Si quieres aprender todo hacerca de como ser un verdadero hacker de la computación.. 
Entonces solo descargate esta guia y aprende todo lo basico y lo avanzado para volverte todo un professional..
Link, esta subido por mi en MediaFire, asi que no se asusten que si se puede descargar seguro 
:
Quizás sea de lo mejores programas para auditorias wireless en windows, este manual se creo hace muchos años por Hwagm, para la versión 5.2, pero sigue siendo operativo a día de hoy, y no encontraras ninguno igual en todo la red, amenos que se haya copiado de este.
Descargar de la versión de evaluación del Commview for wifi
Manual pdf de la pagina oficial del commview
1.- Antecedentes
2.- ¿Cuantos tipo de inyección importantes existen en linux?
2.1.- Ataque 0: desautentificación de clientes
2.2.- Ataque 1: falsa autentificación
2.3.- Ataque 2: Reenvío interactivo de paquetes
2.4.- Ataque 3: Reinyección de trafico
2.5.- Ataque 4: El "chopchop" de KoreK (predicción de CRC)
3.- ¿Que tipos de inyección podemos efectuar en Windows?
3.1.- Desautentificación de clientes
3.2.- Falsa autentificación
3.3.- Reinyección de trafico en windows
4.- Inyectando trafico con CommView
4.1.- Recordatorio de los "Alias"
4.2.- ¿Como efectuar un Ataque 0 o desauntetificación de clientes?
4.3.- Obtención del handshake sobre encriptación WPA-PSK
4.4.- Descubrir el ESSID oculto de una conexión wireless
4.5.- Conseguir una falsa autentificación en windows para redes wireless sin clientes
4.6.- Reinyección de trafico en windows
Todos sabemos que significa el termino de inyección de trafico en las redes inalámbricas, sino es así, has hecho mal en empezar a entenderlo leyendo este manual. Aunque comentare a nivel de recordatorio en cada apartado unos conceptos mínimos a modo de resumen. La inyección de trafico, sus razones y sus motivos están mas que explicado en la Biblia de seguridad, pero nunca se pudo hacer en Windows de forma correcta, solo en linux. Pero este hecho ha cambiado drásticamente, y supone un cambio bastante a tener en cuenta en la auditoria wireless. Últimamente han salido muchos live CD que recopilan multitud de herramientas para la auditoria, pues bien los desarrolladores de software para entornos Windows (un gigante que camina con pasos muy pesados) han visto la necesidad de desarrollar nuevas herramientas para tales propósitos, aun así considero al entorno Linux el mejor sistema para la auditoria wireless, pero nunca nos debemos a cerrar a nada, comentaremos en este manual la forma de inyectar trafico de forma correcta en una plataforma Windows.
Todavía no se ha conseguido la eficacia del sistema linux y difícilmente se conseguirá debido a la multitud de programadores libres que trabajan en GNU/Linux, pero podemos decir que los primeros pasos se han dado satisfactoriamente, y en este manual, único en lenguaje castellano podremos aprender la inyección de trafico en Windows.
Para realizar nuestros propósitos, nos basaremos en una aplicación comercial que corresponde al CommView para wifi. Ya hemos comentado en el Manual básico de funcionamiento (el cual deberías leer antes que este) que es una aplicación comercial de pago, pero existe una versión comercial con algunas limitaciones, pero aun así dicha versión de evaluación es suficiente para la inyección de trafico en Windows. De hecho este manual ha sido realizado en su totalidad con dicha versión de evaluación.
Para que podáis entender como funciona, que tarjetas son compatibles y como debe de ser configurado y actuado para poder capturar trafico (modo monitor) previo paso al análisis de la inyección de trafico. No tengáis prisa por entenderlo a la primera vez, entiendo vuestras inquietudes pero seguid los pasos indicados de forma correcta y finalmente obtendréis unos resultados muy buenos y no solo eso sino que también tendréis un conocimiento único de como funcionan las conexiones wireless al tener acceso a información "casi" a nivel de código maquina.
Es importante remarcar que solamente es necesario una tarjeta wireless para hacer todo el trabajo de ataque y por supuesto una tarjeta para hacer el trabajo de "conejillo de indias". Para el ataque solo hace falta una porque se puede capturar e inyectar a la vez, es mas, la propia aplicación obliga a que nuestra tarjeta este capturando trafico para poder inyectar, si lo se, es un concepto nuevo al que no estamos acostumbrados todavía, ya que anteriormente era al revés, es decir, estábamos deseosos que nuestras tarjetas pudieran inyectar a la vez que capturar cuando los primeros drivers de linux no lo permitían.
Aun así el control de la inyección no será total para todas las tarjetas, sino para determinadas en especial, pero esta claro que si pasan el test de la aplicación que comento en el manual básico del commview, podrán seguramente capturar e inyectar a la vez. Estas serán la únicas pruebas de autodiagnóstico que podremos realizar, previo paso de efectuar el trabajo sobre campo directo. Es en este punto, donde linux es mejor que Windows, ya que permite la inyección con un numero mucho mas elevado de tarjetas y de chipset. Esperemos que los desarrolladores de de software tomen nota y avances sus investigaciones en la creación de nuevos drivers.
Las pruebas han sido efectuadas con mis propios equipos y en ningún momento mis ataques han afectado a redes de terceros que no sean las mías propias, si bien deseáis un conocimiento mayor sobre la auditoria wireless, lo ideal es trabajar con 3 tarjetas mas un punto de acceso. Resumiendo; una tarjeta para usar con esta aplicación, una tarjeta par a conexión normal al punto de acceso al cual será atacada mediante diferente formas y será usada como conejillo de indias, y una tercera tarjeta para usarla con un sniffer diferente ya testeado hasta a la saciedad, por ejemplo el airodump o el winairodump y comparar resultados. De hecho esto no es necesario, ya que la misma aplicación permite ver si la inyección es correcta o no. Pero como siempre es necesario en los primeros pasos de una demostración de algo nuevo, confirmar los resultados mediante aplicaciones alternativas que ya sabemos que funcionan bien. Y además he usado un cuarto elemento para la comprobación de la inyección y es mi famoso vigila bebe para niños que trabaja en un rango de frecuencias exactamente al mismo que la banda de frecuencias para el estándar 802.11b/g que es el habitual en las redes wireless (2.4GHz).
El uso indebido de este manual no es responsabilidad mía, mi intención solo es demostrar los inseguras que son las redes wireless, y la forma con que manejéis esta información será solo responsabilidad vuestra, mi interés radica exclusivamente en dejar de usar la encriptación WEP y usar siempre WPA. Aunque también veremos que la inyección también permite vulnerar las redes WPA, salvo que mediante contramedidas estas si pueden ser consideras como muy seguras. Y la única contramedida posible es configurarlas con una contraseña con simbología fuera de lo normal, siempre que sea posible y de longitud adecuada (Seguridad WPA).
2.- ¿Cuantos tipo de inyección importantes existen en linux?
Si echamos un vistazo a la Biblia de seguridad veremos cuatro tipos importantes de inyección en linux, que normalmente denominamos como ataques.
2.1.- Ataque 0: desautentificación de clientes
Este ataque es probablemente el más útil para recuperar un ESSID oculto (no difundido) y para capturar "saludos" WPA forzando a los clientes a reautentificarse. También puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacían su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados. Normalmente es más efectivo fijar como blanco una estación específica. Aunque podemos realizar una denegación de servicio masiva con una tarjeta.
2.2.- Ataque 1: falsa autentificación
Este ataque es particularmente útil cuando no hay clientes asociados: creamos la dirección MAC de un cliente falso, la cual quedará registrada en la tabla de asociación del AP. Esta dirección será usada para los ataques 3 (reinyección de peticiones ARP) y 4 (desencriptación WEP "chopchop"). Es mejor preparar la tarjeta de ataque con la misma MAC que el cliente falso de esta forma el controlador puede envíar ACKs de forma mas adecuada.
2.3.- Ataque 2: Reenvío interactivo de paquetes
Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados más efectivos que el ataque 3 (reinyección automática de ARP). Podrías usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cuál sólo funciona si el AP realmente reencripta los paquetes de datos WEP.
2.4.- Ataque 3: Reinyección de trafico
Es el clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Puede que tengas que esperar un par de minutos, o incluso más, hasta que aparezca una petición ARP; este ataque fallará si no hay tráfico.
2.5.- Ataque 4: El "chopchop" de KoreK (predicción de CRC)
Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinámica. Este ataque no recupera la clave WEP en sí misma, sino que revela meramente el texto plano. De cualquier modo, la mayoría de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP. Si queréis entender como funciona en linux tenéis un magnifico manual de o2T7f6j2 que podéis acceder pinchando aquí
3.- ¿Que tipos de inyección podemos efectuar en Windows con el CommView 5.2 para wifi?
