圖四:組建一個實驗環境

　　在圖四所示的網絡中，無線AP的選用，我們使用的是一個Netgear的產品，型號為WGT624v2，它在以后充當被攻擊目標的角色，在以后就稱它為目標AP。在所使用的三臺機器中，一臺是作為被攻擊目標的客戶端機器，暫且稱之為“Target”;另外兩臺筆記本一臺執行主動攻擊，促使網絡流量的產生，以便足夠多的數據包有比較短的時間內能夠被捕捉到，稱這臺機器為“Attack”;剩下的那臺筆記本就是用來嗅探并捕捉那些主動攻擊產生的數據包了，則把它稱為“Sniff”。當然，盡管整個的破解過程可以在一臺筆記本上完成，但筆者并不推薦這種做法，用僅僅一臺筆記本，會使以后的工作變得很麻煩，并且發現使用這種方法的話竊聽程序可能會發生一點小問題。在一個使用率不高的WLAN中，使用主動攻擊比被動探測的機會更大，它可在較短的時間內使WLAN產生更多的數據包從而加快破解WEP的速度。

　　在這個實驗環境中一定非得要使用筆記本不可，我們當然也能夠使用桌面PC或桌面PC與筆記本混用，不過使用筆記本的話它的便攜性更好，而且對現在的無線PC Card卡有更好的兼容性。

　　Target所使用的無線網卡與芯片無關，只要是基于802.11b，任意廠家的產品都可滿足要求。而Attack與Sniff兩臺機器是使用的兩塊基于PRISM芯片的802.11b的無線網卡。盡管我們在以后的操作中中使用的很多工具(如Kismet)都可支持相當多種類的無線網卡，但筆者還是建議使用基于PRISM 2芯片的網卡，因為這種芯片能夠被我們在破解過程所要使用到的所有工具都支持。

　　無線網卡一般有外置天線與內置天線兩種，假如所購買的無線網卡并沒有內置天線的話，還必須自己再另購天線。不過外置天線的優點就是增益更高，靈敏度更好，可以調節天線的方向從而得到更好的信號接收;而內置天線是可以更方便地攜帶，缺點是天線方向無法調節。筆者看到有一種移動式外置天線，使用起來是很方便的，在這種移動式天線的底部有幾個橡膠材料的小吸杯，可以把它方便地吸附在筆記本的頂蓋上，假如是在車內使用的話，還可把它牢牢地吸在車空窗玻璃上呢。如下圖五所示。

圖四:移動式天線

　　2、實驗WLAN的設置

　　適當地對這個實驗環境進行一下設置是很重要的，因為我們究竟只想要在這個用來實驗的環境中來完成所有的操作，在下文中描述的攻擊過程中，將會強制終止一個與AP有連接的客戶端。這種攻擊可能會對在這個鄰近區域內的無線用戶造成嚴重損害，為了避免鄰近的AP上的用戶受到附帶的攻擊，是要保護那些并不屬于實驗WLAN的用戶。假如這個操作環境中位于一個復雜的辦公室、辦公大樓或其他有許多無線網絡覆蓋的區域中的話，要嘗試一下這樣的破解操作，請最好等到晚上沒什么人工作，網絡不再繁忙時進行，免得“城門失火，殃及池魚”。

　　第一步就是連接和設置這個被攻擊的實驗無線局域網，如前面所述，這個WLAN包含有一個access Point(無線路由器)和僅僅一個無線客戶端，且這個無線局域網被我們想要破解的WEP密鑰保護起來了。把目標AP的SSID(System Set ID)設置為“starbUCks”，SSID用來區分不同的網絡，也稱為網絡名稱。無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;假如出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務區上網?？梢哉J為SSID是一個簡單的口令，從而提供口令機制，實現一定的安全性。并在這個WAP上配置一個64位的WEP密鑰來進行保護。

