现在无线的方式主要有两种：WEP和WPA。目前来说，WPA的方式目前还xx于穷举法，如果猜解字典里没有密码，那就束手无策。而WEP，只要数据包足够，就有机会出来

　　WEP是一种在接入点和客户端之间以“RC4”方式对分组信息进行的技术，密码很容易被。WEP使用的密钥包括收发双方预先确定的40位(或者104位)通用密钥，和发送方为每个分组信息所确定的24位、被称为IV密钥的密钥。但是，为了将IV密钥告诉给通信对象，IV密钥不经就直接嵌入到分组信息中被发送出去。如果通过无线窃听，收集到包含特定IV密钥的分组信息并对其进行解析，那么就连秘密的通用密钥都可能被计算出来。

　　WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。小菜们只要熟悉WEP的就可以了，

　　工具使用Backtrack 3。BackTrack 是基于SLAX 的自启动运行光盘，被设计为用于live usb 或live cd 的linux 发行版。BackTrack 依靠融合Auditor Security Linux 和WHAX(先前的Whoppix)而创建成的。它集成了众多安全和审计软件。使用Backtrack 3有4种方法：硬盘、U盘、光盘、虚拟机。从光盘启动不保存修改的数据;VM 启动只识别USB 或PCMCIA 的无线网卡(VM 不能识别PCI 总线网卡，笔记本电脑内置网卡一般为miniPCI 总线，所以内置网卡一般不支持VM);硬盘速度比较快，但是U盘很方便。大家可以根据自己的需要选择，这里介绍一下硬盘和U盘的安装方法。 下载好BT3 Final版之后，解压到D盘根目录(注意，如果 “BT3”文件夹为英文小写“bt3”，请将其改完大写“BT3”,否则不能正常启动。Linux 区分大小写);然后把硬盘启动引导的3个文件复制到C盘根目录下，运行xp_vista_grub4dos即可。制作U盘版先要准备一个1G以上的U盘，建议将U盘格式化成FAT32,这样比较节省，下载bt3final_usb.iso 文件后直接解压到U盘中，解压后会出现boot 和BT3 两个文件夹，进入boot文件夹双击bootinst.bat执行批处理，然后按两下任意键即可制作完成。要从U盘启动先进入BIOS选择启动方式为USB。 一、xx无线密码 由于BT3不支持某些网卡，而且笔记本内置的网卡的功率远不如USB网卡，所以想要蹭人家网或者对这方面深入研究，先得买一块高功率的无线USB网卡，如图1。

　　现在流行的有卡皇、卡王、魔翼、威海王等品牌。用USB延长线将无线网卡放到窗户外面，可以获得更多更好的信号，这是{zpy}的增加信号,并且效果最明显的办法! 当然，你也可以再购置一个天线。 xx计算机：惠普 Pavilion dv4 1103TX

　　网卡：魔翼精品盒装版 200mw 8187L芯片 5dbi的天线 启动电脑选择Bcktrack系统，稍等一下就能自动登陆到BT3系统的界面了。如果需要登录，账号密码为root和toor,然后输入startx即可，如图2。

　　BackTrack xxWEP 的方法有非常多，介绍两种：一种是用命令来进行xx，相当于Winows下的DOS命令;二是自动化WEPxx软件，只需点几下鼠标。推荐用{dy}种xx方式，有助于理解xxWEP的原理以及提高动手能力。

　　先说介绍纯命令的方法：点击下面第二个按钮打开一个shell，输入命令ifconfig –a列出电脑中的网卡，如果没有，那说明不支持，我的USB网卡为wlan0，如图3 。

         然后输入airmon-ng start wlan0来xx监听模式，“monitor mode enabled”表示监听模式已经开启，如图4。

　　输入命令airodump-ng wlan0来查看无线网络，如图5。

　　解释一下几个名称： BSSID:扫描到的无线路由的MAC地址，这个地址xx的时候需要用到。

　　PWR:无线路由的信号强度。 Beacons:向此路由发送的数据包的数量。 #Data:网卡抓到的数据包的数量。 CH: 无线路由所在的信道。 ENC与CIPHER,这个是无线路由的加密方式。 \u001E ESSID:无线路由的SSID的名称。

　　现在要xx的必须为ENC和CIPHER都为wep，选定netgaer为xx对象。再打开一个shell输入airodump-ng --ivs -w xxx -c 11 wlan0，截取11 信道的ivs数据包，并保存名为xxx.ivs，如图6。

　　但是#Data增长缓慢，为了加快数据包的获取速度，可以使用。输入命令aireplay-ng -2 -p 0841 -c ffffffffffff -b 00184d9b08f8 -h 00e04c0350df wlan0，解释一下命令：-2表示交互模式-2，发包，-b 00184d9b08f8就是-b之后加上你需要xx的AP的Mac地址，-h 00e04c0350df就是-h之后，加上你的无线网卡的Mac地址，如图7。

　　执行后，你会看到{dy}个窗口里面，要xx的那个AP后面的#Data在飞速增长。当#Data达到20000的时候，就可以测试xx了。在新窗口中运行：aircrack-ng -n 64 -b 00184d9b08f8 xxx-01.ivsxx。解释一下命令：-b 00184d9b08f8就是-b后加对方AP的Mac地址，xxx-01.ivs 就是执行airodump-ng --ivs -w xxx -c 11 wlan0生成的一个文件。-n 64是指xx64位的密码,如果10万以上Data都xx不出来,那就试试 -n 128,估计用了128位加密。如果运气好，一会儿就会显示xx出来的密码，同时会显示对应的Assic码，如图8。

　　如果不是标准Assic码，就是一串数字，那就是密码。 下面介绍一下图形化的操作，用到的xx工具是SpoonWEP({zx1}版本为SpoonWEP2)。BT3没有集成Spoonwep2，下载之后把Spoonwep2.lzm放在BT3/modules目录里，进入系统后打开shell输入spoonwep即可。在NET CARD里选择使用的网卡，我的为wlan0，DRIVER项下供选择驱动，一般选NORMAL;MODE项里的内容一般是选UNKNOWN VICTIM，如图9。

　　以上3项选好后点NEXT键进入下一步。接着转到另一个窗口，左上角有2个可选项，FIXED CHAN是搜索指定频道，如果你只搜索某频道，就选这一项，然后把频道指针指向你想搜的频道刻度;CHAN HOPPING则是全频道搜索。我选CHAN HOPPIN，然后点右上角的LAUNCH，开始按你的选择搜索无线加密信号。过一会儿，被搜索到的无线信号的SSID将会以列表显示。如果某加密无线信号的CLIS方框内有“勾”，表示该无线信号有客户端，这时xx会的效率会高一些，如图10。

　　选择一个准备xx的无线信号，然后点下方的SELECTION OK键正式xx环节。

　　Launch有4个选项：

　　ARP REPLAY ATTACK (有客户端时用,对应-3) P0841 REPLAY ATTACK (次次选,对应-2) CHOPCHOP & FORGEATTACK (次选,对应-4) FRAGMENTATION & FORGE ATTACK ({sx},对应-5攻击)

　　Deauth中个选项，其中：

　　??? LENGTH (不指定加密位数，{sx})

　　128 BITS LENGTH (指定128位加密，次次选)

　　64 BITS LENGTH (指定64位加密，次选)

　　大家可以根据情况进行选择。Inj Rate保持默认，欲xx的MAC和信道已经自动为你填好了，点击点左上角的LAUNCH就自动开始xx了，如图11。

　　这时会弹出一个窗口，显示xx的各个参数，如图12

　　如果你的RP够好，等一会儿，对方加密的无线路由器的密码就会在WEP Key之后以红字显示出来，把间隔数字的那些冒号省略掉，就是该加密无线信号的密码，把它记下，如图13。

　　重启电脑进入Windows系统，用无线网卡去连接该加密无线路由器，在提示需要输入密码时，输入上述密码后连接即大功告成。如果显示“连接受限制或无连接”，则有可能是目标AP未xxDHCP服务，或DHCP设置为只为指定的主机(MAC)指派IP，这时可以自己设定一个IP。连接上去之后，输入192.168.1.1使用默认的用户名和密码成功登陆了路由器，看了下客户端的列表，发现除了我还有3台在线。怎么发挥就看各位的了，呵呵。

　　{zh1}介绍一款自动生成命令的软件：BackTrack3's WEPxx指令生成机。只需填入频段、目标SSID、目标MAC地址、本机MAC地址、IVS文件名，点成名命令即可即可生成需要xx的各个命令，点击修改模板也可以按你的需求修改模板，如图14。

　　把它保存为TXT文件到BT3里直接复制即可，方便省事，也不容易出错。有些小菜喜欢在中文的环境下操作，把中文包里的4个文件放在BT3/modules目录里即可完成汉化，如图15。

　　现在我们终于能够蹭对方的网了，不过忠告各位，要文明蹭网，不要使用迅雷下载大型文件或者其他占带宽的软件。