3.1.- Desautentificación de clientes
Es el denominado ataque 0 o desauntetificación de clientes, valido para redes wireless tanto con seguridad WEP como WPA. La recuperación de clave WPA requiere el uso de ficheros o diccionarios auxiliares.
Se puede incluso realizar una petición de denegación masiva, deshabilitando a todos los clientes o una en particular, y dejar fuera de servicio el nodo wireless al completo el tiempo que se quiera. Esto es muy peligroso, y recordad de no hacerlo nunca en ninguna instalación que no sea la vuestra.
Es valido para generar petición de ARP encriptado y poder efectuar posteriormente la reinyección de trafico.
También permite localizar los nombres de redes (ESSID) ocultos, ya que este nombre si se emite de forma transparente en el inicio de la conversación entre punto de acceso y cliente, luego veremos como hacerlo
Respecto al ataque 1, (falsa autentificación), mis resultados en Windows no han sido positivos, consigo editar un paquete para realizar un forzado de cliente, lo puedo enviar pero mi punto de acceso me lo rechaza constantemente. Podríamos pensar que es algo normal, pero mi router es el Zyxel de Telefonica, y es el router que mayor numero de ataques suele aceptar, como en linux me funciona a la primera, puedo determinar que mis resultados no han sido concluyentes, y no cirate en ningún momento la forma de efectuarlo hasta que no lo consiga.
Llegados a este punto es hora de especificar la forma teórica de como se reinyecta trafico en Windows.
3.3.- Reinyección de trafico en windows
Es puramente la reinyección de trafico o reinyección de petición de ARP, y su finalidad es aumentar la velocidad de la captura de datos para no sufrir el agotamiento mental de horas largas de captura. Esta claro que solo es posible hacerlo con clientes, en caso contrario esta por ver, pero......... podemos servirnos del ataque 1 , generando así un cliente ficticio y posteriormente reinyectar con los datos obtenidos del cliente falso. Pero como vuelvo a repetir, esto esta todavía por ver..............
En Windows y mediante esta aplicación no tiene sentido hablar de ataques 2 y 3 ya que se indexan conjuntamente. Es un concepto totalmente nuevo donde se pueden unificar ambas formas de hacerlo, recordad que en el ataque 3 era la propia aplicación que interpretaba si la petición de ARP encriptado era correcto o no, lo intuía, en Windows es algo similar pero tu decides que paquete se debe de mandar, y esto es mas parecido al ataque 2. Pero la base teórica es la misma que el ataque 3, es decir capturamos una petición de ARP encriptado del cliente hacia su punto de acceso, y luego se lo reenviamos constantemente al punto de acceso, generando nuevas respuesta ARP desde el punto de acceso, y con IV únicos y validos.
Si la red a analizar ya tiene un cliente y el trafico es elevado, con la simple captura en modo monitor, será mas que suficiente, pero este proceso de reinyección puede ser tan efectivo, que pueden tomarse datos suficientes en 10 minutos para una red de poco trafico o incluso muchos menos tiempo si la misma tiene un trafico considerable. ¿Pero será nuestra tarjeta capaz de soportar tantas lecturas seguidas?, eso solo lo veréis al probarlo, pero yo diría que quizás si, pero podrá soportarlo nuestro ordenador o mejor aun, podrá sopórtalo esta aplicación aunque se trabaje con buffer, yo tengo aun algunas dudas.
Es importante señalar que ciertos puntos de acceso se saturan con mucha reinyección de trafico, es mas incluso se resetean, esto le pasa habitualmente a mi punto de acceso integrado en mi router.
Este ataque es muy efectivo en Windows. No es exactamente igual al ataque 3 y 2 en linux sino que mantiene algunas características de ambos. Posteriormente veremos como realizarlo.
Respecto al tema de inyectar un archivo lo mismo ya que se pueden grabar los paquetes que queramos y que se han óptimos para conseguir la reinyección de tráfico
La reinyección de trafico puede realizarse de varias formas, o bien observamos el trafico en la pantalla de paquetes, hasta observar cuales son las peticiones de ARP encriptados, (yo ya me lo conozco de memoria), o podemos efectuar un ataque 0, y esperar a la petición de ARP y aplicando una serie de reglas de filtrado.
Al igual que linux se puede reutilizar una petición ARP, de hecho siempre funciona así debido a que los paquetes se graban en el buffer de datos y luego se inyectan, pero dichos paquetes también se pueden guardar en un fichero particular y volver a usar cuando se requiera. De esta manera al ser una versión de evaluación y tener ciertas limitaciones del numero de capturas, podemos estar seguro que los 5000 datos son IVs únicos y validos, eso si tendrás que realizar varias capturas durante el día.
Mediante el CommView podemos conseguir un nivel de trafico mas alto enviando paquetes de ARP cifrados, el punto de Acceso responderá con paquetes de respuesta ARP, generando así tráfico adicional. Mientras que el ARP original es siempre el mismo y no ayuda de forma directa a obtener una nueva inicialización del vector IV ya que tienen el mismo contenido los paquetes de respuesta ARP si serán diferentes unos de otros y por lo tanto se usaran para la recuperación de claves WEP. Es decir si captamos una petición de ARP y la enviamos al punto de acceso, este responderá con paquetes de respuesta ARP donde aparecerán nuevos IV validos, uno por cada petición.
En sistemas de encriptación WPA no tiene sentido hablar de reinyección de trafico, esta no vale para nada, solo será efectivo el ataque 0, localizando así el famoso "handshake" que tiene lugar en el inicio se sesión cuando se intercambian las claves.
4.- Inyectando trafico con CommView
Antes de empezar os comentare que no aparece ninguna MAC real visible ya que las he convertidas todas en Alias, por ejemplo para mi punto de acceso la he definido como "MIap" y la tarjeta cliente como "mi54g", es mas cómodo trabajar de esa forma, y el programa se encarga de interpretar y de pasar los alias a direcciones MAC en hexadecimal.
Trabajaremos en el canal 1 y el nombre de red wireless (ESSID- esta aplicación lo denomina con su forma genérica - SSID-, pero nosotros les seguiremos llamando como siempre) corresponde como siempre a: "Policia", en todo momento el punto de acceso del router esta configurado de forma que el essid este oculto.
Lógicamente el tipo de encriptación dependerá del ataque que estemos realizando en cada momento. Si es pura reinyección de trafico solo será para encriptación WEP, si hablamos de desautentificación o bien podemos tener WPA o WEP, pero si mencionamos la desautentificación solo para recuperar el handshake, lógicamente estamos hablando de encriptación WPA.
4.1.- Recordatorio de los "Alias"
Si seleccionáis un punto de acceso o estación, y pulsáis el botón secundario del ratón , os saldrá un menú contextual, entre otra cosas permite crear "Alias", los alias son etiquetas que se dan a las direcciones MAC que están en hexadecimal, para recordarlas mejor. También es interesante ver como media palabra de la dirección MAC, es decir las 3 primeras no salen en hexadecimal sino que sale el nombre del fabricante, todo esto es configurable y editable a través de menús.
La información es variada. Podemos ver valores máximos, mínimos, y la medida instantánea de cualquier punto de acceso o de una estación, los mismo para la velocidad de conexión. Esto es muy útil ya que podemos determinar de que estándar son. Y me sirvió mucho de ayuda para comprobar el tema de la inyección de trafico con mis equipos, ya que comparaba los resultados con este aplicación con otro sniffer, pero para eso otro sniffer solo tenia una tarjeta que capturaba trafico en el estándar 802.11b, pues bien mediante esta pantalla como sistema de monitorización iba separando los equipos de forma que la cobertura no fuese mala y la velocidad de comunicación se mantuviera por debajo de los 11Mbs, mi punto de acceso es de modo compartido.
Los puntos de acceso se muestran como AP y las estaciones o clientes se muestran como STA. Si queremos saber si una estación cliente esta autentificado o intenta asociarse a un punto de acceso, podemos verlo fácilmente en la ventana de paquetes. Los nodos wireless se muestran como ADHOC.
Tenemos la opción de crear "Alias" esto es muy útil ya que evitamos trabajar con valores hexadecimales. Lo vemos de manera rápida ya que es muy sencillo.
Paso 1.
Paso 2.
Paso 3.
Cuando se inicie la exploración o las capturas ya aparecerán los "Nodos" con sus "Alias". Y va perfecto sobre todo a la hora de analizar los paquetes.
En este caso mi propio nodo tiene el nombre de red (ESSID) de forma oculta.
Para que aparezcan las redes inalámbricas en la pantalla de "Nodos" recordad de usar el botón "Iniciar Exploración". Y la aplicación este configurada de esa forma. Durante la captura, también pueden ser visibles los nodos, si lo hemos configurado al respecto.
