前言

仅供参考，了解破解的一般流程，了解无线安全基础知识。

本文系统：基于ubuntu14.04 应用软件：aircrack-ng

破解过程

1、启动无线网卡的监控模式

在终端中输入

sudo airmon-ng start wlan0

（wlan0是无线网卡的端口,可在终端中输入 ifconfig 查看）

2、查看无线AP

在终端中输入

sudo airodump-ng mon0

（特别说明：启动监控模式后无线网的端口现在是 mon0 ！！！）

看看有哪些采用wep加密的AP在线，然后按 ctrl+c 退出，保留终端。

3、抓包，用于破解

另开一个终端，输入：

sudo airodump-ng -c 6 --bssid AP's MAC -w wep mon0

【参数说明】 -c ：后面跟着的6是要破解的AP工作频道 --bissid：后面跟着的AP'sMAC是要欲破解AP的MAC地址 -w：后面跟着wep的是抓下来的数据包DATA保存的文件名，具体情况根据步骤2里面的在线AP更改频道和MAC地址，DATA保存的文件名可随便命名

4、利用aireplay-ng进行攻击

作用：从而抓取返回包，同时第3步也在抓，这里列举6种方式，介绍第三步怎么抓足够的包。 操作：再另开一个终端。

4.1 -0 Deautenticate冲突模式 作用：使已经连接的合法客户端强制断开与路由端的连接，使其重新连接。在重新连接过程中获得验证数据包，从而产生有效 ARP request数据包。 如果一个客户端连在路由端上，但是没有人上网以产生有效数据，此时，即使用-3 也无法产生有效 ARP request。所以此时需要用-0 攻击模式配合，-3 攻击才会被立刻激活。 aireplay-ng -0 10 –a -c mon0

【参数说明】 -0：冲突攻击模式，后面跟发送次数（设置为 0，则为循环攻击，不停的断开连接，客户端无法正常上网） -a：设置 ap 的 mac -c：设置已连接的合法客户端的 mac，如果不加-c，则断开所有和 ap 连接的合法客户端。

注： 这样居然也能抓到handshake： sudo aireplay-ng -0 10 -a C8:E7:D8:4B:BA:04 -e MERCURY_BA04 mon0 --ignore-negative-one

4.2 -1 fakeauth count 伪装客户端连接

作用：与AP建立虚拟连接，假如无合法连接的客户端，需要一个伪装客户端来和路由器相连。为让 AP 接受数据包，必须使自己的网卡和 AP 关联。如果没有关联的话，目标 AP 将忽略所有从你网卡发送的数据包，IVS 数据将不会产生。

4.2.1 建立伪客户端连接

sudo aireplay-ng -1 0 -a <AP's MAC> -h mon0

【参数说明】 -1：伪客户端模式（设置为 0，则为循环攻击，不停的断开连接，客户端无法正常上网）；

-a：设置 ap 的 mac； -h：后面跟着的My MAC是自己的无线网卡的MAC地址。ifconfig命令下wlan0对应的mac地址。

4.2.2 进行注入 （注入方法各异，假如用-1的话）

伪装客户端成功连接以后才能发送注入命令，让路由器接受到注入命令后才可反馈数据从而产生 ARP 包。 sudo aireplay-ng -1 0 –e -a -h mon0

【参数说明】 -1：伪装客户端连接模式，后面跟延时 -e：设置 ap 的 essid -a：设置 ap 的 mac -h：设置伪装客户端的网卡 MAC（即自己网卡 mac）

当然也可以结合4.3中第一步的攻击模式，所以这么写居然能成功破解wifi： sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b <AP's MAC> -h mon0 现在回头看下步骤3的终端是不是DATA在开始飞涨！（那串ff照抄就行）

4.3 -2 Interactive 交互模式

这种攻击模式是一个抓包和提数据、发攻击包，三种集合一起的模式。这里介绍两种方式。

1．这种模式主要用于研究学习无客户端，先用-1 建立虚假客户端连接然后直接发包攻击 , aireplay-ng -2 -p 0841 -c ff:ff:ff:ff:ff:ff -b -h mon0

作用：实际上是对特定的数据包进行重放,当AP收到这个数据包的时候对这个数据包进行广播，进而我们能够获得更多的iv，以达到破解的要求。 等待一个AP自然产生的满足条件的数据帧有时候需要等待很久,如果我们对于一个合法的数据帧的帧控制进行修改，改成0841，同时修改目标地址为广播地址，由于AP并不检查数据内容，只是从控制字段判断，所以AP会对收到的这个我们修改过的数据包进行广播,从而我们也就达到我们的目的--收集IV。

