Airodump-ng
Aus Wardriving-Forum.de Enzyklopädie
Inhaltsverzeichnis |
[Bearbeiten] Beschreibung
Das Programm zeichnet den gesamten Netzwerk-Traffic auf, der auf dem zuvor festgelegten Interface empfangen wird und trägt ihn in eine Datei ein. In Verbindung mit einem GPS-Empfänger können zusätzlich noch die Koordinaten des APs gespeichert werden.
Beim ersten Start ist es sinnvoll erst einmal keinen Channel anzugeben um den gesamten Verkehr zu sehen. Mit STRG-C stoppen wir das Programm und können jetzt mit dem gefundenen Kanal nochmals neu starten. Wir überwachen nun nur noch einen Kanal.
[Bearbeiten] Anwendung
Bevor wir airodump-ng zum zweiten mal mit dem bekannten Kanal starten, solten wir auch noch unter airmon-ng den Kanal unserer WLAN Karte anpassen. Airodump und Kismet sollte man nicht gleichzeitig laufen lassen.
Kommando: airodump-ng <options> <interface>[,<interface>,...]
Optionen:
--ivs : Nur captured IVs speichern
--gpsd : Benutze GPSd
--write <prefix> : Dump file prefix
-w : das gleiche wie --write
--beacons : Alle beacons in dump file speichern
--update <secs> : Display update delay in seconds
--showack : Prints ack/cts/rts statistics
-h : Hides known stations for --showack
-f <msecs> : Time in ms between hopping channels
--berlin <secs> : Time before removing the AP/client
from the screen when no more packets
are received (Default: 120 seconds).
-r <file> : Read packets from that file
Filter Optionen:
--encrypt <suite> : Filter APs by cipher suite
--netmask <netmask> : Filter APs by mask
--bssid <bssid> : Filter APs by BSSID
-a : Filter unassociated clients
Standardmäßig hoppt airodump-ng auf den 2.4Ghz Kanälen.
Mit folgenden Kommandos kann man das anpassen:
--channel <channels>: Capture on specific channels
--band <abg> : Band on which airodump-ng should hop
--cswitch <method> : Set channel switching method
0 : FIFO (default)
1 : Round Robin
2 : Hop on last
-s : same as --cswitch
--help : Displays this usage screen
Wir können die Formate der gesammelten Dateien konvertieren, die .cap /.dump in das .ivs-Format oder einzelne Files auch zusammenfügen.
[Bearbeiten] "airodump-ng"-Maske
- Erklärung der Anzeigen auf dem Display in airodump-ng
airodump-ng zeigt eine Liste der entdeckten Access Points und eine weitere Liste der verbundenen Clients ("stations").
Beispiel:
CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPA handshake: 00:14:6C:7E:40:80
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR
00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear
00:14:6C:7E:40:80 32 100 752 73 2 9 54 WPA TKIP PSK teddy
BSSID STATION PWR Lost Packets Probes
00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14
(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy
00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5
00:14:6C:7E:40:80 00:0F:B5:FD:FB:C2 35 0 99 teddy
Die erste Zeile zeigt den aktuellen Kanal, Scannzeit und Datum. Wenn ein Client online geht steht daneben noch der Handshake.
"WPA handshake: 00:14:6C:7E:40:80". Die Zeile kann evtl. nicht vorhanden sein dann haben wir keinen Handshake.
Die Abkürzungen
|BSSID| zeigt die Netzwerke, steht beim Client "not associated" dann sucht er gerade nach dem AcsessPoint.
|PWR| gibt die Stärke des Signals an und steigt, je näher man dem AP kommt.
Bei -1 unterstützt entweder der Treiber die Funktion nicht oder der AP ist zu weit entfernt.
|RXQ| Receive Quality ist die Empfangsqualität in Prozent der in den letzten 10 Sekunden empfangen Pakete.
|Beacons| Anzahl der Pakete die der AP aussendet.
|# Data| Anzahl der gesammelten Pakete (bei WEP gültige IVs) und die broadcast pakete,
|#/s| Anzahl der Datenpakate in den vergangenen 10 Sekunden.
|CH| Kanal auf dem der AP sendet.
Anmerkung: Auf Grund von Radiointerferenzen kann es sein dass Airdoump vereinzelt Pakete vom Nachbarkanal sammelt.
|MB| Maximale Geschwindigkeit die der AP unterstützt.
MB = 11 ---> 802.11b, MB = 22 ---> 802.11b+ und darüber ist 802.11g.
Der Punkt hinter 54 deutet an das "short preamble" unterstützt wird.
|ENC| Verschlüsselung (encryption). OPN = keine Verschlüsselung,"WEP?" = WEP oder höher (evtl. noch nicht genügend Datenpakete
um zwischen WEP und WPA/WPA2 unterscheiden zu können), WEP ohne das Fragezeichen zeigt das statische oder dynamische WEP
und bei WPA oder WPA2 ob TKIP oder CCMP verwendet wird.
|CIPHER| Die verwendete Verschlüsselungsmethode. CCMP, WRAP, TKIP, WEP, WEP40, oder WEP104.