4.2.- ¿Como efectuar un Ataque 0 o desauntetificación de clientes?
En primer lugar ponemos la aplicación a capturar datos, botón "Play"
Mediante la barra de menús del programa nos dirigimos hasta "Reasociación de nodo".
Esta incluido en <Herramientas> y de la lista seleccionamos "Reasociación de modo".
La pantalla que mostrara la aplicación será la siguiente:
Si hemos dedicado un poco de tiempo a crear alias a partir de los datos obtenidos en la ventana de "Nodos", en la lista que hay debajo de la etiqueta: "Enviar una solicitud de desautorización desde esta AP:" tendremos definidas todos los que hemos creado, pero siempre que en ese momentos estemos en proceso de captura y sean detectadas por la aplicación, es decir, estemos por así decirlo online. Pero no asocia las estaciones a los puntos de acceso, solo te muestra lo que en ese momento esta detectando, todos los AP y las STA del canal de captura elegido. Por lo tanto solo permitirá hacer ataques a los nodos visibles en ese momento, pero podemos cometer el error de mandar una desautentificación incorrecta, por que el cliente elegido puede no estar asociado al nodo principal que hemos escogido. Lo único que puede pasar es: nada. En mi caso selecciono "MIap", y en la ventana de "Direcciones de Clientes" selecciono "mi54g". Estos alias se crearon en la ventana de "Nodos" donde se definían los puntos de acceso como "AP" y los clientes como "STA".
Vemos el canal actual, que esta seleccionado y capturando. Definimos el numero de paquetes a enviar y el intervalo entre cada paquete. Decir que, un solo envió de paquetes puede ser mas que suficiente.
También podemos definir si queremos realizar una denegación de servicios masiva a todos los clientes mediante selección de "Enviar a todos los clientes" o bien fijar la casilla "Enviar a clientes seleccionados", en ese caso marcaremos a los clientes que queremos desauntentificar, en este caso fijare mi cliente único, que como ya dije es "mi54g".
Para realizar una desauntetificación completa, agresiva y total, podemos marcar "Enviar a todos los clientes", definir el numero de paquetes a enviar y aumentar el intervalo en milisegundos. Esto realmente es una putada si se hace para redes de terceros, y rotundamente si lo hacéis tendréis mi desaprobación y solo os podrán llamar "niñatos lammers", con un solo paquete es suficiente para desauntentificar brevemente a un cliente y obtener los resultados deseados, pero como lo vais a probar solo con vuestras redes, podéis hacerlo el numero de veces que queráis, no así con redes de terceros, donde no debéis ni siquiera de hacer un simple ataque de denegación de servicios wireless, porque además ya no esta de moda. Y recordad que no todos los clientes pueden que estén asociados al AP seleccionado.
Solo quedaría pulsar el botón "Enviar Ahora". Como veis es la mar de sencillo.
Como comprobamos que es efectivo este ataque, muy simple, tenéis varias formas, vamos a verlas:
Veamos el icono de conexión wireless de nuestro ordenador, o sea en la barra de estado del windows.
Antes de efectuar la desauntetificación:
Todo esta correcto, efectuamos el ataque 0 y:
Como el ataque es muy breve enseguida tendremos de nuevo:
Ya que windows se recupera de forma automática.
Nota: A veces cuando estamos usando el Messenger notamos que nuestra conexión se pierde momentáneamente y en seguida se recupera, si la instalación es correcta y la cobertura es buena y no estamos en movimiento, pensar que ha sido "algún graciosillo" que esta intentado comprobar como funciona este programa sin hacerlo en sus propias conexiones.
Otra forma de verlo, es realizando un ping constante mediante la consola del sistema, par acceder a ella por si no lo sabéis ejecutar "cmd" en la opción de "Ejecutar" habilitado en el Menú de Inicio de vuestro escritorio windows.
Veis la información que aparece entre medias, eso es debido a que la desauntetificación se ha realizado con éxito. En el caso de la reinyección de trafico que trataremos después, si realicéis una inyección con un numero de paquetes por segundo muy elevado, también produciréis micro cortes en las conexiones, y depende del router incluso se puede llegar a reiniciar. Perdiendo totalmente la conexión y por lo tanto la reinyección de trafico ya que el punto de acceso dejara de responder a nuestras peticiones.
Existe otra forma que yo habitualmente uso y es detectar las interferencias momentáneas localizadas en un vigila-bebe.
También puede notarse con una "aradio" normal y corriente aunque las frecuencias de trabajo sean diferentes. Esto me lo acabo de inventar, pero probarlo y a ver que pasa.
Nota importante: Veis que este proceso es muy simple, y así lo es, pero justo en el momento de desautentificación y autentificación automática posterior han pasado cosas muy interesantes y que podemos interpretar. Luego las analizaremos.
Si la aplicación no esta en modo de captura, al ordenar el comando "Enviar ahora" aparecerá el siguiente mensaje;
Deberemos pulsar OK, y posteriormente pulsar el botón de "Play" o iniciar captura a través de la barra de menús. Con la siguiente visualización en pantalla:
Antes de iniciar la captura hay que tener en cuenta en el canal que se esta trabajando. No solo para este tipo de ataques sino también para la reinyección de trafico y para todas las capturas en general.
Pulsamos el botón de "Capturar" y ahora ya podemos iniciar nuevamente la "Reasociación de nodo":
Y seguidamente:
Recordad que solo se mostraran los AP y estaciones online que se detecten en ese mismo canal.
También podemos realizar este tipo de ataque de una manera diferente, la cual me gusta mucho ya que permite controlar de forma mas directa los procesos que tiene lugar en las comunicaciones wireless. Es decir podemos generar nosotros mismo un paquete para desautentificación de un cliente con solo saber el BBSID (dirección MAC del punto de acceso) y la MAC del cliente. Para saber si una estación es cliente de un AP solo hay que mirarlo en la pestaña de "Paquetes" y interpretar los mensajes y paquetes, pero es realmente fácil pero que muy fácil de ver, basta con observar si se producen algunos mensajes de la siguiente forma. AP--->STA, o STA--->AP, y siempre con nuestro color favorito como color del texto, como indicador de que el dato es bueno, luego lo veremos.
Para realizar este forma manual de denegación wireless, usamos la barra de menú y:
Nos desplazamos hasta "Herramientas" y seleccionamos "Generador de paquetes", nos saldrá la pantalla de "Generador de paquetes" la cual podemos configurar para enviar todo tipo de paquetes de forma manual. Vemos como he configurado el paquete yo mismo para desautentificar al cliente:
El tamaño de un paquete de desautentificación de un cliente siempre es de longitud 26, pues eso es lo primero que tendremos que hacer.
Tenemos 2 áreas principales, la de la izquierda sirve para interpretar el paquete creado y la de la derecha para generar el paquete.
En verde corresponde a la cabecera del paquete y en este caso siempre tiene que ser: A0 00 98 00
En azul tenemos la dirección MAC del punto de acceso, esta aparece 2 veces, y porque? Muy fácil respuesta, el destino es e mismo AP y el nombre de BSSID también es el mismo AP, no tiene mas. Ambas serian la misma dirección MAC del punto de acceso que seria en este caso: 00 13 49 00 11 22
Y el origen; pues la tarjeta cliente que actua como "conejillo de indias", o sea su dirección MAC, la que podemos ver de color rojo, En este caso seria: 00 80 5A 33 44 55
Y la parte mas importante, lo que esta como no.... en fucsia, corresponde a una desautentificación "voluntaria" emitida por la tarjeta cliente: 90 2A 08 00, este valor debe ser siempre fijo.
He puesto entre comillas "voluntaria" por que realmente no es así, sino que es inyectado por la tarjeta que opera bajo esta aplicación.
Si traducís "Diassociated" al castellano , el resultado seria "desasociado" pero es una mala interpretación del programa, porque lo que realmente no estas es autentificado, y lógicamente tampoco asociado.
Podemos determinar los paquetes por segundo que queramos mandar, en este caso solo 1 ya que el paquete de desautentificación solo es uno, y el numero de veces que queremos realizar esta operación mediante la selección en tiempo. También podemos hacerlo "Continuamente".
Si fijamos a 5 el Tiempo(s), se mandara un forzado de desautentificación cada segundo y durante 5 veces.
Recordar que la tarjeta de ataque debe de estar iniciada en modo de captura, si no volverá a salir el mensaje:
Esto siempre es así, y realmente prefería que no lo fuera, ya que veréis que es un poco lió. Es decir se tendría que separar el modo de adaptador abierto para la captura y para la inyección. Pero es la única forma de que se indique a la aplicación en que canal estamos trabajando.
