Saludos. Primera vez por aquí. Leí que era importante ser específico aquí, y es que quisiera también mencionar antecedentes de lo que intenté, así que de antemano una disculpa si el post se hace un poco largo. De requerirse podría reducirlo, si me dicen.
Tengo un módem Huawei HG530 el cual tiene cifrado WEP. Lo primero que intenté fue el método común para sacar WEP (el de los tutoriales aquí), con aireplay-ng -3, etc. No inyectaba paquetes, después leí que ese ataque (y en general todos al parecer) requiere que haya tráfico de datos.
Entonces volví a hacer la prueba habiendo previamente encendido mi PC de escritorio conectada por LAN a mi AP, y poniendo a cargar un largo video de Youtube para mantenerla ocupada. Igual, sin paquetes enviados. Entonces cancelé el ataque y usé el "aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b (MACAP) -h (MiMAC) mon0". Al escoger un paquete sólo me funcionó uno con "Dest. MAC = FF:FF:FF:FF:FF:FF" para por fin generar IVs (y parece lógico, según leí los APs sólo responden paquetes con esta característica).
Otros paquetes hacían que la PC perdiera la conexión a internet mientras corría el ataque y al parecer me desasociaba, pues al correr "tcpdump -n -e -s0 -vvv -i mon0" me sacaba algo similar a "18:46:31.786889 0us RA:00:19:7e:c8:21:01 Acknowledgment".
Entonces comencé desde cero, aún con la PC generando tráfico, probando con Wifislax 3.1. Intenté los ataques chopchop y fragmentación según aquí:
http://www.aircrack-ng.org/doku.php?id=how_to_crack_wep_with_no_clients, puesto que son para cuando no hay clientes wireless asociados. Resultados:
Chopchop:
18:16:03 Waiting for beacon frame (BSSID: -Mi MAC-)
Read 227 packets...
Size: 86, FromDS: 1, ToDS: 0 (WEP)
BSSID = -Mi MAC-
Dest. MAC = FF:FF:FF:FF:FF:FF
Source MAC = 00:30:67:B5:A7:0C
0x0000: 0842 0000 ffff ffff ffff f4c7 14ea 1fc4 .B..............
0x0010: 0030 67b5 a70c 5008 ac8e 4a00 507e aba7 .0g...P...J.P~..
0x0020: 472b 2ce3 6915 0630 5d92 4312 82be 1df2 G+,.i..0].C.....
0x0030: 1aa1 2762 df7d 1e6a 44d0 9197 468c bd07 ..'b.}.jD...F...
0x0040: b5d6 6395 3882 b4ab 4d02 e124 d51c cae5 ..c.8...M..$....
0x0050: 0f1e a6dc 43c2 ....C.
Use this packet ? y
Saving chosen packet in replay_src-0318-181625.cap
Sent 1802 packets, current guess: 02...
The chopchop attack appears to have failed. Possible reasons:
* You're trying to inject with an unsupported chipset (Centrino?).
* The driver source wasn't properly patched for injection support.
* You are too far from the AP. Get closer or reduce the send rate.
* Target is 802.11g only but you are using a Prism2 or RTL8180.
* The wireless interface isn't setup on the correct channel.
* The client MAC you have specified is not currently authenticated.
Try running another aireplay-ng to fake authentication (attack "-1").
* The AP isn't vulnerable when operating in authenticated mode.
Try aireplay-ng in non-authenticated mode instead (no -h option).
Fragmentación:
Saving chosen packet in replay_src-0317-125629.cap
12:56:46 Data packet found!
12:56:46 Sending fragmented packet
12:56:47 No answer, repeating...
12:56:47 Trying a LLC NULL packet
12:56:47 Sending fragmented packet
12:56:49 No answer, repeating...
12:56:49 Sending fragmented packet
12:56:50 No answer, repeating...
12:57:04 Still nothing, trying another packet...
El comando tcpdump para probar si aún estaba asociado marcaba los mismos mensajes "Acknowledgment".
Probé con mi sistema instalado (openSUSE 12.1 64-bit, kernel 3.1.9, driver b43, Aircrack svn2121). La única diferencia es que con fragmentación marcaba "not enough acks", aunque tal vez se deba a un bug en los drivers b43. También en openSUSE siempre debo usar el parámetro "--ignore-negative-one" cada que uso algún aireplay puesto que si no se estanca en el canal -1. Pero no creo que sea el problema, intenté con Wifiway 3.4 que no tiene ese detalle y obtuve los mismos resultados.
Noté también que si quería comenzar de nuevo desde cero después de un intento fallido generalmente mi AP ya no me deja asociar con el aireplay-ng -1. Debo esperarme o resetearlo.
En otros foros presumen que chopchop les resulta prácticamente infalible en general, seguido del ataque -2 -p 0841. ¿Alguien sabe qué podría estar haciendo mal, o si los Huawei son de plano muy seguros?
Por su ayuda, de antemano gracias.