Процесс аудита безопасности беспроводных сетей неразрывно связан с умением перехватывать служебные пакеты, известные как handshake. Именно в этом четырехэтапном обмене ключами между клиентом и точкой доступа содержится зашифрованная информация, необходимая для проверки пароля методом перебора. В среде Kali Linux этот процесс автоматизирован и доведен до совершенства благодаря мощному набору утилит, доступных по умолчанию.
Для успешного выполнения задачи вам потребуется адаптер, поддерживающий режим мониторинга и инъекцию пакетов. Стандартные встроенные модули ноутбуков часто не справляются с этой задачей, поэтому профессионалы используют внешние USB-карты на чипах Atheros или Realtek. Без аппаратной поддержки программные методы будут бесполезны, независимо от используемого софта.
В этой статье мы детально разберем техническую сторону перехвата, рассмотрим инструменты командной строки и проанализируем типичные ошибки, возникающие у новичков. Понимание физики процесса позволит вам не просто сле следовать инструкциям, а реально диагностировать проблемы при сканировании эфира.
Теоретические основы 4-way handshake
Протокол WPA2 использует механизм четырехэтапного рукопожатия для взаимной аутентификации клиента и точки доступа. В момент подключения устройство и роутер обмениваются случайными числами (nonce), на основе которых генерируется временный ключ шифрования. Критически важно, что сам пароль от WiFi никогда не передается по воздуху в открытом виде.
Захватив этот пакет, специалист по безопасности получает возможность оффлайн-перебора. Атакующий может тестировать миллионы комбинаций паролей локально, не создавая шума в эфире и не нагружая целевую сеть. Это делает метод перехвата handshake основным вектором атаки на домашние и корпоративные сети.
Процесс обмена выглядит следующим образом: точка доступа отправляет ANonce, клиент генерирует SNonce и отправляет его обратно вместе с MIC (кодом целостности сообщения). Точка доступа проверяет MIC и подтверждает соединение. Если хотя бы один из этих кадров будет потерян или поврежден, восстановить ключ не получится.
⚠️ Внимание: Перехват трафика и попытки взлома сетей разрешены только на собственном оборудовании или при наличии письменного согласия владельца инфраструктуры. Несанкционированный доступ к компьютерной информации преследуется по закону.
Современные роутеры могут использовать защиту WPA3, которая внедряет протокол SAE (Simultaneous Authentication of Equals). В отличие от классического handshake, SAE предотвращает возможность оффлайн-атак словарем, делая перехват рукопожатия бесполезным для классического брутфорса.
Подготовка оборудования и интерфейсов
Первым шагом является перевод сетевого интерфейса в режим мониторинга. В этом режиме карта перестает фильтровать кадры, предназначенные не для её MAC-адреса, и начинает записывать весь эфир на выбранной частоте. Стандартный режим Managed для этой задачи не подходит категорически.
Для управления беспроводными интерфейсами в Kali Linux чаще всего используется утилита airmon-ng. Она позволяет легко переключать режимы работы драйвера и убивать процессы, которые могут мешать захвату пакетов, такие как wpa_supplicant или NetworkManager.
Выполните команду для остановки мешающих процессов:
sudo airmon-ng check killЗатем активируйте режим мониторинга на вашем интерфейсе (обычно wlan0):
sudo airmon-ng start wlan0После успешного запуска в списке интерфейсов появится новое устройство, часто с суффиксом mon (например, wlan0mon). Именно с ним мы будем работать далее. Если интерфейс не появился, возможно, ваш драйвер не поддерживает режим мониторинга.
Сканирование эфира и выбор цели
Прежде чем начинать захват, необходимо идентифицировать целевую сеть. Для этого используется инструмент airodump-ng, который отображает все доступные точки доступа в радиусе действия, их каналы, уровень сигнала и типы шифрования.
Запустите сканирование на интерфейсе мониторинга:
sudo airodump-ng wlan0monВ открывшемся списке обратите внимание на столбец ENC. Нас интересуют сети с пометкой WPA2 или WPA. Также важен параметр PWR (мощность сигнала) — чем ближе значение к 0 (например, -40), тем стаильнее будет соединение и выше шансы на успешный захват.
Запишите BSSID (MAC-адрес роутера) и номер канала (CH) выбранной сети. Эти данные потребуются для фильтрации трафика. Без привязки к конкретному каналу вы будете собирать мусор со всех сетей одновременно, что усложнит анализ.
Настройка захвата пакетов
Теперь необходимо запустить запись пакетов конкретно для выбранной сети. Мы используем те же инструменты, но добавим фильтры по BSSID и каналу. Это позволит сохранить файл в компактном виде и сразу видеть статус рукопожатия.
Команда для старта записи выглядит так:
sudo airodump-ng --bssid [MAC_РОУТЕРА] --channel [КАНАЛ] --write target_capture wlan0monВместо [MAC_РОУТЕРА] и [КАНАЛ] подставьте данные вашей цели. Параметр --write указывает имя файла, в который будут сохраняться данные. В правом верхнем углу терминала вы увидите счетчик захваченных рукопожатий.
Пока идет запись, в верхней части экрана будет отображаться статус WPA handshake: 00:00:00:00:00:00. Как только в сети появится клиент и попытается подключиться (или переподключиться), счетчик изменится на 1, и процесс можно будет завершать.
☑️ Проверка перед запуском захвата
Методы ускорения получения handshake
Ожидание, пока реальный пользователь подключится к сети, может занять часы. Для ускорения процесса применяется техника деаутентификации. Мы отправляем управляющие кадры от имени роутера клиенту (или наоборот), принудительно разрывая соединение.
Для реализации атаки используется утилита aireplay-ng. В новом окне терминала (не закрывая airodump-ng) выполните:
sudo aireplay-ng --deauth 10 -a [MAC_РОУТЕРА] -c [MAC_КЛИЕНТА] wlan0monПараметр --deauth 10 означает отправку 10 пакетов деаутентификации. Если клиентов несколько, можно omit параметр -c, и разрыв произойдет для всех подключенных устройств. Обычно устройство автоматически пытается восстановить связь в течение нескольких секунд, генерируя необходимый нам handshake.
Следите за окном airodump-ng. Как только появится надпись о successful handshake, атаку можно прекращать. Файл target_capture-01.cap (или с другим расширением, указанным при запуске) готов к анализу.
⚠️ Внимание: Массовая рассылка пакетов деаутентификации может вызвать временный отказ в обслуживании (DoS) для всех устройств в сети. Используйте эту функцию с осторожностью и только в тестовых целях.
Существуют также пассивные методы, например, ожидание автоматического переподключения устройства, когда оно выходит из зоны действия роутера и возвращается. Однако активный метод с aireplay-ng остается самым быстрым способом получения данных.
Анализ и верификация захваченных данных
После завершения захвата необходимо убедиться, что файл содержит валидные данные. Не каждый файл с расширением .cap пригоден для брутфорса. Иногда перехват происходит некорректно, и ключевые части handshake отсутствуют.
Для проверки используется встроенный скрипт aircrack-ng. Запустите его с указанием файла и словаря (даже если словарь фейковый, программа проверит структуру):
aircrack-ng target_capture-01.cap -w /usr/share/wordlists/rockyou.txtЕсли в файле есть рукопожатие, программа сразу сообщит об этом сообщением KEY FOUND! (если пароль подошел) или Passphrase not in dictionary, но при этом подтвердит наличие handshake. Если же вы увидите ошибку No valid WPA handshakes found, значит, захват прошел неудачно.
Почему handshake может быть невалидным?
Часто причина кроется в плохом сигнале (потеря пакетов), использовании WPA3, либо в том, что клиент подключался через WPS, а не стандартным методом. Также проблема может быть в драйвере WiFi-адаптера, который обрезает длинные кадры.
Для дальнейшей работы с файлом вне Kali Linux (например, для передачи на GPU-кластер) часто требуется конвертация формата. Утилита wpaclean помогает удалить лишние данные из файла, оставляя только чистый handshake, что ускоряет последующий перебор.
Сравнение инструментов для захвата
В экосистеме Linux существует несколько инструментов для работы с беспроводными сетями. Хотя airodump-ng является стандартом де-факто, иногда полезно знать альтернативы, особенно если стандартный набор aircrack-ng работает нестабильно с вашим адаптером.
Ниже приведено сравнение основных характеристик популярных утилит:
| Инструмент | Основная функция | Сложность | Поддержка WPA3 |
|---|---|---|---|
| airodump-ng | Сканирование и захват | Средняя | Частичная |
| Wireshark | Глубокий анализ пакетов | Высокая | Да |
| Bettercap | Комбайн для атак | Высокая | Да |
| wifite2 | Автоматизация | Низкая | Нет |
Wireshark позволяет визуально разобрать каждый бит handshake, что полезно для обучения, но неудобен для быстрого захвата. Bettercap — это мощный фреймворк для MITM-атак, который также умеет проводить деаутентификацию. Wifite2 автоматизирует весь процесс, но часто работает менее стабильно, чем ручные команды.
Выбор инструмента зависит от вашей цели: для быстрого аудита подойдет связка airmon-ng + airodump-ng, для глубокого исследования протоколов — Wireshark.
Часто задаваемые вопросы (FAQ)
Можно ли получить handshake, если к сети никто не подключен?
Нет, handshake генерируется только в момент подключения клиента. Если в сети нет активных устройств, перехватить нечего. Однако можно дождаться, пока кто-то подключится, или использовать сохраненные профили на устройствах, которые пытаются подключиться автоматически.
Какой WiFi адаптер лучше всего подходит для Kali Linux?
Наиболее совместимыми считаются адаптеры на чипах Atheros AR9271 и Realtek RTL8812AU. Они поддерживают режим мониторинга и инъекцию пакетов "из коробки" или с минимальной установкой драйверов. Встроенные карты Intel часто работают нестабильно в режиме мониторинга.
Сколько времени занимает перебор пароля после получения handshake?
Время зависит от сложности пароля и мощности оборудования. Простые пароли (до 8 символов) находятся за секунды на современных GPU. Сложные пароли из 12+ символов с использованием спецсимволов могут перебираться годами или веками.
Работает ли этот метод на WPA3?
Классический метод захвата handshake и последующего оффлайн-перебора на WPA3 не работает из-за использования протокола SAE. Для WPA3 требуются другие методы атак, такие как Dragonblood, которые эксплуатируют уязвимости реализации, а не слабость самого рукопожатия.