Anteriormente habíamos dejado pendiente lo siguiente: "justo en el momento de desautentificación y autentificación automática posterior han pasado cosas muy interesantes y que podemos interpretar. Luego las analizaremos".
Pues bien, ahora sera el momento de hacerlo.
4.3 .- Obtención del handshake sobre encriptación WPA-PSK
En primer lugar citar que si estamos ante un nodo con encriptación WPA, necesitamos filtrar solo los contenidos de los paquetes e ignorar las balizas (beacons).
Y también es interesante filtrar mediante "Reglas avanzadas" el trafico de solo el nodo a analizar para la recuperación de claves WPA. El filtro pare ese nodo y todos los que queráis podéis realizarlos "Regla avanzadas"
Lo vemos:
Mirad como lo configuro:
En la formula indico que solo deseo capturar trafico que "venga de" o "vaya a" un AP determinado.
Los valores de dirección MAC pueden ser copiados con el ratón directamente en la ventana "Nodos", tal como lo vemos aquí, pero seleccionándolo en el menú contextual mediante "Copiar Dirección Física (MAC)":
También es posible en la ventana "Paquetes". Es evidente que en esta ultima captura tenemos que desplazar el indicador del selector del ratón situado en la orden "Crear Alias..." hasta la orden "Copiar Dirección Física (MAC)".
Luego en las reglas simplemente usáis las teclas de pegar, "Control + V", aunque también podéis usar los "Alias" en la reglas, pero para este caso me parece mas profesional que aparezcan los términos hexadecimales. Solo es una manía, vosotros hacedlo como os plazca, ambas maneras son validas.
Bien resumimos, tenemos el modo de captura configurado para que solo acepte capturas de paquetes de datos, y solo captamos trafico de ese nodo en particular mediante la validación de reglas avanzadas.
Iniciamos captura como siempre, recordad botón "Play":
Indicamos en que "Canal" se debe de iniciar la captura.
Iniciamos "Capturar" y ejecutamos la desautentificación como ya sabemos hacerlo, si hemos equivocado el canal, lógicamente no tendremos los AP y clientes deseados, y si estos no están ONLINE no podremos desautentificarlos.
Volvemos a recordar la generación de paquetes de forma manual:
Tanto de una forma u de otra enviamos la reasociación de nodo y esperamos un rato. Posteriormente grabamos los paquetes obtenidos, es decir los pasamos del buffer a un fichero.
También podéis dejar la aplicación en modo de grabación automático, y realizáis determinado ataques separados en tiempo, quizás esto ultimo sea lo mejor. En cuanto detengáis la captura, los datos de buffer pasaran al archivo si se esta en modo de guardar de forma automática. Si el guardado automático no estuviera habilitado nos dirigimos hasta la pantalla de "Paquetes" y los guardamos de forma manual.
Posteriormente usáis el "Visor de Registro", realizáis una conversión de datos a formato tcpdump conforme a lo explicado en el manual base. Y quizás obtendréis el famoso "handshake", lo demás ya es historia y de sobras lo sabéis (me refiero a la recuperación de la contraseña WPA a partir del handshake y del uso de diccionarios.
4.4 .- Descubrir el ESSID oculto de una conexión wireless (nodo)
Como ya sabemos maniobrar con el programa vamos a ser mas directos.
En primer lugar filtramos al igual que anteriormente, el trafico de ese nodo.
En segundo lugar, aceptamos en este caso, todos los tipos de paquetes excepto los paquetes de datos.
Pasamos a capturar. Y efectuamos el ataque 0 de la forma que queramos, de la forma mas fácil es asi:
Y de la forma mas interesante es asi:
Nos vamos a la ventana de "Paquetes" para interpretar todo lo que esta pasando.
¿que podemos ver y interpretar?
Estos datos corresponden a los primeros en realizarse después de efectuar un ataque 0 y en el momento preciso que windows reactiva la comunicación.
Si observamos el primer mensaje MNGT/PROBE RESP. donde el origen es el punto de acceso y el destino es el cliente, en la parte de abajo nos mostrada el nombre de la red (ESSID), solo hay podemos verlo, en el caso de que este oculto.
¿Que hubiera pasado si hubiésemos aceptado también los paquetes de datos?.
Pues lo mismo, pero añadiendo los paquetes de datos encriptados que puede tener lugar la secuencia seria la siguiente:
Esta captura es muy buena y nos permite ver todo lo que pasa.
El paso numero 73 corresponde al forzado de la desautentificación, esta es la cuarta forma que tenemos para poder observar que el ataque ha sido enviado correctamente.
En el paso numero 74 podemos volver a ver el nombre de essid, y del numero 73 al 81 quizás podíamos tener guardado el famoso intercambio de claves para redes con encriptación WPA.
Nota: El ataque 0 colabora respecto a la reinyección de trafico, pero he descubierto una alternativa donde este proceso (desautentificación de clientes - ataque 0) ya no es tan prioritario, aun así lo explicaremos y matizaremos en el apartado siguiente.
4.5.- Conseguir una falsa autentificación en windows para redes wireless sin clientes
Como ya he dicho anteriormente mis pruebas no han sido concluyentes, y no puedo garantizar que pueda ser realizado de forma efectiva.
4.6.- Reinyección de trafico en windows
Es muy simple pero muy eficaz. Y obviamente solo valido para encriptación WEP
Anteriormente ya hemos explicado de forma teórica como tiene lugar la reinyección de trafico en windows, es decir necesitamos una petición de ARP encriptado desde el cliente al punto de acceso. Y aquí esta el error que muchas personas cometen al confundir los conceptos teóricos. Este paquete no puede ser generado de forma manual al igual que se puede hacer con el ataque 0 y quizás el ataque 1. Esto se debe a que dicha petición esta encriptada.
Es un paquete especial que genera el cliente hacia su AP, los cuales si saben las claves.
Parece que no se pueda hacer nada, pues si, si que se puede hacer. Sabemos que esta petición es hecha por el cliente y además sabemos que características especiales debe de tener este tipo de petición.
Debe de ser de 68 bytes de largo, tiene como origen la propia dirección MAC de la estación (en este caso si cliente) del nodo analizado, tiene como la destinación de Broadcast (FF:FF:FF:FF:FF:FF) y tiene configurado en la cabecera el ToDS igual a True (1), pues bien con esta información ya no es suficiente.
Solo hay que analizar y observar en que momento se produce esa petición, capturarla y mandarla posteriormente al AP.
Es igual los datos que contenga y como este formada, con las limitaciones de partida podemos determinar posibles peticiones de ARPs, pues para verificar si son realmente peticiones validas, se las inyectamos al AP, esto si podemos hacerlo. Si realmente es una petición de ARP, el punto de acceso nos responderá con un IV único y valido, acelerando así el proceso de recuperación de claves WEP, otra cosa es que luego en la practica sea fácil o difícil de lograr.
Además, sabemos que "quizás" se produce esa petición tras la autenticación entre cliente y AP y es ahí donde entra en juego el Ataque 0 (al cual hemos dedicado gran parte de este manual), ya que después de realizarlo se puede producir una autenticación automática visible por nuestra tarjeta de captura, pudiendo entonces captar posibles peticiones validas e inyectarlas al AP.
Bien, como nos preparamos y como configuramos nuestra aplicación para ello, muy fácil:
Paso 1: Permitimos el trafico de cualquier tipo de paquetes.
Como siempre ignoramos los beacons (balizas).
Procedemos a configurar la captura para filtrar mediante "Reglas avanzadas" las características fundamentales que deben de tener las peticiones de ARP encriptadas por parte de los clientes validos. En este caso no será necesario filtrar el trafico de ningún nodo, ya que la posibilidad de capturar dos peticiones validas de diferentes redes en el mismo momento es muy reducida, si bien podemos crear una regla avanzada para cumplir con todos estos requisitos.
¿Como filtro las posibles peticiones?
Lo vemos con el ejemplo siguiente:
Antes que nada pulsamos sobre el botón "Evaluar".
Tenemos ya de esta forma validada la regla, con limitación de tamaño, el broadcast y parte de la cabecera (tods)
También puede valer solo con (size=68) and (tods=1).
Podéis probar, si queréis, sin ninguna regla mas, ya que fácilmente se observa cual es la petición de ARP. Luego lo veremos mejor, si es la primera que lo hacéis si recomiendo que uséis este regla tal como lo he explicado.
También incluso se puede probar sin necesidad de efectuar ningún ataque de desautentificación, ya que dicha petición se localizar y observar con un poco de practica. Pero es cierto que con el ataque 0 todo es mucho mas rápido.
Por lo tanto pasemos a efectuar el ataque cero, pero antes de nada un inciso. Es muy importante que después de haber localizado la petición de ARP encriptado recordad de volver a deshabilitar estas reglas y filtrar solo para recibir paquetes de datos. Es importante deshabilitar la regla (solo capturar posibles peticiones) porque sino la aplicación se bloquea sola así misma y no se obtendrás datos ningunos para la recuperación de claves WEP, o sea IV validos.
