ابزارهای هک WiFi و نحوه استفاده از آن‌ها

ابزارهای هک WiFi و نحوه استفاده از آن‌ها

ما در دوران WiFi 6 و WiFi Protected Access نسخه 3 (WPA3) زندگی میکنیم. سرعت پردازش و تکنولوژی های امنیتی توی دهه گذشته به طرز چشمگیری پیشرفت کردن. دیگه اون روزهایی که میشد دسترسی ها رو با هک کردن رمزها یا سوءاستفاده از آسیب پذیری های رمزنگاری شکست، گذشته.

با این حال، پذیرش پروتکل های امنیتی و سخت افزارهای جدید هنوز با سرعت پایینی پیش میره. به همین دلیل، خیلی از نقاط دسترسی آسیب پذیر WPA2 و حتی شبکه های باز هنوز هم وجود دارن.

توی این مطلب قراره دوباره بریم سراغ یه سری از روش های کلاسیک هک WiFi، با ابزارهای خفن شناسایی و هک وای فای آشنا بشیم و بررسی کنیم که چطور WPA3 اگه به درستی پیاده سازی بشه، هنوز غیرقابل نفوذ باقی میمونه. البته، تحقیقات کمی روی طراحی امنیتی WPA3 انجام شده، اما این نسخه به اندازه WPA2 در برابر حملات آفلاین Brute Force آسیب پذیر نیست و به همین خاطر استفاده ازش خیلی امن تره.

انواع حملات WiFi

Sniffing

Sniffing به سادگی یعنی گوش دادن به ترافیک وای فای اطراف با قرار دادن کارت WiFi در حالت monitoring mode. این حالت فقط توسط بعضی از دستگاه ها و درایورها پشتیبانی میشه، اما اگه سخت افزار مناسب رو داشته باشید، میتونید با ابزارهایی مثل Wireshark و مجموعه aircrack-ng به راحتی روی هر سیستم عاملی فعالش کنید.

کارت های WiFi USB از برند Alfa Networks و سری TP-Link Archer معمولاً توی حالت مانیتورینگ و تزریق بسته عملکرد خیلی خوبی دارن. کارت های WiFi داخلی مک بوک ها هم توی این زمینه مناسب هستن.

شنود و رمزگشایی بسته های رمزگذاری شده میتونه روی شبکه های WEP و WPA/WPA2 انجام بشه، البته بعد از اینکه رمز عبور رو با ابزارهایی مثل airdecap-ng و Wireshark به دست بیارید. برای شبکه های باز (غیر WPA3)، میتونید خیلی راحت ترافیک شبکه رو روی هر کانالی شنود کنید و به همه اطلاعات دسترسی داشته باشید؛ از DNS و HTTP گرفته تا بسته های رمزگذاری شده TLS.

Injection

لایه فیزیکی (لایه یک) WiFi از امواج رادیویی تشکیل شده، که این شبکه رو از شبکه های سیمی متفاوت میکنه، جایی که باید حتما به شبکه متصل بشید. به همین دلیل، تزریق بسته های مدیریتی و دیتا در WiFi خیلی ساده انجام میشه، فقط کافیه در محدوده ارسال و دریافت دستگاه هدف باشید (چه نقطه دسترسی یا کلاینت).

ابزارهایی مثل aireplay-ng و bettercap پشتیبانی قوی و پیشرفته ای برای انواع مختلف تزریق ارائه میدن.

بسته به امنیت شبکه هدف، میشه بدون دونستن رمز عبور یا کلیدهای رمزگذاری، فریم های مدیریتی رو تزریق کرد و دستگاه ها رو فریب داد تا ارتباطشون رو قطع کنن، از شبکه جدا بشن یا حتی به یه شبکه جدید که تحت کنترل حمله کننده هست متصل بشن.

تزریق مکرر فریم های disassociation و deauthentication میتونه همه کلاینت ها رو از شبکه خارج کنه و یه حالت Denial of Service ایجاد کنه. تزریق بسته های دیتا مثل بسته های ARP هم روی شبکه های باز یا شبکه های WPA2 با رمز عبور شناخته شده قابل انجامه.

Cracking

استانداردهای قدیمی امنیت WiFi مثل WPA2، WPA و WEP در برابر کرک آفلاین آسیب پذیر هستن، به شرطی که داده های لازم رو از طریق شنود جمع آوری کنید.

برای WPA و WPA2، فقط لازمه که دو بسته اول از فرآیند four-way handshake رو موقعی که یه کلاینت جدید به شبکه وصل میشه (یا بعد از اینکه از شبکه بیرونش کردید و دوباره سعی میکنه وصل بشه) ضبط کنید. بعد از اون، عملیات کرک کردن رمز عبور میتونه شروع بشه.

نقاط دسترسی محافظت شده با رمز WPA3 فقط در برابر حملات آنلاین آسیب پذیرن. توی این حالت، حمله کننده باید چندین بار به صورت متوالی سعی کنه با حدس زدن رمزهای موجود در یک لیست به شبکه وصل بشه. این کار زمان زیادی میبره و خیلی سروصدا ایجاد میکنه، اما اگه رمز عبور ضعیف باشه، باز هم امکان موفقیت وجود داره.

