Este tema está muy descrito por la red pero bueno, nunca biene mal tener una forma rápida y fácil de hacerlo.

 

En primer lugar descargamos una LiveCD que nos hará la vida más fácil: “Troppix1.2”, las quemamos, arrancamos con ella y en consola:

 

iwlist ra0 scan

 

Con esto escaneamos las redes al alcance. El resultado sería algo similar a esto:

 

Cell 01 – Address: 01:04:C9:BC:CC:DA

                    Mode:Managed

                    ESSID:”elviña_vella”

                    Encryption ***:on

                    Channel:12

                    Quality:0/100  Signal level:-60 dBm  Noise level:-204 dBm

          Cell 02 – Address: 00:06:C9:EF:FE:16

                    Mode:Managed

                    ESSID:”udcwifi”

                    Encryption ***:on

                    Channel:10

                    Quality:0/100  Signal level:-70 dBm  Noise level:-143 dBm

 

Suponiendo que queremos probar la seguridad de la primera entrada de la lista, y teniendo en cuenta que ya disponemos de las herramientas necesarias en nuestro sistema, comenzamos a hacer el trabajo.

 

airodump ra0 captura1 11

 

Con este comando hacemos que la tarjeta entre en modo monitor y se ponga a “escuchar” en el canal 11.

 

*** Es posible que tu tarjeta no entre en modo monitor, asegúrate de ello antes de todo el proceso.

 

iwconfig ra0 rate 1

 

Este comando es muy recomendable ejecutarlo, ya que al bajar la velocidad de transmisión a 1 Megabyte hacemos que la comunicación sea más estable a mayor distancia, y es útil si empleáis dispositivos inalámbricos de larga distancia.

 

aireplay -1 0 -e Essid1 -a 01:04:C9:BC:CC:DA -h 55:44:33:22:11:00 ra0

 

Sólo clientes debidamente autenticados y asociados al AP(Punto de acceso) podrán “entablar comunicación” con éste. El ataque -1 lo que hace es asociar la dirección MAC que definimos en -h con el AP con ESSID ‘udcwifi’ y BSSID.

 

Ahora, y si no recibimos paquetes de autenticación, estamos asociados al AP. O mejor dicho está la MAC asociada al AP.

 

Necesitaremos aproximadamente un mínimo de un millón de paquetes encriptados para poder averiguar la clave WEP que se está utilizando para cifrar la comunicación. Si pretendemos capturar este volumen de datos de forma pasiva (sólo “oyendo”) pues hay que esperar sentados. Y mucho tiempo por cierto. Es por ello por lo que se usa la reinyección.

 

 

La reinyección consiste en básicamente capturar un paquete ARP para modificarlo ligeramente y enviárselo al AP. Éste, aunque fuera para mandarnos a hacer gárgaras, nos responde con un paquete también cifrado, pero con un nuevo vector de inicialización. Estos vectores de inicialización diferentes son justo lo que necesitamos.

 

Si en el comando que escribimos anteriormente para ejecutar airodump escribiésemos un ‘1′ al final, entonces le estaríamos diciendo que sólo capturase los vectores de inicialización (de aquí en adelante IVs), en lugar de los paquetes cifrados completos. El comando quedaría así:

 

airodump ra0 captura1 11 1

 

Pasamos a reinyectar, como si fuésemos el cliente asociado:

 

aireplay -3 -b 01:04:C9:BC:CC:DA -h 55:44:33:22:11:00 ra0

 

Debemos esperar, ya que hasta que no capturemos ese ARP no comenzará la reinyección.

 

Cuando ésta se produzcan veremos como el valor de #data comienza a subir rápidamente. Todos esos paquetes quedarán almacenados en el archivo de captura que airodump ha creado al iniciarse. Pero ojo, se perderán si reiniciamos, ya que estamos trabajando con una livecd. Hay dos soluciones alternativas: Usar una distribución instalada al disco duro (recomiendo ésta por supuesto) o guardar la captura en algún tipo de medio.

 

Una vez tenemos ese ansiado millón de paquetes podemos probar a lanzar aircrack sobre él para ver si nos da la clave.

 

Desde el mismo directorio donde lanzamos la captura:

 

aircrack *.cap