Lo vemos:
Iniciamos capturas como siempre y efectuamos el ataque 0:
En este caso, si os recomiendo usar el ataque mediante la barra de menú y no de forma manual con el "Generador de paquetes".
Vamos a la pestaña de paquetes y esperamos:
Vemos que realmente hubiera valido captando solo paquetes de datos al ser esta petición del tipo ENCR.DATA pero así podemos observar mas cosas, entre ellas si el nombre de essid oculto que ya expliquemos anteriormente.
Por lo tanto hubiera bastado con el siguiente filtro:
en lugar de:
Sea de una forma u de otra pasamos a probar si realmente es una petición de ARP encriptada valida para ese AP, podemos parar la captura para pensar lo que estamos haciendo. Yo así lo aconsejo.
Seleccionamos todos los paquetes y mediante el ratón secundario del ratón pulsamos en "Enviar paquete(s)". Este menú contextual permite la opción "Todo" o "Seleccionado", pues en este caso le decimos todos, pero podría haber sido uno en particular, ya que cada uno corresponde a una velocidad de transmisión diferente, quizás sea recomendable mandar el de menor velocidad por si la cobertura entre AP y STA no es muy buena.
Vemos la opción "Enviar Paquete(s)" --------->"Todos".
Y después de elegir ese opción, no mostrara una pantalla tal como esta:
El numero máximo esta situado en 2000 paquetes por segundo (es recomendable bajarlo).
Seleccionamos "Continuamente" y enviamos mediante el botón "Enviar", pero antes, no olvidemos de deshabilitar las reglas avanzadas de filtrado para que la aplicación no se anule así mismo. Y filtramos para aceptar solo paquetes de datos.
Si no anulamos la regla de petición de ARP, seguirá a la espera de peticiones de ARP. Y anulara la captura de todo el resto de trafico.
Por lo tanto deshabilitamos las reglas avanzadas tal que así:
Podéis añadir la regla avanzada para que solo capture trafico de un nodo en particular.
Comprobamos que el filtro de paquetes solo permite la captura de datos ignorando las balizas, los paquetes de administración y de control.
Iniciamos captura en canal correspondiente:
Fijamos la cantidad de paquetes por segundo, seleccionamos la opción de enviar "Continuamente".
A continuación ya podemos enviar los paquetes mediante el botón "Enviar".
Y como resultado quizás obtengamos una buena reinyección de trafico.
Si observamos cada uno de ellos, veríamos un IV diferente y valido para cada fila, esto es síntoma de que la reinyección de trafico ha tenido éxito. Observar en vuestro equipo como el numero de líneas cambia su ritmo a un o mucho mas mayor.
¿Como puedo hacer lo mismo sin necesidad de utilizar la desutentifiación o reasociación de nodo?
Partimos de la base que ya sabemos como esta compuesta este tipo de peticiones, pues podemos hacerlo sin necesidad de desautentificar (ataque 0) a ningún cliente. Y como lo hacemos:
Primero, nada de reglas.
Segundo: solo paquetes de datos.
Iniciamos captura como siempre en el canal especificado:
Cuando veamos algo parecido a ENCR.DATA con origen en cliente (STA), tamaño 68 según la columna y destino Broadcast, pues paramos la captura. Fijaros bien que en "Mas detalles" nos indica WEP-Can't decrypt. Recordad que este tipo de peticiones no se puede generar de forma automática. Pero una vez capturada, quizás si puedas reinyectar trafico.
Si comparamos con los datos de partida a priori parece una posible una petición valida.
Pues seleccionamos exclusivamente estas líneas de paquetes. Y los preparamos para enviar o inyectar (este paso ya esta explicado anteriormente). Recordad que puede ser interesante solo mandar la petición de velocidad mas baja.
Volvemos a iniciar la captura como siempre (cuando tengáis practica no necesitareis parar tantas veces el proceso de captura)
Y inyectamos de la forma que explique antes:
Si realmente era una petición buena, enseguida lo veremos, si no es así, volverlo a probar.
Durante el proceso de reinyección podemos para el proceso y ver como reacciona la captura de paquetes (los que se muestran casi instantáneamente en la pestaña de "Paquetes".
También es posible observar como reacciona la captura solo a reinyecciones parciales. El numero de reinyecciones parciales se limita o se fija en la casilla "Tiempo(S)".
En cualquier fila de color fucsia que indique ENCR.DATA, podéis observar en el área inferior de la pantalla un IV.
Siempre serán de 6 digitos hexadecimal, o sea 4bits para cada dígitos hexadecimal, en total siempre 24 bits. Recordad el tema de claves explicados en la pagina de complementos del conversor universal, recordad que comentábamos que solo se usaban 40 bits y 104 bits reales para encriptación WEP de 64 y 128, pues hay tenéis la diferencia de bits, lo que corresponden al vector IV, que se emiten de forma publica y que con un cierto trafico capturado permiten la recuperación de claves WEP.
Si tenéis problemas para realizar este último proceso, no dudéis en usar el ataque 0, y gestionar las reglas que creáis oportunas.
Y como me gusta contrastar los resultados, os paso una captura de la tercera tarjeta que usaba como informe adicional y validación de resultados. Si disponéis de un numero de tarjetas validas y adecuadas podéis comprobar con se paralizan los "Data" en el airodump y como vuelven a aumentar si reiniciamos el envió de las peticiones validas de ARP encriptados al punto de acceso. O si solo enviamos un solo paquete o varios.
Además para mayor seguridad limitar a cero el trafico entre vuestra tarjeta y vuestro punto de acceso, así verificáis que la reinyección de trafico es correcta.
Aunque dispongáis de un buen punto de acceso, probar también de realizar un ping y quizás observareis que el punto de acceso no responde en un 100% a todos ellos, ya que esta muy ocupada enviando respuestas a las peticiones realizadas por el envió de paquetes con petición de ARP encriptado.
¡conseguido la inyección de trafico en windows!
Afirmamos que se puede inyectar trafico en Windows de forma correcta, por lo tanto el nivel de seguridad de la redes wireless sobre todo con cifrado WEP son accesibles tanto en win como linux de forma muy rápida. Si bien linux sigue siendo el mejor sistema operativo para analizar el estado de tus redes inalámbricas.
Para el posterior trato de las capturas de datos realizadas durante la reinyección de trafico y exportarlas a otros formatos (por ejemplo a formato compatible con tcpdump), recordad de leer el manual básico del commview donde se explica la forma de hacerlo y las aplicaciones externas a este programa que se deben usar para la recuperación de contraseñas WEP/WPA.
Quizás sea de lo mejores programas para auditorias wireless en windows, este manual se creo hace muchos años por Hwagm, para la versión 5.2, pero sigue siendo operativo a día de hoy, y no encontraras ninguno igual en todo la red, amenos que se haya copiado de este.
Descargar de la versión de evaluación del Commview for wifi
Manual pdf de la pagina oficial del commview
Existe otro manual en este mismo portal:
Manual del CommView en castellano para generar paquetes de inyección.
1.- Antecedentes
2.- Objetivo
3.- ¿Que programa es y donde lo localizo?
4.- ¿Será mi tarjeta compatible con este programa?
5.- ¿Como empezar a trabajar con este programa?
6.- Configuración de explorador
7.- Configuración de captura
8.- Tratamiento de ficheros (registros)
9.- Concatenación de archivos (registros)
10.- Buffer de captura
11.- Capturando trafico
12.- Exportación de ficheros
13.- Configuraciones complementarias
14.- Análisis de seguridad final
Desde el punto de vista de seguridad wireless nos han hecho creer que las redes inalámbricas son ciertamente seguras a partir del cifrado WEP, todos sabemos que esto no es así, pero se basaban que en la excusa de que no todo el mundo tiene capacidad para asumir los nuevos retos en linux, y que la inseguridad con Windows era limitada ya que había pocas tarjetas cuyo chipset entraban en modo monitor en Windows, previo paso necesario para capturar trafico y poder así analizarlo mediante técnicas que no vamos a explicar. Estas tarjetas era pocas y las que podían se consideraban unas reliquias, y solo se podía con los drivers específicos que todos conocemos. Aun la cosa en Windows se complico cuando los fabricantes sacaron al mercado revolucionarios chipset super g para las atheros. Estas tarjetas si entraban en modo monitor en Windows pero la captura de trafico era cero patatero.
Hace ya tiempo ya sacaron un programa comercial, donde podéis optar por una versión de evaluación para probar, donde se incluyen nuevos drivers que permiten capturar trafico de forma correcta, y mas cosas.............
