wlan, kismet, ethereal problem

alexatdebian · Beitrag von **alexatdebian** » 21.05.2005 20:13:32

Hallo

ich will zu demonstrationszwecken bzgl. wlan sicherheit einen wlan wep key dumpen.
ich verwende einen asus laptop mit interner wlankarte (ipw2100-modules-2.6.7-20050505) ich kann die karte in den monitor mode versetzen (iwpriv eth1 monitor 2 11), airsnort läuft und fängt pakete auf.

ich will nun mit kismet ein wep verschlüsseltes paket dumpen. kismet läuft und empfängt pakete, aber eben keine 'Cryptd', obwohl mein netz mit wep verschlüsselt ist. ich hab auch schon fuzzycrypt aufgedreht, trotzdem werden die pakete einfach als 'Pckets' gezählt.
gebe ich das dump file wepattack, beschwert er sich, es seien keine encrypted packete drin.

woran kann das liegen?

zum vertändnis: ethereal kann nur auf interfaces zugreien, die 'up' sind. wenn ich nun aber passiv monitoren will, dann ist das entsprechende interface ja down.
oder kann ich mit ethereal auch pakete passiv sniffen?

umgebung:

libpcap:0.8.3-5
(ich denke der patch von 0.7 sollte hierfür nicht nötig sein - oder? ich konnte das leider nicht überprüfen, da der patch für 0.7 nirgends mehr zu finden ist, sonst hätt ich mir mal den code angeschaut)

libssl0.9.7e-3

kismet 2005.04.R1-1 auch ungepatched, der alte patch ist überholt

gruß & danke
alex

roland · Beitrag von **roland** » 23.05.2005 10:51:55

Du willst mit Deinerm Laptop die verschlüsselten Pakete zwischen AP und Laptop empfangen und dann den WEP-Key knacken?

Dazu brauchst Du eine zweite WLAN-Karte oder einen zweiten Rechner, denn Deine Karte schneidet den Verkehr vor der Verschlüsselung mit. Dein AP sendet wohl Pakete, das sind aber erstmal nur die Broadcastings, die unverschlüsselt sind. Schau doch mal mit z.B. Ethereal in die empfangenen Daten rein.

roland

alexatdebian · Beitrag von **alexatdebian** » 23.05.2005 11:06:19

Ich habe einen zweiten rechner der das wlan-netz nutzt. Mit dem laptop bin ich nicht im wlan netz, da das interface down ist. ich will ja zeigen dass man wep verschlüsselte pakete abfangen und ggf. hacken kann ohne dass man im wlan netz drin ist.

gruß
alex

gOtNoPhEaR · Beitrag von **gOtNoPhEaR** » 23.05.2005 11:56:05

du musst erst das interface hochfahren und dann in den monitor mode setzen...

roland · Beitrag von **roland** » 23.05.2005 13:42:21

gOtNoPhEaR hat geschrieben:du musst erst das interface hochfahren und dann in den monitor mode setzen...

Das sollte kismet automatisch machen (monitor, promisc, ifup). Und er hat mit Kismet schon Pakete empfangen, also tut sich da wohl was.

@alexatdebian: Du empfängst unverschlüsselte Datenpakete, z.B. http-Verkehr? Obwohl AP und Client über WEP verschlüsseln sollten?

roland

alexatdebian · Beitrag von **alexatdebian** » 23.05.2005 15:53:31

also die wlan karte des laptops ist 'empfangsbereit', heisst ich kann pakete mit kismet empfangen. ich kann sie ja auch händisch in den monitor mode versetzten (z.b. iwpriv mopnitor eth1 2 11) oder verkehr empfangen.
das interface eth1 bleibt dabei aber down oder zumindest behauptet das ifconfig. deshalb kann ich mit ethereal ja auch nicht den wlan traffic monitoren, da ich dazu eth1 up haben müsste.

kismet empfängt pakete, kennzeichnet diese aber als nicht crypd.
im xml oder csv output von kismet finde ich die essid, bssid und auch den hinweis dass das netz wepverschlüsselt ist (wenn ich mich richtig erinnere, ich hab den laptop gerade nicht zur hand). wepattack behauptet aber immer die pakete seien nicht verschlüsselt.
gibts ne möglichkeit unverschlüsselte broadcast pakete zu identifizieren?
vielleicht das dump file in ascii überführen (evtl .mit tcpdump?) und nach bestimmten schlüsselwörtern suchen?

gruß
alex

roland · Beitrag von **roland** » 24.05.2005 10:25:29

Was für Pakete empfängst Du denn mit Kismet? Lade mal mit Ethereal das dump von Kismet und schaue direkt in die Pakete rein. Die verschlüsselten Pakete filterst Du mit

Code: Alles auswählen

wlan.wep.iv

als Filtereintrag raus.

roland