　　把如下的信息記錄下來以便以后使用

　?、貯P的MAC地址。它通常會在AP的WEB配置菜單上顯示出來， AP的底部或側面的標簽上也可能記有本機的MAC地址。

　?、贏P的SSID。

　?、跘P的無線頻道(Channel)。

　?、躓EP 密鑰。假如無線AP顯示的密鑰像0xFFFFFFFFFF這樣的格式(把設定的值替代F的值)，把除0x外的每個字母都記下來。

　　第二步就是把Target客戶端連接到目標AP上。我們現在需要把這個客戶端連接到目標AP以進行進一步的配置，(以下都是在Windows xp下進行的)，右鍵單擊桌面上的“網上鄰居”圖標，或者通過“開始”菜單，然后單擊“屬性”，雙擊“Wireless Network Connection”，然后打開如圖五所示的窗口，其中顯示的是有多個可用的無線網絡，但假如只有一個無線網絡的話，則在該窗口中可能只僅僅顯示剛剛配置的那個名為“starbucks”的AP，雙擊相應的SSID名稱以連接到目標AP。

圖五:連接到目標WLAN

　　因為AP已開啟了WEP保護，連接時Windows會要求輸入一個密碼(如圖六所示)，把剛才設置的的WEP密鑰輸入(當然從記事本或寫字板文檔中粘貼過來也可)，稍等一會兒后Windows就會報告已連接到網絡上。確認一下是否已真正地連接成功，去ping一個在有線網絡計算機來測試一下;或者假如這個實驗WLAN已接連到因特網上，隨便打開一個WEB站點看是否能夠連接來加以確認。假如不能成功地ping通已知地址的機器或者打不開正常的WEB站點，則打開無線網卡的屬性，單擊“支持”按鈕，檢查一下無線網上是否已獲取了一個正確的ip地址，假如沒有能夠獲取正確的IP地址，看看網絡中的DHCP服務器是否已啟用，并檢查無線網卡的TCP/IP屬性是否設置成“自動獲取IP地址”了，假如一切都正常，在這個無線連接中點擊 “修復”按鈕來加以改正。

圖六:輸入WEP密鑰

　　第三步就是記錄下Target機器的MAC地址。一旦成功連接到網絡上，就把被攻擊的Target計算機的MAC地址記錄下來。方法有兩種，一是打開一個命令提示符窗口并輸入ipconfig/all命令也可看到這個MAC地址，這個窗口的內容如下圖七所示(無線網卡的MAC地址信息已高亮度顯示)。

圖七:輸入ipconfig/all命令來發現MAC地址

　　二是在Windows XP中，可從“無線連接狀態”窗口來得到這個MAC地址，單擊“支持”按鈕，然后單擊“具體信息”，這個MAC地址就顯示在窗口頂端的右邊(如圖八所示)，當然，不同的機器顯示的名稱可能不盡相同，另外的計算機顯示的就可能如“物理地址”這一類的描述信息了。在這個窗口的信息，組成MAC地址的字母和數字被短劃線分隔，短劃線的目的只是使這些字符看得更清楚，但實際的MAC地址是沒有這些短劃線的。

圖八:在網絡連接具體信息中顯示的MAC地址

　　3、筆記本的設置

　　首先，我們來預備破解WEP密鑰所需要的幾個工具軟件(Kismet、Airodump、Void11、Aireplay 和Aircrack)，Kismet:用來掃描整個區域內的WLAN，找到實驗用的目標WLAN，收集相關數據(SSID值、頻道、AP及與之相連接的客戶端的MAC地址等);Airodump:對目標WLAN進行掃描并捕捉其產生的數據包到一個文件中;Void11:從目標AP中驗證某臺計算機，并強制這個客戶端重新連接到到目標AP，以使其一個ARP請求;Aireplay:接受這些ARP請求并回送到目標AP，以一個合法的客戶端身份來截獲這個ARP請求; Aircrack:接受Airodump生成的捕捉文件并從中提取WEP密鑰。