Digo hace tiempo porque en la Biblia de seguridad ya se menciona desde entonces, pero su uso fue limitado, ya que no era posible la inyección en Windows, quizás si lo era, pero nadie obtuvo resultados dignos de documentar en castellano, pues bien este objetivo ya ha sido logrado, y por lo tanto previo paso a explicar la inyección de trafico en Windows es necesario saber como funciona este nuevo programa para la captura de trafico de forma normal. El manual de inyección podéis verlo en este mismo portal. Pero os aconsejo que primero leáis este manual base de configuración.
Entender como funciona este programa comercial en Windows para poder capturar trafico y demostrar la vulnerabilidad de las redes en Windows, y una variante mas, a las ya muchas existente, para poder hacerlo exclusivamente en un entorno Windows. Trataremos exclusivamente el tema de captura de trafico pero en el manual de inyección podéis observar que la inyección es valida tanto para WEP como para WPA. Las WPA si son seguras en función de la contraseña usada, al ser necesario usar diccionarios externos difíciles de encontrar.
Recordad que estamos en Seguridad Wireless y este portal esta dirijido a comprobar el nivel de seguridad de nuestras propias redes inalámbricas, cualquier uso del mismo para acceder a redes de terceros esta considerado como actividades delictivas penadas en el ámbito judicial tanto a nivel civil como criminal. No es ni di lejos el motivo de este manual, cualquier uso indebido será responsabilidad directamente vuestra. Las pruebas se han hecho para mi propia red wireless que tengo en casa y comprobar así el bajo nivel de seguridad que tiene la encriptación WEP. Robar ancho de banda es ilegal, lo mismo que acceder a sistemas o equipos de otras personas, recordarlo siempre. Si queréis conexión a Internet, contratarla vosotros mismos a las muchas ofertas que hay.
Leer aviso legal de seguridadwirlees
Aviso legal del producto: Las pruebas aquí comunicadas han sido realizadas con la versión de evaluación.
3.- ¿Que programa es y donde lo localizo?
El programa es cuestión es el CommView for Wifi
Recordad: Este programa de computadora está protegido por leyes de propiedad intelectual y tratados internacionales. La reproducción o distribución no Autorizada de este programa, o cualquier parte del mismo, puede resultar en penalidades civiles y criminales.
Podéis encontrar todo tipo de explicación y características del mismo en su Web principal: http://www.tamos.com/
Pero han sido muy generosos al ofrecer una versión de evaluación, tiene algunas capacidades limitadas, pero es valido para explicar su funcionamiento y citar sus mejores posibilidades.
La versión de evaluación podéis descargarla de aquí: http://www.tamos.com/download/main/
4.- ¿Será mi tarjeta compatible con este programa?
Previo paso al uso de este programa, podéis comprobar si vuestra tarjeta es compatible con dicho programa. Para eso han diseñado una pequeña aplicación que servirá para comprobarlo.
Podéis descargarla de aquí: http://www.tamos.com/files/cardcheck.zip
No creo necesario explicar como se descomprime un fichero en formato zip en Windows y como luego se instala, basta con ejecutar archivo exe. Y este ultimo ni siquiera necesita instalación, se ejecuta y listo.
Veamos un ejemplo de uso.
Como veis me indica que mi tarjeta si es compatible con esta aplicación.
Podemos ver la lista de tarjetas compatibles.
De todas formas os muestro un listado de las tarjetas compatibles.
802.11b/g/n and 802.11a/b/g/n Adapters
|
802.11b/g and 802.11a/b/g Adapters
|
No esta de mas que echéis un vistazo a este enlace: http://www.tamos.com/products/commwifi/technotes.php
Sobre todo por la razón de siempre, o sea la versión de revisión del chipset, y así nos evitamos algún disgusto de ultima hora.
5.- ¿Como empezar a trabajar con este programa?
Como hemos dicho lo descargamos, los descomprimimos, y ejecutamos el setup.exe.
Y esta será la pantalla de bienvenida.
Aquí ya nos entra el miedo y pensamos que nuestra tarjeta no va a funcionar, y le damos a "Help" habitualmente, pero como el idioma del imperio británico no lo domino pues simplemente le doy a "OK" y listo, haced lo mismo vosotros.
Si hace días que hemos usado este programa, pues nos avisara que la versión de evaluación ha expirado. Pero en vuestro caso, como lo acabáis de bajar no os dará ningún problema, y esta será la pantalla principal. Pasados unos días si os saldrá este aviso. No recuerdo cuanto dura este termino. Además suele salir un aviso de confirmación de salir de la aplicación.
Bueno sin mas preámbulos, vemos su pantalla principal.
Seguramente al ser la primera vez que lo iniciamos quizás el idioma no sea el deseado, pues lo cambiamos.
Es significativo observar las diferentes pestañas de ventanas principales que nos ofrece. Pasar un buen rato intentándolas ver todas, tanto en modo parado como en modo de captura.
Puede asustar al principio, pero es muy manejable. Como vemos un botón de "Play" nos vamos directamente a por el, y:
Vemos que el botón de capturar no esta habilitado.
Explicación: debemos recordad que el modo monitor es una forma atípica de trabajo de las tarjetas wireless, y que se necesitaban de ciertos drivers especiales. En este caso es lo mismo, pero dicha aplicación ya viene provista de los mismos. Creo saber que drivers base usan para este programa, pero esto correspondería a temas mas avanzados que no tiene a lugar en estos momentos.
Llegado a este punto, necesitamos configurar nuestra tarjeta, ya que, recordad que el test del programa que cite anteriormente paso la prueba de compatibilidad.
Por lo tanto nos vamos a:
Y nos saldrá la siguiente guía en ingles, el que quiera traducirla que lo haga:
Desplazamos el cursor hacia la parte final, y además de localizar unos enlaces muy interesantes, vemos la manera de proceder:
Pulsamos sobre el botón "Next>" y nos saldrá lo siguiente:
Tenemos dos opciones, la segunda te indica como instalar una tarjeta wireless si todavia no la has instalado.
Se supone partimos de la base que nuestra tarjeta ya estaba configurada e instalada de forma normal en Windows, por lo tanto usaremos la opción primera, que quiere decir, pues en mi caso que la tarjeta ya estaba instalada, pero que se necesita actualizar el driver para poder trabajar con esta aplicación. Si es una tarjeta completamente nueva, siempre es aconsejable instalar los driver originales que vengan en el CD con la caja que se adquirió y se proceda a instalar de la forma habitual. Posteriormente ya realizaremos una actualización de drivers.
Elegimos la primera opción y pinchamos sobre "Next>" y nos saldrá la siguiente pantalla:
Volvemos a tener dos opciones, la primera se usa, por si quieres instalar el driver de forma manual.
Si elegimos esa opción habrá que indicar la ruta del nuevo driver, esta ubicación esta dentro del mismo directorio donde se instalo el programa. Ese lugar seria:
Pero habitualmente optaremos por la forma mas rápida, es decir, dejar al programa que lo instale de forma automática, que al fin y al cabo es la instalación que trae por defecto.
Pinchamos sobre "Next>" y el asistente de actualización de drivers de la aplicación nos debe mostrar un listado de tarjetas reconocidas. Si no apareciera ninguna, terminar la aplicación y resignaros a volver a trabajar con linux.
Pero en mi caso no ha sido así, y me muestra las lista con todos las tarjetas que reconoce la aplicación y que puede actualiza, en mi caso es evidente que solo acepta una.
Pues la selecciono, es decir la marco.
Y pulsamos sobre "Install Driver"
Como somos unos genios con Windows pues todo ha debido de ir bien, y la aplicación te lo dirá con el siguiente mensaje.
Nos dice que la instalación de driver ha sido correcta y que se recomienda que se reinicie Windows. Pues lo hacemos. Recordad que es importante reiniciar siempre después de actualizar el driver en este tipo de aplicaciones.
Después de reiniciar, será interesante acceder a "Administrador de dispositivos" y observar como nos ha modificado el nombre de nuestra tarjeta. Podéis incluso ver las características de tal como lo ha dejado, pero solo es una cuestión a mi modo de ver interesante y curiosa, pero nada mas.
Abrimos de nuevo el programa, y si este no esta configurado para que se inicie la captura de forma automática (esta opción es configurable al igual que otras muchas, pero nada importantes para el proceso que nos depara en estos momentos), pues hacemos lo mismo de siempre, pulsamos en "Play" y ahora la pantalla si nos muestra habilitado el botón de "Capturar".
Antes de ponernos a capturar trafico vamos a definir algunos conceptos básicos y a configurar el programa de forma correcta.
6.- Configuración de explorador
En la ventana anterior vimos una serie de campos que paso a describir los mas importantes.
Pestaña Explorar
Los componentes mas importantes son:
Capturar: no necesita mucha explicación y se entiende por si mismo. Se inicia la captura del trafico wireless existente.
