輸入 ifconfig 命令查看自己的無線網(wǎng)卡名稱

我們可以看到有三條信息，eth0對應(yīng)物理網(wǎng)卡，lo對應(yīng)localhost本地回環(huán)，而wlan0就是我們所要用到的無線網(wǎng)卡。

輸入 airmon-ng start wlan0 使無線網(wǎng)卡開啟監(jiān)聽模式
開啟監(jiān)聽模式后的無線網(wǎng)卡可以接收所有經(jīng)過它的數(shù)據(jù)流，它和混雜模式類似。監(jiān)聽模式的不需要和AP建立連接，監(jiān)聽模式是無線網(wǎng)卡特有的特殊模式，而混雜模式應(yīng)用于有線網(wǎng)卡和無線網(wǎng)卡，切記不要搞混。

再次輸入 ifconfig 檢查無線網(wǎng)卡是否已經(jīng)開啟監(jiān)聽模式，例如我的網(wǎng)卡名以變?yōu)閣lan0mon，表示已經(jīng)開啟了監(jiān)聽模式。

輸入命令 airodump-ng wlan0mon 回車


使用airodump-ng命令來掃描附近的無線路由器和與之連接的客戶端信息，這里我們需要特別注意的是接下來要用到的無線路由的BSSID與CH，也就是我圖中綠色標(biāo)注的地方，BSSID表示該AP的MAC地址；CH表示該AP目前的工作信道；ESSID表示該無線局域網(wǎng)的名稱，也就是我們連接WIFI時(shí)候顯示的WIFI名稱。

這里我已經(jīng)掃描到了我需要的信息，獲得了BSSID、ESSID與CH，就可以Ctrl+C停止了。

輸入命令 airodump-ng --ivs -c 6 -w luoluo wlan0mon 回車

這里我們同樣重新進(jìn)行掃描，與上面不同的是后面的參數(shù)與掃描方式：
【–ivs】表示設(shè)置過濾，只保存可用于破解的IVS數(shù)據(jù)報(bào)文，這樣可以有效地縮減保存的數(shù)據(jù)包大小；
【-c】表示讓我們的無線網(wǎng)卡在相應(yīng)的信道進(jìn)行工作，因?yàn)樯厦嫖覀兯阉鞯侥繕?biāo)AP是在6號信道工作的，所以設(shè)置為-c 6；
【-w】表示將提取到的數(shù)據(jù)報(bào)文保存至文件中，后面的參數(shù)luoluo可以修改為你所需的文件名；

接下來會出現(xiàn)與上面相同界面的掃描結(jié)果，但是我們會發(fā)現(xiàn)其中少了特別多無線接入點(diǎn)，這是因?yàn)槲覀円呀?jīng)設(shè)置了相應(yīng)的工作信道，現(xiàn)在我們的網(wǎng)卡只會監(jiān)聽工作信道為6的AP。

紅色的地方我們會看到還有一些信息，這里表示的是與上面掃描到的AP相連的客戶端的信息，BSSID表示AP的MAC地址，STATION表示與之相連的客戶端的MAC地址，同時(shí)要關(guān)注的是Frames，表示該客戶端的流量，如果Frames的值大量增加，表示客戶端可能在進(jìn)行下載、看視頻等等的操作，如果Frames增加很少或根本不增加，則表示客戶端可能目前沒有網(wǎng)絡(luò)流量的操作，這里我們最希望看到的是Frames大量增加的情況。

綠色的一條表示與目標(biāo)AP連接的客戶端信息，這里我們需要關(guān)注它。

這個(gè)窗口始終都不要再關(guān)閉或者停止，因?yàn)槲覀冃枰恢比プトvs報(bào)文。

新開一個(gè)黑窗，輸入命令 aireplay-ng -3 -b 38:83:45:95:70:A4 -h A0:3B:E3:B4:15:3F wlan0mon 回車

這里的參數(shù)：

【-3】 表示使用aireplay-ng的第三種攻擊模式，ARP-request 注入攻擊模式，當(dāng)抓取到一個(gè)ARP請求包的時(shí)候?qū)λM(jìn)行重放,WEP體系的AP會對重放的ARP請求包進(jìn)行應(yīng)答。當(dāng)AP存在合法的客戶端連接的時(shí)候，少量數(shù)據(jù)就可產(chǎn)生有效的ARP-request；如果沒有合法客戶端與AP相連，就無法得到ARP-request，則這種攻擊方式就會失敗。

因此如果你掃描AP后暫時(shí)沒有發(fā)現(xiàn)有合法的客戶端連接到目標(biāo)AP上，也就是在第5步中沒有找到我標(biāo)注的綠色的那一欄，則需要等待合法客戶端連接之后才可以進(jìn)行這一步操作。