　　它們都是公開源代碼的共享或自由軟件，這些所有的工具都可以在一個被稱為 “Auditor Security Collection LIVE CD” 的共享光盤上找到，這個光盤是一張可引導系統的光盤，可以引導一個經過改進過的Kanotix linux，這個Linux版本無需存取硬盤，在通過光盤啟動時直接安裝到內存中就，它啟動后可自動檢測和配置多種無線網卡。在本文使用的Auditor Security Collection LIVE CD是最新版本，版本號為auditor-150405-04，下載地址為http://new.remote-exploit.org/index.php/Auditor_mirrors，下載的文件格式是CD映像文件或.ISO文件，通過Nero(或其他的刻錄軟件)把它刻錄下來，給Attack和Sniff機器各一張。

　　首先把無線網卡插入到筆記本中(假如機器內置有無線網卡就最好不過了)，再把筆記本設置成從光盤引導，并把Auditor Security Collection CD放入光驅中。從Auditor引導菜單中選擇合適的屏幕分辨率后，Kanotix Linux會被安裝到內存中運行并出現Auditor開始屏幕(如圖九所示)。

圖九:Auditor的開始屏幕

　　在這個Auditor系統中，兩個最重要的圖標是位于屏幕左下方的Programs和Command Line圖標，我們以后的許多操作基本上都是要通過它們來完成的。如圖十所示。

圖十:Program和Command Line的位置

　　在這里，開始做其他任何其他的事情之前，先要確認我們機器上的無線網卡能夠通過Auditor的驗證。單擊Command Line圖標以打開一個命令行窗口，然后輸入iwconfig命令，在Auditor顯示出的信息中，你會看到有關于“Wlan0”的信息，它是Auditor為基于PRISM芯片的卡確定的一個名稱，假如用來操作攻擊的筆記本的屏幕顯示如圖十一所示的窗口，則表明Auditor已檢測到了無線網卡，現在就可以開始下一步工作了。對于另外一臺筆記本，也進行同樣的步驟，重復這一操作。

圖十一:用iwconfig命令檢驗無線網卡

　　好，預備工作現在基本完成，在本文的下篇里，我們將開始實際的解決過程。

 

圖十二:運行Kismet

　　除掃描無線網絡之外，Kismet還可以捕捉網絡中的數據包到一個文件中以方便以后加以分析使用，因此Kismet會詢問用來存放捕捉數據包的文件的位置，如我想把這些文件保存到root/desktop下，則單擊“Desktop”，然后選擇“OK”即可，如圖十三所示。然后Kismet然后會詢問捕捉文件的前綴名字，我們可以更改這個默認的名字，例如把它更改為“capture”然后點擊OK，這樣Kismet就會以capture為文件名的開頭，再在其后依次添加序號來保存捕捉下來的數據包到不同的文件中。

圖十三:在Kismet中指定文件的存放位置

　　當Kismet開始運行時，它將會顯示這個區域內它找到的所有的無線局域網，“Name”那一列中所顯示出來的內容就是哪一個WLAN中AP的SSID值，那當然開始設定的目標WLAN也應該包含中其中(Name下值為starbucks的那一行)，在這一行中，CH列的值(AP所使用的頻道)應該與開始所記下的相同。在窗口的最右邊顯示的信息是Kismet發現的WLAN的數目，已被捕捉下來了的數據包、已加密了的數據包的數目等等。如下圖十四所示。假如Kismet發現了許多相鄰的Access Point，你應把這個實驗環境搬得離這些AP更遠一些，或者把與你網上相連接的任何高增益天線斷開。甚至當目標計算機已關閉時，Kismet也正可從我們的目標AP中檢測到數據包，這是因為目標AP在不停地發出“beacons”，它將告之擁有無線網卡的計算機有一個AP在此范圍內，我們可以這樣想像，這臺AP公布，“我的名字是XXXXX，請大家與我連接?！?