Canal: donde le podemos indicar en que canal debe de realizar la captura.
La captura solo puede realizarse en un canal especifico, al igual que todas las futuras acciones que se puedan realizar y que podréis ver en el Manual de inyección de Windows, dicho canal es fijado en la lista habilitado para ello.
Banda 802.11b/g: en función del estándar permitido por nuestra tarjeta en este caso el modo compartido habitual de b/g para frecuencias de 2.4GHz. Pero pudiera haber sido también el estándar 802.11a para frecuencias de 5KHz.
Iniciar Exploración: Inicia un rastreo de todas la redes inalámbricas del entrono. Esta información aparecerá en la ventana de la izquierda. Es algo similar a cualquier rastreador de redes wireless. Pero si seleccionamos cualquier punto de acceso, en la ventana de la derecha nos dará una información exhaustiva del tipo de red o nodo wireless con la que estamos tratando.
El modo de trabajo de la exploración es diferente al modo de trabajo de la captura. Su diferencia mas notable es la siguiente:
En modo de captura solo se puede trabajar en un canal fijado en la lista que hemos comentado anteriormente.
En modo de exploración podemos trabajar en los canales que queramos. Estas formas y algunas mas de trabajo podemos definirlas en esta misma ventana "Explorador" pero en otra pestaña diferente "Opciones".
Pestaña Opciones
La vemos:
Los componentes mas importantes son:
Opciones de exploración
Esta configuración solo afecta cuando iniciamos una exploración. Recordad que la exploración de redes no tiene nada que ver con la captura de paquetes (trafico) de esas misma redes.
Restaurar datos después de cada ciclo: La exploración efectúa un recorrido por los diferentes canales que hayamos seleccionado, si habilitamos esta casilla cuando finalice el rastreo borrara los nodos localizados cuando vuelva a realizar otro escáner, por lo tanto es mejor tenerla no seleccionada para poder observar siempre los nodos localizados. En ambas formas la exploración no acaba hasta que no le forzamos a ello.
Mostrar datos en la ventana principal mientras explora: Si habilitamos esta casilla, la información que aparece en la ventana de exploración también será visible en la pantalla principal del programa en "Nodos". Siempre es mejor tenerla no seleccionada, ya que la creación de "Alias" es mucho mas fácil, luego veremos lo que son "Alias".
Ocultar host cableados: Si solo queremos obtener información de estaciones que solo sean inalámbricas deberemos de habilitar esta casilla, pero si lo hacemos corremos ciertos riesgos, la misma aplicación nos informa:
Así que la dejaremos no seleccionada.
Descubrir el nodo activo nodo usando PROBE REQUEST: Si esta habilitada realizara envíos de sondas para detectar la existencia de nodos con essid ocultos. Esta es la forma habitual de trabajo del NetStumbler. Esta emisión de sondas hace detectable la posición de la tarjeta que corre bajo la aplicación. Por lo tanto la dejaremos como no seleccionada.
Os aconsejo dejar configurada las opciones de exploracion de la siguiente manera:
Segundos por canal: Limitamos el tiempo que la tarjeta tiene para rastrear las redes dentro de un canal que se haya elegido, en este caso recordad que no solo es necesario que se uno solo como ocurria en la caotura, sino que pueden ser varios o todos.
Ejecutar sonido cuando un nuevo AP o estacion es detectada: Sin comentarios, y lo mismo para el fichero de sonido.
Habitualmente trabajamos sobre el estándar 802.11b.
Podemos determinar los canales que entraran dentro de la exploración. En captura solo se puede con uno.
Podemos empezar a capturar ya. Pues no, todavía no lo hagáis..
Primeo trataremos el tema de ficheros y algunos conceptos mas. Por lo tanto cerramos esta pantalla y nos situamos de nuevo en la principal.
Este programa como hemos dicho permite la captura de muchas cosas, pero como solo nos interesa en estos momentos el trafico de paquetes de datos, previo acción al análisis de la seguridad wireless, pues debemos de indicarlo de esa manera. Es decir usamos un filtro del programa y mas al ser una versión de evaluación.
Siempre para este tipo de capturas, debemos de marcar la casilla "Capturar Paquetes de Datos" e "Ignorar Beacons", o bien lo hacéis mediante la barra de menú, o bien mediante los iconos destinados para este uso.
Respecto a los iconos de la barra de herramientas: D =Datos, M = Administracion, C = Control.
Ya casi estamos, solo nos queda el trato con ficheros.
8.- Tratamiento de ficheros (registro)
Observamos de nuevo la pantalla principal, en ellas podemos determinar 7 pestañas, pues para el trato de ficheros, nos iremos hasta la pestaña "Registro" y automáticamente la información de la pantalla principal cambia.
En este caso, ya os presento configurada de forma correcta como debe quedar.
Selecciono la casilla "Guardar automáticamente", y podéis ver en la barra de estado de programa en todo momento que así lo indica. Si el tamaño de la suma de todas las capturas es superior al tamaño fijado al directorio, durante el proceso de guardado automático, se sobrescribirán los datos sobre los iniciales de estos mismos ficheros. Por lo tanto una vez realizadas las capturas es mejor portarlas a otro directorio, y acostumbrarnos a dejar vació el directorio de las capturas para el modo de guardar de forma automática.
Como valores, cada uno determinara la capacidad de rendimiento de su equipo. Para empezar y probar podéis usar los que se ven en la captura de pantalla anterior, es decir 20MB para el directorio y 5M de tamaño medio para cada archivo de captura.
También le indicamos la ruta donde se deben guardar los ficheros que se crearan en las capturas.
Una vez iniciado el proceso de captura, no hay que realizar ningún control, es mas, hay una opción de la aplicación que permite programar capturas, por lo tanto debemos de tener el sistema configurado de forma adecuada, es decir que se graben los datos de forma automática, pero este tipo de ficheros hace bajar el rendimiento del equipo y mas con microprocesadores mas antiguos y con limitación de memoria RAM, por lo tanto, no dejamos que se grabe todo en un fichero sino en varios, dicha acción la asignamos con el campo definido como "Tamaño de promedio".
Después de horas de captura (no en la versión de evaluación), podemos volver y ver como esta ese directorio, se habrán generado pues, diferentes tipos de ficheros con los datos obtenidos. Pero recordad que al ser una versión de evaluación tenemos restringida la captura de datos y el tiempo de captura. Aun así esta versión nos permite observar como debe de funcionar el programa con una licencia valida.
Siempre que podamos, realizaremos varias capturas seguidas con diferentes intervalos dentro de la versión de evaluación. Así al final de día, podemos tener en esa ruta de directorios, una serie de ficheros de datos, siempre que el tamaño no sea mayor al determinado en "Tamaño máximo del directorio" si eso fuera así, la misma aplicación para autocorregir y ajustarse al tamaño máximo especificado en "Tamaño máximo del directorio" borraría los datos de los ficheros para poner los nuevos, y así cíclicamente, por lo tanto recodar de dejar siempre libre el directorio de trabajo.
¿Podemos capturar ya?, no todavía no, os explico la concatenación de archivos, que es algo diferente a como estamos acostumbrado a tratar, aunque en base es lo mismo.
9.- Concatenación de archivos (registros)
Este proceso debe de realizarse siempre, después de haber realizados las capturas.
Pero si es la primera vez que usáis esta aplicación os recomiendo que prestéis mucha a atención a lo aquí explicado.
En esta misma pantalla podemos observar un botón denominado "Concatenar registros".
Registro es equivalente a ficheros de captura. Pinchamos sobre el y:
Se abre la típica ventana de Windows para control de archivos, podemos seleccionar todos los que queramos, pero no aconsejo mas de 5, para un mejor rendimiento del sistema.
En este caso al ser una versión de evaluación las capturas son pequeñas y opto por seleccionarlos todos.
Importante: El formato de los ficheros de captura son entre otras cosas, con formato ncf, posteriormente trataremos la forma de convertirlos a otros formatos pero .............. eso lo veremos posteriormente.
También diré que no es necesario agrupar todos los ficheros en uno.
Si vuestro equipo lo permite, podéis tener todas las capturas en un mismo archivo, pero de igual forma cuando expliquemos el proceso de cambio de formato, podemos pasarlos uno por uno. Según que casos puede ser hasta mucho mas rápido. Solo que si el numero de capturas son elevadas y estas son pequeñas, si es un poco estresante, transformar de fichero en fichero, esta manera de proceder os corresponde a vosotros elegirla, yo personalmente prefiero agruparlos (concatenarlos) y mantener cierto orden en mi ordenador.
