Airodump stoppt bei 80000ivs

Z

Z-Eric

0
Guten Morgen liebe Boarder.

Ich habe leider kein Thema gefunden, welches mir bei meinem Problem helfen konnte.
Momentan versuche ich herauszufinden wie "sicher" mein Router unter Verwendung von WEP ist.

Jetzt zum eigentlichen Problem (lasse die ganzen Schritte zuvor wie z.B. Monitor mode aktivieren etc. weg):

Ich starte eine Attacke mit aireplay-ng -3 , die auch gute funktioniert. Die IVs steigen auch schön bei airodump-ng. Allerdings stoppt airodump-ng bei ziemlich genau 80000IVs. Die Anzahl der verschickten Pakete zwischen Router und Client steigt zwar weiter, aber eben nicht die IVs.

Es ist unabhängig davon wie lange es dauert um diese 80000IVs zu erzeugen oder wie viel Pakete ich schon zum Router geschickt habe.

Weiter kommt bei aireplay-ng -3 dann die Meldung:
Notice: got a deauth/disassoc packet. is the source mac associated ?

Ich verstehe nicht ganz warum er immer genau bei 80000IVs aufhört.

Kann mir vielleicht einer von euch weiterhelfen.

Verwendete Teile/Software:
Backtrack v2 (aircrack-ng 0.6.2)
D-Link DWL-G122
 
Hallo

Das mit Backtrack V2 und den IVs han ich auch schon gehabt... Wo speicherst du die Cap oder IVS Datei ?? Schreibst du nur airoplay-ng -w test oder speicherst du auf Platte also mit Pfad? Wenn nicht, versuchs mal mit Pfad. Ich hab z.B direkt auf mein USB-Stick gespeichert und das Problem war weg. Auf Platte ging bei mir nicht da ich Raid benutzte und Backtrack es nicht findet. Vielleicht kommst du dann über 800000....

Dein Deauth Problem versteh ich aber nicht ganz.. Was meinst du damit? Kommt die Meldung nach dem du 800000 Pakete gesammelt hast oder weist du nicht was er dir sagen will ?

du gibst warscheinlich folgendes ein.

aireplay -3 -b 00:00..... -h 00:00...... -x 600 ath0

Deauth heist soviel du zwingst den original Clienten sich neu am AP anzumelden das machst du mit.

aireplay-ng --deauth 5 -a "APMAC" -c "ClIENTMAC" ath0

Wobei hier die Clientmac die Real mac des Clienten ist. Beachte aber das alles andere schon laufen muss sprich airodump usw. Warte einige sec und die IVs müssten weiterlaufen.
 
Danke für die Antwort.

Das mit Backtrack V2 und den IVs han ich auch schon gehabt... Wo speicherst du die Cap oder IVS Datei ?? Schreibst du nur airoplay-ng -w test oder speicherst du auf Platte also mit Pfad? Wenn nicht, versuchs mal mit Pfad. Ich hab z.B direkt auf mein USB-Stick gespeichert und das Problem war weg. Auf Platte ging bei mir nicht da ich Raid benutzte und Backtrack es nicht findet. Vielleicht kommst du dann über 800000....
Zum Vergrößern anklicken....

Ich hab leider vergessen zu erwähnen, dass ich Backtrack auf der Festplatte intalliert habe und deshalb auch die cap und ivs Dateien direkt auf der Platte speicher unter /root. Ich kann aber mal versuchen sie unter nem anderen Pfad zu speichern.

Jetzt hab ich aber das Problem, dass beim verwenden der cap-Files mit 80000ivs mit -r bei aireplay-ng -3 der Paketversand immer bei 369 Paketen stoppt.

Code: 
aireplay-ng -3 -r 'cap mit den 80000ivs' -b 00:.... -h 00:... rausb0

Dein Deauth Problem versteh ich aber nicht ganz.. Was meinst du damit? Kommt die Meldung nach dem du 800000 Pakete gesammelt hast oder weist du nicht was er dir sagen will ?

du gibst warscheinlich folgendes ein.

aireplay -3 -b 00:00..... -h 00:00...... -x 600 ath0

Deauth heist soviel du zwingst den original Clienten sich neu am AP anzumelden das machst du mit.

aireplay-ng --deauth 5 -a "APMAC" -c "ClIENTMAC" ath0
Zum Vergrößern anklicken....

Es kommt immer nach einer weile beim verwenden von aireplay-ng -3. Sieht dann wie folgt aus:

Code: 
aireplay-ng -3 -b 00:.... -h 00:... rausb0 Notice: got a deauth/disassoc packet. is the source mac associated ?
Notice: got a deauth/disassoc packet. is the source mac associated ?
Notice: got a deauth/disassoc packet. is the source mac associated ?
Notice: got a deauth/disassoc packet. is the source mac associated ?
Notice: got a deauth/disassoc packet. is the source mac associated ?
""

Dann ist es meist auch schon vorbei mit dem Packetversand. Ist also immer ab der 80000ivs-Grenze aufgetaucht.

Ich verstehe die Fehlermeldung nicht ganz. Kann es sein, dass der Router mich blockt, weil ich so viel Traffic erzeuge?
 
Komisch dein Problem..

Die Fehlermeldung die du nicht verstehst heisst so viel das entweder ein Mac-Filter an ist. Sprich du brauchst die original Mac vom Clienten um weiter zu kommen oder du versuchst ein deauth.. "den Clienten falls er gerade am AP ist" neu zu connecten. Das wird er aber nicht immer machen wenn am Rechner kein automatischer Reconnect an ist bzw der User nicht gerade am Rechner sitzt und sich selber neu connected.