圖十四:Kismet顯示的內容

　　默認的Kismet是運行在“autofit”模式下的，它顯示的內容雜亂無章的，我們可以通過排序把AP按任何有意義有順序來重新排列，按下“s”鍵到“Sort”菜單，在這兒可以按下某個字母來對搜尋到的AP進行排序，如“f”鍵是按AP名字的第一個字母來排序，而“c”鍵是按AP使用的頻道來進行排序,“l”是按時間來進行排序等等。

　　現在我們來查看一下目標WLAN中AP的具體信息，按下“s”鍵，然后再按下“c”鍵，把整個AP的列表用頻道的方式來排列，使用光標鍵移動高亮條到表示目標AP的SSID上，然后敲下回車鍵，然后將打開一個顯示所選擇AP的具體信息的說明窗口(SSID、MAC地址和頻道等)。這樣，要破解一個加密WLAN的WEP密鑰所需要的基本信息大部分都在這兒了。如圖十五所示。有些WLAN從安全方面考試，隱藏了SSID或屏蔽SSID廣播，這樣做的話的確能夠防止使用Netstumbler來掃描，但碰上Kismet就毫無辦法了，它可輕易地檢測到隱藏的SSID。Kismet能夠比Netstumbler捕捉到更多的網絡信息，能夠通過跟蹤AP及與之相連接的客戶端之間的會話而發現某個AP的SSID。

圖十五:Kismet顯示一個AP的具體信息

　　要完成一個破解過程，還有最后一個需要了解的信息，就是WLAN中連接在目標AP上的無線客戶端的MAC地址，這個使用Kismet也是很輕易地搞定的。返回Kismet，按下“q”鍵退出具體信息窗口，默認的選擇仍然是剛才查看了的目標AP，使用“Shift+C”鍵，這時會打開一個與目標AP相關的客戶端列表，它們的MAC地址就顯示在這個窗口的左邊。如圖十六所示。在這個窗口顯示的內容中，不但包含了與AP相連的客戶端的MAC地址，還包括AP自己的MAC地址，還記得在本文的開頭所記下的目標AP的MAC地址嗎?在這，除了目標AP的MAC地址外就是客戶端的MAC地址了。

圖十六:使用Kismet尋找客戶端的MAC地址

　　假如你沒有看到Target計算機的MAC地址，請檢查一下，確認一下它是否已開機或連接到了目標AP(啟動目標計算機，連接到目標AP并打開WEB頁面)，大約10-30秒后，你將會看到目標計算機的MAC地址在Kismet中彈出。當然，把所有的客戶端MAC地址都記下來也不失為一個老道的方法，這樣就可避免在開始破解過程時一個客戶端也沒有出現時受阻。

　　2、用Airodump來捕捉數據包

　　現在了解破解所需的基本信息了，該是開始使用Airodump工具的時候了，Airodump的主要工作是捕捉數據包并為Aircrack建立一個包含捕捉數據的文件。在用來攻擊與破解的兩臺計算機中的任一一臺上，筆者是使用的是Attack計算機，打開一個shell窗口并輸入以下的命令:

iwconfig wlan0 mode monitor

iwconfig wlan0 channel THECHANNELNUM

cd /ramdisk

airodump wlan0 cap

　　注重:把THECHANNELNUM這個值更改成所要破解的WLAN中的頻道數，/ramdisk目錄是存儲捕捉數據文件的位置。假如在實驗WLAN環境的四周還有別的WAP，則可目標AP的MAC地址附在airodump命令的后部作為參數，如:airodump wlan0 cap1 MACADDRESSOFAP。如圖十七所示。

圖十七:Airodump命令的格式

　　這個命令僅僅是使airodump把捕捉到的目標AP的數據包寫入到那個生成的數據文件中(cap1)。 按下Ctrl+C鍵退出Airodump，輸入ls –l命令列出這個目錄中的內容，看看擴展名為.cap文件的大校在經過幾秒鐘的捕捉動作后，假如有數據包被成功地捕捉下來，那生成的這個包文件大約為幾個 KB大校假如Airodump使用同一個參數在捕捉數據包時被停止和重新開始后，這個生成的包文件會依照前一個文件順序添加，如第一個為cap1，第二個為cap2等。