Typischerweise verwendet WPA TKIP und WPA2 CCMP.
|AUTH| Das Authentifizierungprotkoll. MGT (WPA/WPA2 die einen seperaten AuthenticationServer verwenden), SKA (shared key für WEP), PSK (pre-shared key für WPA/WPA2), oder OPN (Open für WEP).|
|ESSID| Die sogenannte "SSID", die wir z.B. bei SSID-Hiding nicht mit Netsumbler sehen.
In diesem Fall holt sich airodump-ng die SSID aus den ProbeResponses und AssociationRequests
|STATION| MAC Adresse des APs oder des Clients
|Lost| Anzahl der Datenpakete die in den letzten 10 Sekunden verworfen wurden.
|Packets| Anzahl der Pakete die der Client verschickt
|Probes| Die ESSIDs mit der sich der der Client zu verbinden versucht.
Anmerkungen:
|RXQ|:
Wird über die kompletten Management- und Datenframes gemessen. Wir können hier weitere Informationen auslesen. Angenommen wir haben 100% RXQ und jede 10 Sekunden kommen Beacons. Plötzlich fällt RXQ auf 90%, Pakete werden aber weiter ohne Probleme empfangen. Das deutet auf einen Client hin den wir nicht "sehen". Evtl. sind wir dann zu weit vom Client entfernt und müssten näher an den AP.
"Lost expanded":
Sind die "lost Packets" eines Clients.
Mögliche Gründe für "lost packets":
- Es ist nicht möglich gleichzeitig zu senden und zu "horchen" (Pakete empfangen), - zu hohe Übertragungsstärke, evtl. zu nah an einem AP - zuviel Wellensalat (andere APs, Mikrowellenstrahlen, Bluetooth...)
Um den Paketverlust so gering wie möglich zu halten kann man z.B. seine Position ändern, andere Antenne verwenden, den Kanal richtig einstellen oder Datenrate anpassen.
[Bearbeiten] Tipps
[Bearbeiten] Tipp: aircrack-ng während dem capturing laufen lassen
Um den Cracking Prozess zu beschleunigen, ist es möglich aircrack-ng pararell zu airodump-ng laufen zu lassen. Das heißt: Du kannst gleichzeitig capturen und cracken. Denn Aircrack-ng liest die gecaptureten Daten regelmäßig neu ein, so kann immer mit allen aktuellen IVs gerechnet werden.
[Bearbeiten] Tipp: Capturen eines bestimmten APs
Um das capturen auf einen einzelnen AP zu beschränken nimmt man die - -bssid Option und die MAC Adresse des APs
airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture ath0
[Bearbeiten] Tipp: Capturen von IVs
Um die Dateigröße so gering wie möglich zu halten speichern wir nur die IVs.
airodump-ng -c 8 - -bssid 00:14:6C:7A:41:20 -w capture - -ivs ath0
Das speichert allerdings nur die IVs (Initialisierungsvektoren) und macht auch nur bei WEP Sinn. Bei dieser Option werden keine WPA/WPA2 Handshakes gespeichert.
[Bearbeiten] Tipp: APs mit ähnlicher BSSID capturen
Angenommen man möchte alle Pakete von mehreren Linksys APs capturen deren BSSID mit "00:1C:10" beginnt.
Mit der "-d" / "--bssid" Option können wir alle MAC-Adressen mit der gleichen Anfangsmac caturen. Den Rest der MAC füllen wir mit Nullen. Die "-m" / "--netmask" Option gibt an welchen Teil der BSSID wir matchen möchten, der Rest wird wieder mit Nullen gefüllt.
z.B. bei "00:1C:10" mit "FF:FF:FF".
airodump-ng -d 00:1C:10:00:00:00 -m FF:FF:FF:00:00:00 wlan0
[Bearbeiten] Tipp: Text File Dump der gefundenen AP(s) und Client(s)
Jedesmal wenn wir airodump-ng starten wird auch eine Textdatei angelegt in der die detailierte Informationen zum AP und Client gespeichert werden.
