui es donde aireplay advierte que empiezan a llegar paquetes como respuesta a una petición que hemos hecho. Aunque no sepamos la key y nuestras peticiones a la red no tengan ni pies ni cabeza, el router nos va a responder con un cifrado correcto, y eso es justo lo que queremos.
vamos revisando los paquetes hasta que tengamos uno proveniente del mismo router (no tarda mucho, y si tarda seguimos haciendo pings aunque no devuelvan respuestas xD)
cuando un paquete aparentemente valido lo seleccionamos para realizar el chopchop y si sale bien tendremos un archivo cap y otro xor.
analizamos el cap con el tcpdump y sacamos una ip valida de él (normalmente vamos a ver 192.168.x.x)
dicha ip deberia ser capaz de responder a peticiones ARP y ahi es
donde entra arpforge:
forjamos el arp usando como patrón el archivo XOR que hemos creado , y pasandole los parametros de la mac de nuestra atheros (que sigue asociada aun), el bssid de la red, la ip valida que hemos averiguado con el tcpdump, etc...
esto debe generarnos un archivo cap nuevo que inyectaremos a piñon usando aireplay de nuevo, pero esta vez con el interactive frame replay (ataque -2)
abrimos el airodump *en la interfaz ath0raw* para que no nos estropee la asociacion de ath0 con la red que estamos atacando.
nada mas abrir el programa veremos el chorro de IV... y a esperar
tengo scripts que automatizan el ataque chopchop en un cliente linux ya preparado con sus drivers parcheados atheros, y un video que sirve de guia sobr ecomo usarlos. Interesados que posteen su email
Un saludo a todos,
Alist3r
Autor
En línea
... yo eh probado hacerlo tambien y tuve mis resultados... 
no en 5 min 
jaaj