　　當Airodump在運行時，在該窗口左邊看到的BSSID下列出來的值就是目標AP的MAC地址。在這個Airodump的運行窗口中，我們會看到Packet和IV這兩個值正在不停地增長，這都是由于Windows檢測網絡時產生的正常網絡通信，甚至在目標客戶端上并沒有打開WEB網頁收發email也是如此。過一會兒后就會看到IV值只會幾個幾個慢慢地上升，不過假如在目標計算機上瀏覽網頁時，隨著每一個新頁面的打開，Airodump中的IV值會在不斷地快速上升。如圖十八所示。

圖十八:Airodump顯示的IV值

　　在這兒，我們對Packet 的值不感愛好，因為它并不能夠有助于破解WEP，IV 值則是個很重要的數字，因為假如要破解一個64bit的WEP密鑰，需要捕捉大約50000到200000個IV，而破解一個128bit的WEP密鑰，則需要大約200000到700000個IV。

　　大家可能會注重到，在正常的網絡通信條件下，IV值不會增長得很快。實際上，在正常的通信條件下，要成功地破解WEP密鑰而需要從大多數的WLAN中捕捉足夠數量的數據包可能會花費數小時甚至數天的時間。幸運的是，我們還有有幾個辦法可以把這個速度提高起來。要使IV值快速地上升，最有效的辦法就是加大網絡的通信量，把目標WLAN變得繁忙起來，加快數據包產生的速度，通過連續不斷地ping某臺計算機或在目標計算機上下載一個很大的文件能夠模擬這一過程，讓Attack計算機上運行Airodump，可看到IV值慢慢在上升，再使用BT軟件下載一個大的文件(如分布式Linux系統的.ISO文件或電影)，這樣IV值上升的速度就快多了。

　　還有一個方法，在Windows的命令提示符窗口輸入如下的命令來進行一個持續不斷的ping: ping -t -l 50000 ADDRESS_OF_ANOTHER_LAN_CLIENT

　　這里 ADDRESS_OF_ANOTHER_LAN_CLIENT值更改成在本局域網中目標AP、路由器或其他任何可ping得通的客戶端的IP地址。

　　3、用Void11來產生更多的通信流量

　　void11把一個無線客戶端從它所連接的AP上使用一個強制驗證過程，也就是說這個客戶端開始被斷開，當它被從WLAN中斷開后，這個無線客戶端會自動嘗試重新連接到AP上，在這個重新連接過程中，數據通信就產生了，這個過程通常被叫做de-authentication或deauth attack過程。

　　啟動Sniff計算機，并把Auditor CD插入它的光驅，Auditor啟動后，打開一個shell命令窗口并輸入以下的命令:

switch-to-hostap

cardctl eject

cardctl insert

iwconfig wlan0 channel THECHANNELNUM

iwpriv wlan0 hostapd 1

iwconfig wlan0 mode master

void11_penetration -D -s MACOFSTATION -B MACOFAP wlan0

　　注重:把THECHANNELNUM替換成目標WLAN的頻道數，MACOFSTATION 和 MACOFAP分別替換成目標WLAN的客戶端的MAC地址和AP的代號，如下形式:void11_penetration -D -s 00:90:4b:c0:c4:7f -B 00:c0:49:bf:14:29 wlan0。當在Auditor Security Collection CD中運行void11時可能會看到“invalid argument error”的錯誤信息，這無關緊要，不要理會這個錯誤。

　　當void11在Sniff計算機上運行時，我們來看看Target計算機上正在發生的變化，通常，使用這臺機器的用戶會發現網絡忽然地變得非常慢，而且最后似乎停頓了，幾秒鐘后，徹底與網絡失去了連接。假如查看Windows XP自帶的無線客戶端實用程序，會發現void11開始攻擊之前，一切都正常，Windows顯示你正連接在AP上，Void11啟動后，網絡狀態會從連接狀態改變到斷開狀態。如圖十九所示。假如在在Sniff計算機上停止void11后，Target計算機會在大約幾秒鐘內重新連接到目標AP。