نقطه دسترسی Rogue (Rogue AP)

هر کسی، حتی مهاجمان، میتونه یه نقطه دسترسی WiFi (AP) ایجاد کنه. یه نقطه دسترسی Rogue (که بعضی وقتا بهش میگن evil twin) میتونه ساخته بشه تا کلاینت هایی که قراره به AP های واقعی وصل بشن رو جذب کنه.

AP های واقعی اونایی هستن که دستگاه کاربر با استفاده از Service Set Identifier (SSID) که همون نام شبکه هست، قبلا ذخیره کرده. این تکنیک میتونه دستگاه هدف رو فریب بده تا با استفاده از اطلاعات واقعی خودش احراز هویت کنه. این اطلاعات میتونه یه Pre-Shared Key (PSK) برای شبکه های WPA/WPA2 باشه که قابل کرک شدنه یا اطلاعات Extensible Authentication Protocol (EAP) مثل نام کاربری و رمز عبور که ممکنه به صورت رمزگذاری شده یا حتی به شکل متن ساده ارسال بشن.

بعد از احراز هویت، دستگاه کلاینت این AP جعلی رو مثل شبکه واقعی در نظر میگیره و شروع میکنه به ارسال ترافیک شبکه. این اطلاعات میتونن برای جمع آوری داده های حساس (مثل نام دامنه های داخلی یک شرکت) یا برای دستکاری ترافیک (مثلاً جعل سرور ویندوز برای دریافت اطلاعات ورود NetNTLM) مورد استفاده قرار بگیرن.

این روش به خصوص زمانی مفیده که بخواید یه دستگاه IoT رو تست کنید و ببینید چطوری به اینترنت وصل میشه و بعد با شنود یا قطع ترافیک، سعی کنید به اون نفوذ کنید.

مجموعه ابزار Aircrack-ng: نگهبان قدیمی

Aircrack-ng یه مجموعه بزرگ از ابزارهاست که برای بررسی امنیت شبکه های WiFi استفاده میشه. این ابزار یکی از کامل ترین مجموعه هاست و از همه انواع حملات WiFi پشتیبانی میکنه.

این ابزار به صورت پیش فرض روی Kali Linux نصب شده و باید روی یه لپ تاپ یا دسکتاپ فیزیکی (bare metal) با کارت WiFi که قابلیت تزریق بسته داره اجرا بشه. همچنین میتونید از یه ماشین مجازی استفاده کنید و کارت WiFi USB رو بهش وصل کنید.

چطور بفهمید کارت WiFi شما قابلیت تزریق داره؟

برای تست این موضوع، از دستور زیر استفاده کنید:

aireplay-ng -9 wlan0

توی این دستور، wlan0 نام اینترفیس WiFi شماست.

Airodump-ng: یکی از بهترین ابزارها

بدون شک airodump-ng یکی از مفیدترین ابزارهای این مجموعه هست. این ابزار بهتون اجازه میده همه کانال های فرکانسی WiFi رو از طریق frequency hopping شنود کنید و اطلاعات مربوط به همه AP ها و کلاینت ها رو جمع آوری کنید. اطلاعاتی مثل:

• SSID (نام شبکه)
• MAC Address (آدرس مک)
• کانال ها
• روش رمزنگاری مورد استفاده

این ابزار همچنین میتونه تشخیص بده که آیا handshake برای یه AP ضبط شده یا نه، که وقتی این اتفاق بیفته میتونید عملیات کرک کردن رمز عبور رو شروع کنید.

نحوه استفاده از airodump-ng برای ذخیره خروجی

برای ذخیره خروجی حتما از سوئیچ -w استفاده کنید:

airodump-ng wlan0 -w capture

این دستور باعث میشه که airodump-ng شروع به ضبط داده ها کنه و تا زمانی که با زدن Ctrl+C عملیات رو قطع نکنید، به کار خودش ادامه بده.

چطور روی یک کانال خاص تمرکز کنید؟

ممکنه بخواید روی یه کانال خاص تمرکز کنید تا بتونید از یه نقطه دسترسی (AP) مشخص داده جمع کنید. مثلا، اگه هدف شما روی کانال 1 باشه، میتونید این دستور رو اجرا کنید:

airodump-ng wlan0 -c 1 -w channel1

این کار باعث میشه که همه داده های اون کانال رو بدون از دست دادن چیزی به خاطر پرش بین کانال ها (channel hopping) جمع آوری کنید. همچنین وقتی کلاینت جدیدی به هر AP ای روی اون کانال وصل بشه، شما میتونید handshake رو دریافت کنید.

تزریق بسته ها با مجموعه ابزار aircrack-ng

مجموعه ابزار aircrack-ng از تزریق بسته ها هم پشتیبانی میکنه. شما میتونید از aireplay-ng برای انجام حمله deauthentication روی AP های هدف و کلاینت ها استفاده کنید. برای این کار باید از آدرس MAC اونها در یه پنجره ترمینال دیگه استفاده کنید، در حالی که airodump-ng در حال اجراست.