Una vez, seleccionados, se pulsa en el botón "Abrir" y seguidamente el programa os mostrara la ventana siguiente:
Nos pedirá donde queremos que grabe el archivo resultante y su nombre. Es decir para entenderlo, lo que hacemos es sumar todas las capturas y generar una sola. Una vez elegido el destino y el nombre de archivo para agrupar todas las capturas tomadas o aquellas que queramos, pulsamos sobre el botón "Guardar"
Seguidamente se inicia el proceso de concatenación de archivos (registros) y al finalizar nos preguntara lo siguiente:
Podemos observar la duración del proceso y el tiempo restante mediante una barra de seguimiento, la que esta verde.
Una vez concatenados podemos borrar los ficheros base (los de las capturas una por una), yo siempre los borro, por que si no es un lió con tanto fichero, pero optar por la opción que queráis.
Pues bien, ya tenemos el fichero concatenado con todas nuestras capturas. Solo tenéis que usar el explorador de Windows para comprobar que el resultado ha sido bueno y el fichero esta donde tiene que estar y con un tamaño considerable en función del numero de capturas parciales que se hayan hecho. Indistintamente de que cada captura se haya realizado en canales diferentes, pero también es cierto que es mejor agruparlas por nodos.
Este proceso deber de realizarse con las capturas ya tomadas, pero si es la primera vez que usáis este programa, leer con mucho interés lo que he explicado aunque lo haya repetido dos veces.
¿Pasamos a capturar?. Pues todavía no, es interesante además ver lo siguiente.
Mediante los menús de la aplicación, podemos configurar una serie de cosas importantes, muy fáciles de entender y de usar. En este manual os estoy explicando lo mas básico y importante.
Para acceder a ello, pinchamos en el menú definido como "Preferencias" y luego sobre la lista que aparece (submenús) seleccionamos el de "Opciones"
Y obtendremos como resultado la siguiente ventana:
Los datos no se graban de forma automática constantemente en los ficheros, primero se cargan en un buffer de datos y posteriormente se graban en el archivo. Tal como esta de serie ya puede funciona, pero tenerlo en cuanto en virtud de la memoria RAM de vuestros equipos. El numero de datos en el buffer podemos determinarlo en esta ventana así como el rendimiento del mismo.
¿Por que se trabaja con buffer de datos y no se graba directamente en los registros (ficheros)?
Muy fácil, el proceso de lectura y escritura en memoria RAM es mucho mas rápido que el acceso a cualquier otro sistema de almacenamiento de datos (si bien es temporal y los datos pueden perderse por el corte del fluido eléctrico), si continuamente accedemos al disco duro para grabar datos, se perderían muchos paquetes de datos, un SO como Windows es multitarea, pero a nivel de comunicación wireless este proceso es mucho mas rápido que los procesos que corren en los equipos informáticos. Por lo tanto, al ser grabados en RAM la perdida es casi nula. Cuando se llega al nivel máximo de buffer (definido en la casilla de numero máximo de paquetes del buffer) entonces se procede al borrado del buffer y a la descarga en el fichero del disco duro, pero el borrado no es total sino progresivo. Esta es la gran ventaja d linux que teóricamente ocupa menos recursos del sistema.
Esta aplicación es bastante completa y permite incluso obtener la información (lectura) de las posibles inyecciones que tu mismo hagas con la tarjeta que esta en modo monitor (capturando trafico).
Suponer que enviamos una desautentificación de cliente (ataque 0 = reasociación de nodo) con el generador de paquetes (esto lo veremos mejor en el manual de inyección) pues bien, el paquete enviado también es captado por la misma tarjeta que lo mando y la respuesta inmediata del punto de acceso, así podemos ver como trabajan las conexiones wireless en todo su proceso. Mediante a accesos a ficheros constantemente no podría verse.
Ya que estamos en la ventana de "Opciones" voy a aprovechar para comentar una cosa sobre la pestaña "Colores".
Lo vemos:
La sección "Colores" es mas importante de lo que parece. En el proceso de captura podemos analizar que paquetes son buenos y malos, por lo tanto, es bueno saber con que colores estamos tratando.
A mi me va el fucsia, por lo tanto me gusta poner eso color para "Paquetes normales", y en capturas de pantalla posteriores podréis comprobarlo.
Bien llegado a este punto, pinchamos sobre la pestaña Nodos y ya podemos capturar tráfico. Pero hacerlo solo si habéis entendido todo lo explicado hasta este punto, hay bastantes posibilidades de configuración pero he intentado nombrar solo las mas importantes y las mas básicas para que empecéis a probar con el. Yo no tuve la suerte de tener este manual y entre varias personas, poco a poco hemos ido dando con la solución, así que solo queda agradecer a todas las personas que han colaborado conmigo para realizar este manual, ellos ya saben quienes son y por supuesto yo también.
Como ya si tenéis mi permiso para poder pulsar el botón "Play", hacerlo, y veréis todo lo que pasa. Podemos tener conocimiento de todo lo que pasa en cada momento, este programa como ya he dicho esta provisto de varias pestañas, y en función de la seleccionada, la información mostrada será uno u otra en cada momento.
Por ejemplo, si seleccionamos la pestaña (siempre que estemos en proceso de captura):
Nodos: veríamos las redes wireless que se han detectado y mucha mas información. No me gusta publicar datos reales y por lo tanto no lo haré.
Podemos ver:
- puntos de acceso. Modo managed. Dentro de la columna "Tipo" los define como "AP"
- estaciones clientes de ordenadores: es decir PCs con tarjetas wireless asociadas y autenficadas a los puntos de acceso: Modo infraestructura. Dentro de la columna "Tipo" las define como "STA"
- estaciones simples de ordenadores no asociados a ningún punto de acceso. Modo adhoc. Dentro de la columna "Tipo" las define como "ADHOC".
Veamos un ejemplo:
En esta captura podemos contemplar que no aparecen direcciones MAC como estamos acostumbrados a tratar, y las que si aparecen estas tachadas, de sobras ya sabéis que no me gusta publicar las direcciones MAC de otros nodos. No aparecen las direcciones MAC debido a que es posible editar el nombre de las direcciones MAC. Lo que el programa denomina como "Alias" (eso aparte de lo que yo he tachado).
Si seleccionáis un punto de acceso o estación, y pulsáis el botón secundario del ratón, os saldrá un menú contextual.
Entre otras cosas permite crear "Alias", los alias son etiquetas que se dan a las direcciones MAC, las cuales estas ultimas están en hexadecimal. Así se recuerdan mejor. También es interesante ver como media palabra de la dirección MAC, es decir las 3 primeras no salen en hexadecimal sino que sale el nombre del fabricante, todo esto es configurable y editable a través de menús. Y lo veremos al final cuando volvamos a hablar de la opción del menú "Preferencias" y su submenú "Opciones". Cuando se hablo del buffer de datos y de los colores ya hicimos referencia al mismo.
La información es variada. Podemos ver valores máximos, mínimos, y la medida instantánea de cualquier punto de acceso o de una estación, lo mismo para la velocidad de conexión. Esto es muy útil ya que podemos determinar de que estándar son.
Tenemos la opción de crear "Alias" esto es muy útil ya que evitamos trabajar con valores hexadecimales.
Lo vemos de manera rápida ya que es muy sencillo.
Paso 1.
Paso 2.
Paso 3.
Y como hemos visto anteriormente ya aparecerán los "Nodos" con sus "Alias".
Para que aparezcan las redes inalámbricas en la pantalla de "Nodos" antes de iniciar la captura recordad de usar el botón "Iniciar Exploración" y tener seleccionada la casilla "Mostrar datos en la ventana principal mientras se explora".
Canales: podemos ver lo que esta pasando en cada canal. Datos recibidos, es mera estadística y tampoco sirve para mucho mas.
Ultima conexión IP: no hace falta decirlo, muestra todas las IP de las redes abiertas, similar al Kismet en linux.
En Alertas de momento no es necesario tocar nada, para controles mas avanzados si será necesario.
En Reglas podemos limitar la captura de trafico para un nodo en concreto, y también para ciertos bloques de datos con ciertas particularidades. Esto ultimo lo veremos en el manual de inyección de trafico en windows.
Pero aquí podemos especificar como seria la regla para limitar la captura solo a un nodo especifico.
Lo vemos:
Yo personalmente lo hago todo en Regla avanzadas y en la formula indico que solo deseo capturar trafico que venga de o vaya a un AP determinado. Los valores de dirección MAC pueden ser copiados con el ratón directamente en la ventana "Nodos" o en la ventana "Paquetes", ya existe la especificación "Guardar dirección MAC", luego en las reglas simplemente usáis las teclas de pegar, "Control + V"
Para mi la mejor pestaña es la de "Paquetes", podemos ver todo lo que esta pasando. Para capt
hackblue
santo domingo, España
hackblue
ver perfil »------------------------------------------------