圖十九:目標計算機被斷開

　　讓我們到Attack計算機上去看一下，它總是在那運行著Airodump，當void11在運行后，IV值在幾秒鐘內增加大概100-200，這是由于目標客戶端機器重復地嘗試重新連接到目標AP上時產生的網絡通信引起的。

　　4、用Aireplay引起數據包的延遲

　　當使用一個deauth attack過程強制產生通信時，它通常不能夠產生我們所需要的足夠數量的IV值，不過Airodump比較適合于干擾正常的WLAN操作的工具。為了產生更多的網絡通信流量，我們需要使用一種叫做replay attack的不同方法，replay attack截獲由目標客戶端產生的合法數據包，然后再通過某種手段來欺騙這個客戶端，再三地延遲它的數據包，這個延遲過程比正常使用的時候更頻繁。由于這些通信流量看上去似乎來自一臺網絡上合法的客戶端，因此它并不干擾正常的網絡操作，只是在幕后靜靜地從事著產生更多IV的職責。

　　把由void11的deauth attack產生的數據包捕捉下來后，停止這個deauth attack過程，然后使用這些捕捉下來的數據包開始一個replay attack過程。我們在破解過程中所要捕捉的數據包最好選擇是ARP包，因為它們都很小(68字節長)，并有固定和輕易被偵測的格式。把Attack和Sniff這兩臺機器都重新啟動， Attack計算機只運行aireplay，它僅僅是用來促使網絡中產生數據流量(和IV)以縮短破解WEP密鑰所使用的時間，Sniff計算機的用途不是來運行deauth attack(通過Void11)，就是用來捕捉通信流量(通過Airodump)，并最后使用Aircrack工具來對被捕捉到的數據進行破解。

　　先啟動Aireplay，在Attack計算機上，打開一個shell窗口并輸入以下命令(如下圖二十所示):

switch-to-wlanng

cardctl eject

cardctl insert

monitor.wlan wlan0 THECHANNELNUM

cd /ramdisk

aireplay -i wlan0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff

　　注重:switch-to-wlanng和monitor.wlan是來自于Auditor CD，為簡化操作和減少輸入的腳本命令。 把THECHANNELNUM更改為目標WLAN的頻道數。來看看這個操作命令會有什么結果產生，首先，沒有什么太令人激動的事發生，會看到Aireplay報告已捕捉到了某些類型的數據包，不過由于這些數據包基本上不是我們所需要的(目標MAC地址為FF:FF:FF:FF:FF:FF的68字節的包)。

圖二十:啟動Aireplay

　　現在來操作Target計算機并打開它的無線實用程序，監視它的網絡連接狀態，然后在Sniff計算機上啟動一個void11的deauth attack，一旦開始啟動void11，這時可看到Targets計算機已從目標AP上斷開了，當然，Aireplay顯示的數據包速率增加得更快了。

　　Aireplay捕捉了相關的數據包后會并詢問是否與你所希望得到的相匹配，在本次破解中，我們需要捕捉的數據包具有以下特征:

FromDS - 0

ToDS - 1

BSSID – 目標AP的MAC地址

Source MAC – 目標計算機的MAC地址

Destination MAC - FF:FF:FF:FF:FF:FF

　　假如數據包并不與這些條件相匹配，輸入n(表示no)，Aireplay會重新再捕捉，當aireplay成功地找到與以上條件相匹配的數據包后，回答y(表示yes)，Aireplay會從捕捉轉換到replay模式并開始啟動replay攻擊。這時立即返回到Sniff計算機上停止void11的deauth attack。如圖二十一所示。

圖二十一:Void11捕捉到了相匹配的數據包

　　假如Aireplay在幾千個數據包中并沒有捕捉到相應的數據包包，則可使用Void11來助力，Void11能夠干擾目標AP和它的客戶端不，給它們任何機會去完成重新連接。手動停止void11(按Ctrl+C鍵)然后重新啟動它，添加“d”參數到void11的命令行中(延遲的值是微秒)，嘗試用不同的值去答應AP與客戶端重新連接的時間。