اگه بخواید بسته های deauthentication رو به همه کلاینت های متصل به یه AP خاص بفرستید، از دستور زیر استفاده کنید:

aireplay-ng -0 1 -a 00:11:22:33:44:55 wlan0

توی این دستور، -a مشخص کننده آدرس MAC نقطه دسترسی هدف هست.

ارسال دقیق تر بسته های deauthentication

برای دقت بیشتر و ارسال بسته ها فقط به یه کلاینت خاص (که از طریق airodump-ng پیدا کردید)، میتونید از -c استفاده کنید:

cssCopyEditaireplay-ng -0 1 -a 00:11:22:33:44:55 -c 11:22:33:44:55:66 wlan0

وقتی که کلاینت دوباره وصل بشه، airodump-ng نشون میده که یه WPA handshake ثبت شده، البته به شرط این که روی کانال درست در حال شنود باشید.

کرک کردن رمز عبور با aircrack-ng

برای کرک کردن رمز عبور با استفاده از CPU (چون این ابزار از GPU پشتیبانی نمیکنه)، باید فایل ضبط شده (capture file) رو به برنامه بدید و میتونید به صورت اختیاری از یه فایل واژه نامه با -w هم استفاده کنید.

یه نمونه از فایل ضبط شده WPA برای تمرین توی سایت رسمی aircrack-ng در دسترسه.

مثال از یه دستور برای کرک رمز عبور:

goCopyEditaircrack-ng -w rockyou.txt wpa.full.cap

حالا که رمز عبور رو داریم، میتونیم هر بسته رمزگذاری شده WPA که بعد از handshake در فایل ضبط شده ثبت شده رو با استفاده از ابزار airdecap-ng رمزگشایی کنیم.

برای این کار از دستور زیر استفاده کنید:

bashCopyEditairdecap-ng -p 44445555 ./wpa.full.cap -e teddy

بسته های رمزگشایی شده در فایلی به نام wpa.full-dec.cap نمایش داده میشن. این موضوع به خصوص زمانی مفیده که بخواید ترافیک شبکه WiFi رو به صورت plaintext ببینید، مثل درخواست های DNS و بسته های HTTP.

Bettercap: چاقوی سوئیسی جدید در دنیای هک شبکه

Bettercap یه مجموعه جدید از ابزارهای هک شبکه برای WiFi، Bluetooth، IPv4 و IPv6 هست. این ابزار از شنود WiFi و حملات تزریقی جدیدتر پشتیبانی میکنه، مثل حملات بدون کلاینت بر اساس PMKID روی AP های آسیب پذیر WPA/WPA2 برای به دست آوردن اطلاعات کلیدی جهت کرک کردن رمز عبور.

این ابزار روی Windows، Linux و Mac قابل استفاده است. خبر خوب برای کاربرهای Mac: این ابزار با پردازنده های Apple Silicon هم کار میکنه و ما اون رو تست کردیم تا مطمئن بشیم که از monitor mode و packet injection پشتیبانی میکنه.

برای نصب روی Mac، فقط کافیه از Homebrew استفاده کنید و این دستور رو اجرا کنید:

nginxCopyEditbrew install bettercap

شروع کار با Bettercap

برای شروع کار با Bettercap، باید نام اینترفیس شبکه رو با گزینه -iface مشخص کنید. وقتی کنسول Bettercap باز شد، برای شروع شنود بسته ها و کشف AP ها، این دستور رو تایپ کنید:

csharpCopyEditwifi.recon on

برای تمرکز روی یک کانال خاص، این دستور رو اجرا کنید:

<wifi.recon.channel <channel

مثلا اگه میخواید روی کانال 1 تمرکز کنید، اینطوری بنویسید:

wifi.recon.channel 1

به صورت پیش فرض، وقتی Bettercap هر WPA handshake رو شناسایی کنه، اون رو توی این مسیر ذخیره میکنه:

bettercap-wifi-handshakes.pcap~/

برای دیدن لیستی از AP هایی که پیدا شدن، این دستور رو اجرا کنید :

wifi.show

حملات Injection، مثل اتصال به نقاط دسترسی (APs) برای به دست آوردن PMKID های قابل کرک، میتونن با استفاده از دستور زیر برای همه AP های پیدا شده انجام بشن:

wifi.assoc all

برای انجام حملات دیگه مثل deauthentication و rogue AP، میتونید صفحه راهنمای ماژول WiFi در Bettercap رو بررسی کنید.

برای دسترسی به راهنمای این ماژول، این دستور رو وارد کنید:

help wifi

این دستور لیستی از همه دستورات و گزینه های موجود در ماژول WiFi رو به شما نشون میده و میتونید از اون برای اجرای انواع حملات استفاده کنید.

در پایان اگر این مطلب براتون مفید بود، سوالات و نظراتتون رو با ما در میان بگذارین.