原理：ARP包的开始位置就是帧控制的数据结构，长度是2字节： 第一个字节的结构是{Version:4bit,Type:2bit,Subtype:2bit}对于这部分,我们需要的是一个Type为2，表示数据帧。因为只有是数据帧才有iv，才会用到WEP加密数据。 对于flag字节，也就是第二个字节，需要设置To DS域为1，To DS域表示To Distribution System的标志,因为数据使用了WEP加密,所以Protected flag也被置为1,此时加上一个FF:FF:FF:FF:FF:FF的目标地址(广播地址)。则这个就是我们可以重放的数据包。当AP收到这个数据包时，会对他使用新的IV加密后广播。不断的重放这个数据包以达到收集IV的目的。

0841的二进制位0000 1000 0100 0001，从刚才的分析看到，1000中的10是Type域，0100中1是Protected flag，0001中的1是To DS,这样合起来便是0841的含义。

【参数说明】 -2：交互攻击模式 -p：设置控制帧中包含的信息（16 进制），默认采用 0841 -c：设置目标 mac 地址 -b：设置 ap 的 mac 地址 -h：设置伪装客户端的网卡 MAC（即自己网卡 mac）

2．提取包、发包攻击，发送注入数据包 aireplay-ng -2 –r -x 1024 mon0 【参数说明】 -x ：1024 是限定发包速度，避免网卡死机，可以选择 1024。

4.4 -3 ARP request 注入攻击模式

作用：既可以利用合法客户端，也可以配合-0，也可以配合-1 利用虚拟连接的伪装客户端。采用了一种称之为“ARP Request”的方式来读取ARP请求报文，并伪造报文再次重发出去，以便刺激AP产生更多的数据包，从而加快破解过程，这种方法就称之为ArpRequest注入攻击。

ARP请求重放攻击,当抓取到一个ARP请求包的时候对它进行重放,WEP体系允许IV的重复使用，因此AP会对重放的ARP请求包进行应答，从而能够收集到足够数量的IV。利用ARP请求包的重放破解效率是最高的。

如果合法客户端和ap之间长时间内没有 ARP request，可以尝试同时使用-0 攻击. 如果没有合法客户端，则可以利用-1 建立虚拟连接的伪装客户端，连接过程中获得验证数据包，从而产生有效 ARP request。再通过-3 模式注入。

具体输入命令如下：

aireplay-ng -3 -b -h <客户端的mac> -x 512 mon0

【参数说明】 -3：指采用ARPRequesr注入攻击模式； -b：后跟AP的MAC地址，这里就是前面我们探测到的SSID为TPLINK的AP的MAC； -h：后跟客户端的MAC地址，也就是我们前面探测到的有效无线客户端的MAC，假如是配合伪客户端就是my mac，否则填station列对应的mac地址； -x：定义每秒发送数据户包的数量，但是最高不超过 1024，建议使用 512（也可不定义）

注：使用此攻击模式的前提是必须有通过认证的合法的客户端连接到路由器，否则就配合伪客户端。

4.5 -4 Chopchop 攻击模式

作用：用以获得一个包含密钥数据的 xor 文件。这种模式主要是获得一个可利用包含密钥数据的 xor 文件，不能用来解密数据包。而是用它来产生一个新的数据包以便我们可以进行注入（我觉得就是用在4.3）。 aireplay-ng -4 -b -h mon0

【参数说明】 -b：设置需要研究学习的 AP 的 mac； -h：设置虚拟伪装连接的 mac（即自己网卡的 mac）

4.6 -5 fragment 碎片包攻击模式

作用：用以获得 PRGA(包含密钥的后缀为 xor 的文件) 。这种模式主要是获得一个可利用 PRGA，这里的 PRGA 并不是 wep key 数据，不能用来解密数据包。而是用它来产生一个新的数据包以便我们可以进行注入。其工作原理就是使目标 AP 重新广播包，当 AP 重广播时，一个新的 IVS 将产生，我们就是利用这个来研究学习 ! aireplay-ng -5 -b -h mon0

【参数说明】 -5：碎片包攻击模式 -b：设置 ap 的 mac -h：设置虚拟伪装连接的 mac（即自己网卡的 mac）

5、解密

当收集有15000个以上的DATA之后，另开一个终端，输入： sudo aircrack-ng -w dic.txt wep*.cap

进行解密。