Beispiel:
BSSID, First time seen, Last time seen, channel, Speed, Privacy, Cipher, Authentication, Power, # beacons, # IV , LAN IP, ID-length, ESSID, Key 00:1C:10:26:22:41, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 171, 301, 0, 0. 0. 0. 0, 5, zwang, 00:1A:70:51:B5:71, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 175, 257, 1, 0. 0. 0. 0, 9, brucey123, 00:09:5B:7C:AA:CA, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 11, 54, OPN , , , 189, 212, 0, 0. 0. 0. 0, 7, NETGEAR, Station MAC, First time seen, Last time seen, Power, # packets, BSSID, Probed ESSIDs 00:1B:77:7F:67:94, 2007-10-07 12:49:43, 2007-10-07 12:49:43, 178, 3, (not associated) ,
[Bearbeiten] Usage Troubleshooting
[Bearbeiten] Airodump-ng stoppt das Datensammeln nach einer kurzen Zeitspanne
Der häufigste Grund ist, dass ein Verbindungsmanager auf dem System läuft und die Karte aus dem Monitor Mode wirft. Das ist ein sehr häufiger Grund, vorallem bei Ubuntu-Distributionen. Stoppe alle Verbindungsmanager bevor du die aircrack-ng-Suite benutzt.
Benutze “killall NetworkManager && killall NetworkManagerDispatcher” um das zu tun.
Außerdem, stelle sicher, dass wpa_supplicant nicht läuft. Ein anderer potenzieller Grund is the PC going to sleep due to power saving options. Überprüfe deine Energiesparfunktionen.
Der madwifi-ng-Treiber für das Atheros Chipset enthält einen Bug in allen Versionen bis einschließlich r2830, welcher bewirkt, das airodump-ng im channel hopping mode nach einer kurzen Zeitspanne aufhört Daten zu sammeln. Die Lösung ist, mindestens Version r2834 der madwifi-ng-Treiber zu benutzen.
[Bearbeiten] Versteckte SSIDs mit "<length: ?>
Manchmal trifft man bei airodump auf "<length: ?>" als SSID. Die SSID ist versteckt. Das "?" ist normalerweise die Länge der SSID z.B. "test123" würde als "<length: 7>" erscheinen. Bei 0 or 1 gibt der AP die Länge nicht bekannt, könnte jede Länge sein.
Um an die versteckte SSID zu kommen gibt es mehrere Möglichkeiten:
- Warten bis sich ein Client verbindet, dann sieht man die SSID
- Deauthentication eines verbundenen wireless Client um ihn zum erneuten Verbinden zu bringen.
- Mit Tools wie [[1]mdk3]] die SSID bruteforcen.
- Wireshark nutzen um ein vorhandenes *.cap File zu analysieren.
wlan.fc.type_subtype == 0 (association request) wlan.fc.type_subtype == 4 (probe request) wlan.fc.type_subtype == 5 (probe response)
[Bearbeiten] Airodump-ng friert ein wenn man die Injecting rate ändert
Zwei Möglichkeiten:
* Injecting rate ändern bevor man airodump-ng benutzt * Restart von airodump-ng
[Bearbeiten] "fixed channel"-Fehlermeldung
Wenn der Anfang deines airodump screens etwa so aussieht:
CH 6 ][ Elapsed: 28 s ][ 2008-09-21 10:39 ][ fixed channel ath0: 1
Dann heißt das, dass du airodump-ng mit einem vorgegebenen channel parameter (-c / –channel) gestartet hast, aber ein anderer Prozess wechselt den channel. "CH 6" auf der linken Seite ist der channel, der angegeben wurde, als airodump-ng gestartet wurde. “fixed channel ath0: 1” auf der rechten Seite zeigt, dass ath0 benutzt wurde, als airodump-ng gestartet wurde, das Interface jetzt aber auf channel 1 ist (anstatt auf channel 6). You might also see this channel number changing indicating that channel scanning is taking place.
It is critical that the root cause of the problem be eliminated and then airodump-ng restarted again. Here are some possible reasons and how to correct them:
- Es ist ein oder mehrere Interfaces im Managed Mode, und scannen nach einem AP, mit dem sie sich verbinden können. Benutze kein Kommando, Prozess oder Programm um dich mit APs zu verbinden während du die aircrack-ng-Suite benutzt.
- Andere Prozesse wechseln den channel. Ein häufiges Problem sind Network Manager. Benutz zum Beispiel “killall NetworkManager && killall NetworkManagerDispatcher” um Network Manager auszuschalten.
- Fals du die madwifi-ng-Treiber benutzt und mehr als ein ath-Interface gestartet hast, könnte der Treiber automatisch auf den anderen Interfaces scannen. Um das zu lösen, stoppe alle ath-Interfaces, außer einem.
- Du hast wpa_supplicant gleichzeitig am laufen. Stoppe wpa_supplicant.
- Du benutzt airmon-ng um den channel setzen, wärend airodump-ng läuft. Mach das nicht.
- Du hast ein anderes Fenster mit airodump-ng laufen, welches scannt oder auf einen anderen channel gesetzt ist. Stoppe airodump-ng und mach das nicht mehr.
Es kann auch heißen, dass du diesen channel nicht benutzen kannst (und airodump-ng diesen channel nicht setzen kann). z.B: du versuchst channel 13 zu scannen, mit einer Karte, die nur channel 1 bis 11 unterstützt.