　　假如目標客戶端處于空閑狀態，通過deauth攻擊來捕捉ARP包可能是比較困難的，這在一個真實環境的WLAN中可能不會發生，但在這個實驗的WLAN下環境中則成了一個問題。假如Aireplay沒有捕捉到你所需要的數據包破解不能進行下去，則可在開始deauth attack之前你需要到目標客戶端計算機上運行一個連續不斷的ping或開始一個下載任務。假如Void11完全不能正常工作，可Attack計算機上保持運行aireplay，在Sniff計算機上關閉void11，操作Target計算機并手動斷開無線網絡連接，再重新連接，在三十秒內，當它重新連接到WLAN并請求獲取一個IP地址時，在Attack計算機上的Aireplay能夠看到由目標計算機發出的ARP包。

更多的請看：http://www.QQread.com/windows/2003/index.Html

 

　　5、最后的破解的時刻

　　經過一段時間的運行，在Attack計算機上運行的replay attack產生了足夠多的IV，現在是做真實的WEP破解的最終時刻到了，在Sniff計算機上停止void11，并輸入如下的命令以，設置Airodump來捕捉數據包。

switch-to-wlanng

cardctl eject

cardctl insert

monitor.wlan wlan0 THECHANNELNUM

cd /ramdisk

airodump wlan0 cap1

　　把THECHANNELNUM替換成目標WLAN的頻道數，假如在這個區域內有多個WAP，把目標AP的MAC地址添加到airodump的尾部作為參數，如:airodump wlan0 cap1 MACADDRESSOFAP。隨著Airodump把IV寫進一個文件中，我們可同時運行Aircrack來尋找包含在這個文件中的這個WEP密鑰，讓Airodump繼續運行，打開另外一個shell窗口，在這個新的命令窗口中輸入如下的命令來啟動Aircrack。

　　cd /ramdisk

　　aircrack -f FUDGEFACTOR -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 cap*.cap

　　注重:FUDGEFACTOR 在一個整數(默認值為2)，MACADDRESSOFAP是目標AP的MAC地址?！　EPKEYLENGTH 是你嘗試破解的WEP密鑰的長度(64, 128等等)。如下圖二十二所示。

圖二十二:Aircrack命令的格式

　　Aircrack將從捕捉下來生成的數據包文件中讀入IV值，并依靠這些IV值上完成WEP密鑰的破解，Aircrack默認的是使用一個速度比較慢的模式來尋找WEP密鑰，不過這種模式速度雖慢，但它找到WEP密鑰的機會很高;還有一種模式就是使用-f參數，這個則速度相當快，不過成功的機會比前一個小得多。假如運氣好的話，你會看到WEP密鑰被成功地找到啦。如下圖二十三所示。

圖二十三:成功破解WEP密鑰

　　要破解一個64bit的WEP在需要5分鐘時間，由同時運行于replay attack的幾個操作的時間組成的:用airodump掃描、用aircrack破解和用aireplay產生網絡通信流量，不過這里有許多幸運的地方，有時破解一個64bit的WEP的密鑰要收集25000個左右的IV，則它花費的時間就更長了。必須把這個你嘗試恢復的WEP密鑰的長度輸入到Aircrack中，這個長度沒有哪一個工具能提供，對你自己的實驗環境的WLAN當然能夠知道這個信息，但在別的你一無所知的網絡環境中則可以使用64或128這兩個密鑰長度去嘗試。

　　使用配置更好的機器能夠有助于加快破解的過程，把捕捉下來生成的數據包文件拷貝到另外有更大內存和更快處理器的機器上去完成最后的破解動作不失為一個好的辦法，在這臺機器上就只要運行Aircrack這個工具了，并且aircrack能夠使用-p選項來支持多處理器，使用AMD和Intel的新雙處理器設備能使破解過程更快。對于128bit長的密鑰來說更是要如此了。