【-b】 表示AP的BSSID，也就是我們要破解的無線路由器的BSSID，在上面已經(jīng)掃描出來了，同時(shí)也是第五步中綠色的BSSID；

【-h】 表示連接到目標(biāo)AP的合法客戶端的MAC地址，也就是第五步中標(biāo)綠色的STATION；

回車后出現(xiàn)下面的信息：

這里表示就是在等待一個(gè)ARP請求，如果獲取到了就會向目標(biāo)AP發(fā)送大量的ARP請求，同時(shí)合法客戶端會產(chǎn)生大量流量。

如果你已經(jīng)得到了ARP請求并且開始了ARP攻擊，會產(chǎn)生大量Read … packets（got … ARP requests…）…的信息，則可以跳過下一步，直接看第八步；如果界面有一會卡在這個(gè)地方不動，則可以進(jìn)行下一步，不要關(guān)閉或停止這個(gè)窗口。

新開一個(gè)黑窗，輸入命令 aireplay-ng -0 5 -a 38:83:45:95:70:A4 -c A0:3B:E3:B4:15:3F wlan0mon 回車

參數(shù)：
【-0】 Deautenticate 沖突模式，偽造一個(gè)disassocate包,讓客戶端與AP失去連接，之后客戶端會重新連接AP（說直白點(diǎn)就是把你連接到wifi的手機(jī)、電腦之類的打掉線，然后這些設(shè)備會自動去重新連接WIFI）,通過重新連接過程我們可以獲取到ARP數(shù)據(jù)包；
【5】 表示攻擊次數(shù)，這里填多少都可以，我這里5次足矣把客戶端打掉重連；
【-a】表示需要攻擊AP的BSSID，也就是我們一直來攻擊的目標(biāo)AP；
【-c】表示連接到目標(biāo)AP的客戶端的MAC地址，也就是我們上面進(jìn)行ARP攻擊的客戶端的MAC地址；
這種攻擊模式的前提也是在目標(biāo)AP中有合法的客戶端相連。

當(dāng)disassocate包發(fā)送成功后會出現(xiàn)上面的這種提示，并且如果目標(biāo)已經(jīng)掉線重連，我們的前兩個(gè)窗口應(yīng)該已經(jīng)出現(xiàn)了下面的樣子；如果沒有的話，請用這一步的命令多試幾次，或者把攻擊次數(shù)寫大一些，我個(gè)人試的時(shí)候還是很管用的，不管是自己家的還是鄰居家的一踢就掉線 ！

如果成功之后，第一個(gè)窗口我標(biāo)綠色的Frames數(shù)字應(yīng)該在飛速暴漲，而第二個(gè)窗口的APR請求應(yīng)該也在飛速發(fā)送，唰唰唰的那種，接下來就萬事俱備，只欠破解！我們稍微等個(gè)一分鐘再進(jìn)行下一步！

就算要進(jìn)行下一步，之前的兩個(gè)窗口都先不要關(guān)閉或者停了，一直開著讓跑！因?yàn)橛锌赡軙驗(yàn)樽ト〉降膇vs報(bào)文數(shù)目不夠而爆破不出來！

新開一個(gè)黑窗，輸入命令 ls 確定一下我們保存的ivs的文件名，之后輸入aircrack-ng luoluo-01.ivs 回車

我們可以看到雖然我們保存的文件名是luoluo，可是真正存儲下來的文件是luoluo-01.ivs，如果我們下一個(gè)保存的文件同樣輸入luoluo，就會存儲為-02、-03… 避免了文件覆蓋，這里我們只有一個(gè)，所以用aircrack-ng工具來爆破密碼，后面跟上ivs文件路徑就好啦。

然后我們可以看到讓我們從三個(gè)BSSID里面選，因?yàn)槲覀兊哪繕?biāo)AP是第二個(gè)，就直接輸入2回車。

如果沒有出現(xiàn)上圖所示的KEY FOUND消息，出現(xiàn)了KEY NOT FOUND，并且讓你Try 什么幾千幾萬，反正就不是上面這樣，就稍微等上一分鐘，再重新執(zhí)行這一步的命令，再試，沒有再試，只要獲取到的包夠多總會爆破出來的！

當(dāng)我們看到上圖這個(gè)KEY FOUND消息后，恭喜你！密碼已經(jīng)被爆破出來啦！ 綠色標(biāo)記后面的ASCII:就是這個(gè)AP密碼的明文！我這里密碼設(shè)置的還湊乎，不算是弱口令，但是可以看下黃色的位置，幾乎是秒破。