Airbase-ng

描述

介紹

Airbase-ng是多功能工具，旨在攻擊客戶端，而不是訪問點（AP）本身。由于它的多功能性和靈活性，因此總結起來是一個挑戰。以下是一些功能亮點：

• 實施Caffe Latte WEP客戶端攻擊

• 實施Hirte WEP客戶端攻擊

• 能夠捕獲WPA / WPA2握手的能力

• 可以充當臨時訪問點

• 能夠充當完整的接入點

• 能夠按SSID或客戶端MAC地址進行過濾

• 能夠處理和重新發送數據包

• 能夠加密發送的數據包和解密接收的數據包

實現的主要思想是，它應鼓勵客戶端與偽造的AP關聯，而不是阻止他們訪問真實的AP。

運行airbase-ng時會創建一個Tap接口（atX）。這可用于接收解密的數據包或發送加密的數據包。

由于實際的客戶端很可能會發送對通用/配置網絡的探測請求，因此這些幀對于將客戶端綁定到我們的softAP非常重要。在這種情況下，AP將以適當的探測響應來響應任何探測請求，這會告訴客戶端對airbase-ng BSSID進行身份驗證。話雖如此，該模式可能會破壞同一信道上許多AP的正確功能。

警告：airbase-ng會輕易破壞您周圍的接入點。盡可能使用過濾器以最大程度地減少這種可能性。始終以負責任的態度行事，不要破壞不屬于您的網絡。

屏幕截圖

用法

用法：airbase-ng

選擇

• -a bssid：設置接入點MAC地址

• -i iface：從此接口捕獲數據包

• -w WEP key：使用此WEP密鑰加密/解密數據包

• -h MAC：用于MITM模式的源mac

• -f disallow：禁止指定的客戶端MAC（默認值：允許）

• -W 0 | 1：[不]在信標0 | 1中設置WEP標志（默認：自動）

• -q：安靜（不打印統計信息）

• -v：詳細（打印更多消息）（長–詳細）

• -M：[指定的]客戶端和bssids之間的MITM（當前未實現）

• -A：點對點模式(允許其他客戶端對等)(Long–點對點)。

• -Y in | out |Both：外部數據包處理

• -c channel：設置AP運行的通道

• -X：隱藏的ESSID（長–隱藏）

• -s：強制共享密鑰認證

• -S：設置共享密鑰挑戰長度（默認值：128）

• -L：Caffe-Latte攻擊（長– 拿鐵咖啡）

• -N：Hirte攻擊（cfrag攻擊），針對wep客戶端創建arp請求（long -cfrag）

• -x nbpps：每秒的數據包數（默認值：100）

• -y：禁用對廣播探測的響應

• -0：設置所有WPA，WEP，打開標簽。不能與-z和-Z一起使用

• -z type：設置WPA1標簽。1 = WEP40 2 = TKIP 3 = WRAP 4 = CCMP 5 = WEP104

• -Z type :：與-z相同，但適用于WPA2

• -V type :：假EAPOL 1 = MD5 2 = SHA1 3 =自動

• -F prefix：將所有已發送和已接收的幀寫入pcap文件

• -P：即使指定ESSID，也響應所有探測

• -I interval：以毫秒為單位設置信標間隔值

• -C秒：啟用信標探測的ESSID值（需要-P）

過濾器選項：

• • -bssid ：要篩選/使用的bssid(簡稱-b)

• –bssids ：從該文件讀取BSSID列表(j-B)

• • -client ：客戶端的MAC接受（短-d）
• • -clients ：從該文件中讀取Mac列表(（短-D）
• • -essid ：指定單個ESSID（短-e）
• • -essids ：從該文件中讀取ESSID列表(短-E)

幫助：

• –幫助：顯示使用情況屏幕（簡稱-H）

-a BSSID定義

如果未通過使用“ -a ”顯式指定BSSID，則使用指定接口的當前MAC。

-i iface

如果使用此選項指定接口，則除了重播接口之外，還將從該接口捕獲和處理數據包。

-w WEP key

如果softAP使用WEP加密運行，則客戶端可以選擇使用開放系統身份驗證或共享密鑰身份驗證。這兩種身份驗證方法均受airbase-ng支持。但是要獲得密鑰流，用戶可以嘗試強制客戶端使用共享密鑰身份驗證。“ -s”強制共享密鑰auth，“-S ”設置質詢長度。

-h MAC

這是中間人攻擊的源MAC。還必須指定“ -M”。

-f allow/disallow

如果未指定此選項，則默認為“ -f allow”。這意味著各種客戶端MAC過濾器（-d和-D）定義了接受哪些客戶端。

通過使用“ -f disallow”選項，這將反向選擇，并使airbase忽略由過濾器指定的客戶端。

-W WEP Flag

這將設置信標WEP標志。請記住，客戶端通常只會連接到與自己相同的AP。意思是WEP到WEP，打開即可打開。

“自動”選項允許airbase-ng根據指定的其他選項的上下文自動設置標志。例如，如果使用-w設置WEP密鑰，則信標標志將設置為WEP。

“自動”的另一種用法是與可以自動調整其連接類型的客戶端打交道。但是，這些之間很少。

實際上，最好將值設置為您要處理的客戶類型。

-q Quiet Flag

這樣可以禁止打印任何統計信息或狀態信息。

-v Verbose Flag

這會打印其他消息和詳細信息以幫助調試。

-M MITM Attack

此選項尚未實現。這是指定客戶端和BSSID之間的中間人攻擊。

-A Ad-Hoc Mode

這會使airbase-ng充當臨時客戶端，而不是普通的訪問點。

在臨時模式下，airbase-ng也發送信標，但不需要任何身份驗證/關聯。可以使用“ -A”將其激活。軟AP將自動調整在ad-hoc模式下模擬站點所需的所有標志，并生成隨機MAC，該MAC被用作CELL MAC而不是BSSID。可以用“ -a ”標簽覆蓋。然后，接口MAC將用作源mac，可以使用“ -h ”進行更改。

-Y External Processing

參數“ -Y”啟用“外部處理”模式。這將創建第二個接口“ atX”，用于隨意重播/修改/丟棄或注入數據包。還必須使用ifconfig調出該接口，并且需要外部工具在該接口上創建循環。

數據包的結構非常簡單：以太網頭（14個字節）被忽略，緊隨其后的是完整的ieee80211幀，其處理方式與將由airbase-ng處理（對于傳入數據包）相同，或者在數據包發送之前超出無線網卡（發送數據包）的范圍。此模式將攔截所有數據包，并通過外部應用程序將其循環，由外部應用程序決定如何處理它們。第二個分接接口的MAC和IP無關緊要，因為該接口上的實際以太網幀仍然會丟失。

“ -Y”有3個參數：“ in”，“ out”和“ both”，它們指定要在外部應用程序中循環播放的幀的方向。顯然，“In”僅重定向傳入的幀（通過無線NIC），而不會觸摸傳出的幀。“ out”的作用相反，它僅循環傳出數據包，“ both”通過第二個Tap接口發送所有兩個方向。

有一個小而簡單的示例應用程序可以在第二個界面上重放所有幀。該工具稱為“ replay.py”，位于“ ./test”中。它是用python編寫的，但是語言無關緊要。它使用pcapy讀取幀，并使用scapy潛在地更改/顯示和重新注入幀。該工具本身就是簡單地重播所有幀并打印接收到的幀的簡短摘要。變量“ packet”包含完整的ieee80211數據包，可以使用scapy輕松對其進行剖析和修改。

可以將其與ettercap過濾器進行比較，但功能更強大，因為可以使用一種真正的編程語言來構建用于過濾和數據包定制的復雜邏輯。使用python的缺點是，它會增加大約100毫秒的延遲，并且在高速網絡上cpu的利用率很高，但是它僅需幾行代碼即可完美演示。

-c 通道標志

這用于指定運行接入點的通道。

-X 隱藏SSID標志

這將導致訪問點隱藏SSID，并且不會廣播該值。

-s強制共享密鑰認證

指定后，這將強制所有客戶端進行共享密鑰身份驗證。

如果指定了“ -s”，則軟AP將向任何開放系統身份驗證請求發送“不支持身份驗證方法”拒絕。

-S共享密鑰質詢長度。

“ -S ”設置質詢長度，可以是16到1480之間的任何值。默認值為128個字節。它是隨機質詢中使用的字節數。由于一個標簽最多可包含255個字節，因此任何大于255的值都會創建多個質詢標簽，直到寫入所有指定的字節為止。許多客戶端會忽略不同于128字節的值，因此此選項可能并不總是有效。

-L Caffe Latte進攻

Airbase-ng還包含新的caffe-latte攻擊，它在aireplay-ng中也實施為攻擊“ -6”。它可以與“ -L”或“ -caffe-latte”一起使用。這種攻擊特別針對客戶端，因為它等待廣播的arp請求，而該請求恰好是免費的arp。然后，它翻轉發送方MAC和IP中的幾位，更正ICV（crc32）值，然后將其發送回客戶端，該值來自于此。這種攻擊在實踐中起作用的原因是，至少在第2層建立連接并設置了靜態ip之后，Windows會發送免費的arp，或者dhcp失敗并且Windows從169.254.XX中分配了IP。

“ -x ”設置執行caffe-latte攻擊時每秒發送的數據包數。目前，這種攻擊還沒有停止，它不斷發送arp請求。需要Airodump-ng來捕獲答復。

-N Hirte攻擊（碎片攻擊）

此攻擊偵聽來自客戶端的ARP請求或IP數據包。一旦收到一個，就會提取少量PRGA，然后將其用于創建針對客戶端的ARP請求數據包。該ARP請求實際上是由多個數據包片段組成的，因此，客戶端在收到請求時會做出響應。

這種攻擊對ad-hoc網絡特別有效。同樣，它也可以用于softAP客戶端和普通AP客戶端。

此選項包括增加了與某些客戶端的兼容性。同樣，還包括用于cfrag攻擊的隨機源IP和MAC，以逃避簡單的洪水保護。

-x每秒的數據包數

設置每秒傳輸速率的數據包數（默認值：100）。

-y禁用廣播探針

使用此選項時，偽造的AP將不會響應廣播探測。廣播探針是無法唯一標識特定AP的位置。通常，大多數AP將以對廣播探測的探測響應進行響應。該標志將防止這種情況的發生。僅當唯一請求特定AP時，它才會響應。

-0設置WPA / WEP標簽

這樣可以在發送的信標中啟用所有WPA / WPA2 / WEP標簽。同時使用-z或-Z時無法指定

-z設置WPA標簽

這指定了WPA信標標簽。有效值為：1 = WEP40 2 = TKIP 3 = WRAP 4 = CCMP 5 = WEP104。建議您在使用此參數時也將信標中的WEP標志設置為“ -W 1”，因為有些客戶端對此感到困惑。

-Z設置WPA2標簽

這指定了WPA2信標標簽。有效值與WPA相同。建議您在使用此參數時也將信標中的WEP標志設置為“ -W 1”，因為有些客戶端對此感到困惑。

-V EAPOL類型

這指定了有效的EAPOL類型。有效值為：1 = MD5 2 = SHA1 3 =自動

-F文件名前綴

此選項使airbase-ng將所有已發送和已接收的數據包寫入磁盤上的pcap文件。這是文件前綴（如airodump-ng -w）。

-P所有探頭

這將導致假訪問點對所有探測做出響應，而與指定的ESSID無關。如果沒有-P，將使用忽略不匹配ESSID的探測的舊行為。

-I信標間隔

這將設置發送信標之間的時間（以毫秒為單位）。

使用ESSID列表時，所有ESSID都將與信標一起廣播。隨著添加了額外的ESSID，現在根據ESSID的數量乘以間隔值來調整信標間隔值（默認為0x64）。為了支持一長串ESSID的“快速”信標設置，可以使用-I參數設置較小的間隔。要獲得N個信標的0x64間隔，請將-I參數設置為0x64 / N。如果該值低于約10，則將達到最大注入速率，airbase-ng將無法可靠地處理新客戶。由于每張卡的注入速率不同，因此-I參數允許根據信標的數量將其調整為特定的設置和注入速度。

-C秒

為了使用該選項，還必須指定-P選項。通配符ESSID也將以此秒為準。一個好的典型值是“ -C 60”。

在默認模式下（無ESSID）或帶有-P參數運行時，-C選項可用于啟用定向探頭看到的ESSID的信標廣播。這允許正在探測網絡的一個客戶端在短時間內（-C參數，即廣播新探測請求的秒數）在同一網絡中生成信標。當某些客戶端發送定向探針，而另一些客戶端被動偵聽信標時，此方法效果很好。進行定向探查的客戶端會生成一個信標，該信標會喚醒被動客戶端，并使被動客戶端也加入網絡。這對于共享相同WiFi的Vista客戶端（在許多情況下會被動監聽信標）尤其有用。網絡作為發送定向探頭的Linux / Mac OS X客戶端。

信標幀

如果恰好指定了一個ESSID，則信標幀包含ESSID，如果設置了多個，則ESSID將隱藏在信標幀中，長度為1。如果未設置ESSID，則信標將包含“默認”作為ESSID，但接受關聯請求中的所有ESSID。如果應將ESSID始終隱藏在信標幀中（讀：無或指定一個ESSID），則可以設置“ -X”標志。

控制幀處理

代碼從不發送控制幀（ack / rts / cts），但有時會讀取（固件應處理）。管理和數據幀可以始終發送，無需在關聯甚至發送數據幀之前進行身份驗證。他們可以立即發送。實際的客戶端仍將進行身份驗證和關聯，并且softAP應該發送正確的答案，但是airbase-ng并不關心檢查屬性，僅允許所有站點進行連接（關于已過濾的ESSID和客戶端MAC）。因此，身份驗證不會失敗（除非強制執行SKA）。關聯階段相同。AP絕不會在正常操作模式下發送取消身份驗證或取消關聯幀。

它以最大化兼容性和保持站保持連接的機會的方式實現。

篩選

有豐富的過濾功能。

要限制受支持的ESSID，可以指定“ -e ”將ESSID添加到允許的ESSID列表中，或者使用“ -E ”從該文件中讀取允許的ESSID列表（一個ESSID）。每行）。

對于客戶端MAC（某種MAC過濾器）可以執行相同的操作。“ -d ”將一個MAC添加到列表中，“-D ”將中的所有MAC添加到該列表中（同樣，每行一個MAC）。

MAC列表可用于僅允許該列表上的客戶端并阻止所有其他客戶端（默認），或阻止指定的客戶端并允許所有其他客戶端。這由“ -f允許”或“ -f不允許”控制。“允許”創建白名單（如果未設置“ -f”，則默認設置），而“禁止”創建黑名單（第二種情況）。

點擊界面

每次運行airbase基地時，都會創建一個Tap接口（atX）。要使用它，請運行“ ifconfig atX up”，其中X是實際的接口號。

該接口有許多用途：

• 如果使用“ -w”指定了加密密鑰，則傳入的數據包將被解密并顯示在接口上。

• 發送到該接口的數據包將被傳輸。此外，如果使用“ -w”選項，它們將被加密。

使用范例

這是用法示例。即使在某些示例中使用了兩張卡，您也只需要一個無線設備。

Simple

使用“ airbase-ng ”足以設置沒有任何加密的AP。只要將身份驗證和關聯定向到BSSID，它將為每個ESSID接受來自任何MAC的連接。

在這種情況下，您確實不能做很多事情。但是，它將顯示正在連接的客戶端列表以及加密方法和SSID。

接入點模式下的Hirte Attack

該攻擊從客戶端獲取了密鑰。它取決于在與假AP關聯之后從客戶端接收至少一個ARP請求或IP數據包。

輸入：

 airbase-ng -c 9 -e teddy -N -W 1 rausb0

哪里：

• -c 9指定通道

• -e teddy過濾單個SSID

• -N指定Hirte攻擊

• -W 1強制信標指定WEP

• rausb0指定要使用的無線接口

系統響應：

 18:57:54  Created tap interface at0
 18:57:55  Client 00:0F:B5:AB:CB:9D associated (WEP) to ESSID: "teddy"

在另一個控制臺窗口上運行：

  airodump-ng -c 9 -d 00:06:62:F8:1E:2C -w cfrag wlan0

哪里：

• -c 9指定通道

• -d 00：06：62：F8：1E：2C過濾捕獲到偽造的AP MAC的數據（這是可選的）

• -w指定捕獲數據的文件名前綴

• wlan0指定用于捕獲數據的無線接口

當airbase-ng接收到來自客戶端的數據包并成功發起攻擊時，窗口如下所示：

 CH  9 ][ Elapsed: 8 mins ][ 2008-03-20 19:06                                         

  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

  00:06:62:F8:1E:2C  100  29      970    14398   33   9  54  WEP  WEP         teddy                           

  BSSID              STATION            PWR   Rate  Lost  Packets  Probes                                      

  00:06:62:F8:1E:2C  00:0F:B5:AB:CB:9D   89   2-48     0   134362   

此時，您可以在另一個控制臺窗口中開始aircrack-ng以獲取wep密鑰。或者，在airbase-ng中使用“ -F <文件名前綴>”選項直接寫一個捕獲文件，而不是使用airodump-ng。

臨時模式下的Hirte Attack

該攻擊從客戶端獲取了密鑰。它取決于在與假AP關聯之后從客戶端接收至少一個ARP請求或IP數據包。

輸入：

 airbase-ng -c 9 -e teddy -N -W 1 -A rausb0

哪里：

• -c 9指定通道

• -e teddy過濾單個SSID

• -N指定Hirte攻擊

• -W 1強制信標指定WEP

• -A指定臨時模式

• rausb0指定要使用的無線接口

其余將與AP模式相同。

接入點模式下的Caffe Latte攻擊

該攻擊從客戶端獲取WEP密鑰。它取決于與假AP關聯后，從客戶端接收至少一個免費ARP請求。

輸入：

 airbase-ng -c 9 -e teddy -L -W 1 rausb0

哪里：

• -c 9指定通道

• -e teddy過濾單個SSID

• -L指定Caffe Latte攻擊

• -W 1強制信標指定WEP

• rausb0指定要使用的無線接口

其余與Hirte客戶端攻擊相同。

共享密鑰捕獲

這是從客戶端共享密鑰關聯中捕獲PRGA的示例。

輸入：

 airbase-ng -c 9 -e teddy -s -W 1 wlan0  

哪里：

• -c 9指定通道

• -e teddy過濾單個SSID

• -s強制共享密鑰認證

• -W 1強制信標指定WEP

• wlan0指定要使用的無線接口

系統響應：

 15:08:31  Created tap interface at0
 15:13:38  Got 140 bytes keystream: 00:0F:B5:88:AC:82
 15:13:38  SKA from 00:0F:B5:88:AC:82
 15:13:38  Client 00:0F:B5:88:AC:82 associated to ESSID: "teddy"

最后三行僅在客戶端與假AP關聯時出現。

在另一個控制臺窗口上運行：

airodump-ng -c 9 wlan0

哪里：

• -c 9指定通道

• wlan0指定要使用的無線接口

這是成功捕獲SKA后的窗口外觀。注意右上角的“ 140字節密鑰流：00：C0：CA：19：F9：65”：

 CH  9 ][ Elapsed: 9 mins ][ 2008-03-12 15:13 ][ 140 bytes keystream: 00:C0:CA:19:F9:65                       

  BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

  00:C0:CA:19:F9:65   87  92     5310        0    0   9  54  WEP  WEP    SKA  teddy                            

  BSSID              STATION            PWR   Rate  Lost  Packets  Probes                                      

  00:C0:CA:19:F9:65  00:0F:B5:88:AC:82   83   0- 1     0     4096  teddy

或者，在airbase-ng中使用“ -F <文件名前綴>”選項直接寫入捕獲文件，而不是使用airodump-ng。

WPA握手捕獲

這是如何捕獲WPA握手的示例。

輸入：

 airbase-ng -c 9 -e teddy -z 2 -W 1 rausb0

哪里：

• -c 9指定通道

• -e teddy過濾單個SSID

• -z 2指定TKIP

• -W 1設置WEP標志，因為有些客戶機沒有它會感到困惑。

• rausb0指定要使用的無線接口

必須根據您認為客戶端將使用的密碼來更改-z類型。TKIP是WPA的典型代表。

系統響應：

 10:17:24  Created tap interface at0
 10:22:13  Client 00:0F:B5:AB:CB:9D associated (WPA1;TKIP) to ESSID: "teddy"

最后一行僅在客戶端關聯時出現。

在另一個控制臺窗口上運行：

 airodump-ng -c 9 -d 00:C0:C6:94:F4:87 -w cfrag wlan0

• -c 9指定通道

• -d 00：C0：C6：94：F4：87過濾捕獲到偽造的AP MAC的數據。是運行假AP的卡的MAC。這是可選的。

• -w指定捕獲的數據的文件名

• wlan0指定用于捕獲數據的無線接口

當客戶端連接時，請注意以下屏幕右上角的“ WPA握手：00：C0：C6：94：F4：87”：

 CH  9 ][ Elapsed: 5 mins ][ 2008-03-21 10:26 ][ WPA handshake: 00:C0:C6:94:F4:87                             

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB  ENC  CIPHER AUTH ESSID

 00:C0:C6:94:F4:87  100  70     1602       14    0   9  54  WPA  TKIP   PSK  teddy                           

 BSSID              STATION            PWR   Rate  Lost  Packets  Probes

 00:C0:C6:94:F4:87  00:0F:B5:AB:CB:9D   86   2- 1     0       75    

或者，在airbase-ng中使用“ -F <文件名前綴>”選項直接寫一個捕獲文件，而不是使用airodump-ng。

運行“ aircrack-ng cfrag-01.cap”證明它捕獲了有效的WPA握手：

 Opening cfrag-01.cap
 Read 114392 packets.

 #  BSSID              ESSID                     Encryption

 1  00:C0:C6:94:F4:87  teddy                     WPA (1 handshake)

WPA2握手捕獲

捕獲WPA2基本上與上述有關WPA的示例相同。典型的區別是指定-Z 4（CCMP密碼）而不是-z 2。

輸入：

 airbase-ng -c 9 -e teddy -Z 4 -W 1 rausb0

balance與WPA握手捕獲相同。

softAP

僅GURU專家：此功能需要非常先進的Linux和網絡知識。不要向論壇發布有關此部分的問題。如果您無法自行調試此功能，則不應使用它！

將創建一個新的分接接口“ atX”，充當AP的“wired side”。為了使用AP，必須使用ifconfig調出這個新接口并需要一個IP。分配的MAC自動設置為BSSID [默認為無線接口MAC]。一旦分配了IP，并且客戶端使用同一子網之外的靜態IP，則AP與客戶端之間將建立有效的以太網連接。可以將任何守護程序分配給該接口，例如dhcp和dns服務器。連同內核ip_forwarding和偽裝的正確iptable規則一起，softAP充當無線路由器。任何在以太網上運行的工具都可以綁定到該接口。

使用技巧

Hirte Attack如何運作？

這是客戶端攻擊，可以使用任何IP或ARP數據包。下面詳細介紹該攻擊。

基本思想是生成一個ARP請求，該請求將被發送回客戶端，以便客戶端做出響應。

攻擊需要來自客戶端的ARP或IP數據包。由此，我們需要生成一個ARP請求。ARP請求必須在字節位置33處具有目標IP（客戶端IP），并且目標MAC應該全為零。但是，目標MAC實際上在實踐中可以是任何值。

從客戶端收到的數據包中的源IP處于已知位置-ARP位置為23或IP地址為21。如果數據包的長度為68或86字節加上廣播目標MAC地址，則假定為ARP。否則，假定它是IP數據包。

為了將有效的ARP請求發送回客戶端，我們需要將源IP移到位置33。當然，您不能簡單地移動字節，這會使數據包無效。因此，我們使用數據包分段的概念來實現這一目標。ARP請求作為兩個片段發送到客戶端。選擇第一片段長度，以便當片段最終由客戶端重新組裝時，將傳入的源IP移動到位置33。第二個片段是從客戶端收到的原始數據包。

在IP數據包的情況下，使用類似的技術。但是，由于可用PRGA的數量有限，因此有三個片段以及所使用的原始數據包。

在所有情況下，都使用位翻轉來確保CRC正確。此外，位翻轉用于確保分段數據包中包含的ARP的源MAC不進行多播。

使用疑難排解

驅動程序限制

某些驅動程序（例如r8187）無法捕獲自身發送的數據包。這意味著softAP將不會出現在airodump-ng中。您可以使用兩張無線網卡來解決此問題，一張無線網卡插入，另一張無線網卡捕獲。或者，您可以使用rtl8187驅動程序。

madwifi-ng當前不支持Caffe-Latte或Hirte攻擊。根本原因在于madwifi-ng驅動程序中。驅動程序無法與客戶端正確同步速度，因此客戶端永遠不會收到數據包。如果您需要使用這些攻擊，請嘗試使用ath5k驅動程序。

損壞的SKA錯誤消息

您會收到“破碎的SKA：<MAC地址>（預期：??，得到??字節）””或類似的消息。當使用“ -S”選項且其值不同于128時，某些客戶端將失敗。此消息表明實際接收的字節數與請求的數目不同。不要使用該選項，也可以嘗試使用不同的“ -S”值來查看哪個消除了該錯誤。

創建點擊界面時出錯：權限被拒絕

請參閱以下[常見問題解答條目](http://www.6brc.com/docs/1414）。

相關命令

“ -D”是已添加到aireplay-ng的新選項。默認情況下，aireplay-ng偵聽來自指定AP的信標，如果聽不到任何信標，則失敗。“ -D”選項禁用此要求。

aireplay-ng -6（Caffe Latte攻擊）

示例：aireplay-ng -6 -h 00：0E：D2：8D：7D：0A -D rausb0

aireplay-ng -7（Hirte攻擊）

示例：aireplay-ng -7 -h 00：0E：D2：8D：7D：0A -D rausb0