Versuch doch mal die Anzahl der zu sendend Pakete zu verringern fang mal bei -x 50 an und geh dann weiter hoch.
 
Das Gefühl hab ich auch, dass es ein komisches Problem ist. *lol*

Also ein MAC-Filter kommt nicht in Frage. Erstens verwende ich ja mit -h die orginal Mac vom Clienten und zweitens kommt es ja oft erst nach 1 000 000 Paketen zu diesem Fehler (bzw. nach erreichen der 80 000ivs). Bei einem Filter würde der Fehler ja sofort auftreten oder?

Das mit dem Client am AP könnte gut sein. Heißt also ich kann aireplay-ng -3 nur verwenden wenn der orginal Client nicht verbunden ist bzw. sich immer wieder neu connected?

Das mit der Paketzahlverringerung hab ich gestern schon mal getestet. Kann dir aber nicht mehr sicher sagen was mein kleinster Wert war (glaube -x 100). Ich versuch es heute einfach nochmal wenn ich dazu komme.

Aber wie kommt es jetzt, dass ich nur 369 Pakete versenden kann? Nur ein Tag zuvor hat es ohne Probleme 200 pakete/s geschafft. Liegt es vielleicht an den cap-Files selbst, die ich mit -r als Quelle mit einbeziehe?

Also irgendwie werd ich auch meinem Problem nicht schlau! *grübel*
 
Also ich weiss nicht, was du da mit einer -r Option machst und wieso jetzt nur noch 369 Pakete usw..

Vielleicht ist ja einfach nur deine Platte bzw Partition voll wenn du als *.cap abspeicherst das kann schon mal einiges wegnehmen. Speicher doch als *.ivs.

airodump-ng -w Datei --ivs --channel x rausb0

Solltest du immer noch nicht mehr als 80.000 IVs zusammenbekommen, dann benutze doch einfach ivstools. Damit wandelst du *.cap in *.ivs und kannst aus mehreren *.IVs eine grosse IVs Datei machen.

ivstools --convert datei.cap datei.ivs

ivstools --merge datei-01.ivs datei-02.ivs datei-03.ivs AllesDatei.ivs

So nun hast du all deine IVs in einer Datei und kannst Aircrack arbeiten lassen.

Da.
http://aircrack-ng.org/doku.php?id=tools
 
Also mit -r test.cap bindet man bei aireplay ein cap-File ein, in dem schon vorhandene ARPs sind um Traffic zu erzeugen ohe groß zu warten bis man ein ARP abfängt.

Die 369 Pakete sind im moment so eine Schwelle, die Probleme macht. Ich hab jetzt herausgefunden, dass nach ca. 30min die 369 überschritten werden und dann gggggaaaaaaannnnnnnzzzzzzz langsam die Zahl der gesendeten Pakete steigt.
Sprich ich schaffe damit 2500ivs in 12 Stunden. Also nicht wirklich schön.

Solltest du immer noch nicht mehr als 80.000 IVs zusammenbekommen, dann benutze doch einfach ivstools. Damit wandelst du *.cap in *.ivs und kannst aus mehreren *.IVs eine grosse IVs Datei machen.
Zum Vergrößern anklicken....

Hast du das schon mal versucht? Also ich hab damit keine Erfolge erzielt. Nachdem ich 3 cap-Files in ivs-Files gewandelt hab und dann zu einem großen ivs-File zusammengefasst hatte, hab ich aircrack-ng ausgeführt und es fand dennoch nur 80000IVs OBWOHL es fast 200 000IVs sein hätten müssen.
 
Moin,
ich habe in einem anderen Forum gelesen, daß es Router gibt die nur eine bestimmte Anzahl an "weaked IV´s" senden, d.h. es ist irgendwann schluß mit dumpen.

Die Anzahl an Daten steigt dann noch, aber nicht die IV´s.

Versuch mal an nem anderen Access Point dein Vorhaben, vielleicht gelingt es dir dort!

Oder du erzeugst dir aus bisher gewonnenen *.cap´s eigene ARP-Pakete, die du dann injezierst!

Um mehere *.cap Dateien in AIRCRACK-ng einzubeziehen brauchst du die einzelnen Files nur hintereinander OHNE Komma o.ä. aufzulisten!

aircrack -a 1 -n 128 Dump-01.cap Dump-02.cap Dump-03.cap

-a -- für Methode 1=WEP
-n -- für 128 Bit Key

Also Versucht das mal!

ABER NUR ZU TESTZWECKEN AM EIGENEN AP BITTE!!! > SCHNELL im ILLEGALEN SEKTOR!"
 
@Z-Erik Ja ich habe es immer so gemacht. Jetzt mach ich es so.. :D

aircrack -a 1 -n 128 Dump-01.cap Dump-02.cap Dump-03.cap
Zum Vergrößern anklicken....

Warum so einfach wenn es auch schwer geht! Hättest du auch früher sagen können bloodykiss99... ;) Nein, find ich gut hab ich auch noch nicht gekannt.

ich habe in einem anderen Forum gelesen, daß es Router gibt die nur eine bestimmte Anzahl an "weaked IV´s" senden, d.h. es ist irgendwann schluß mit dumpen.
Zum Vergrößern anklicken....

Sag mal hast du da evtl. noch mehr zu.. Welche APs etc würd mich mal interessieren.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben