ترافیک WLAN را ضبط کنید

ضبط بسته‌های وای‌فای به شما امکان می‌دهد جزئیات و تعاملاتی را که در غیر این صورت پنهان می‌شوند، قبل از رسیدن به نرم‌افزار در حال اجرا روی دستگاه مشاهده کنید، و این ضبط‌ها را به ابزاری مهم برای برخی از انواع اشکالات تبدیل می‌کند.

مراحل اصلی مورد بحث عبارتند از:

1. کانال مناسب برای بو کشیدن را پیدا کنید.
2. ترافیک را ثبت کنید.
3. رمز عبور ضبط شده و هش شده WLAN خود را به اشتراک بگذارید.

۱. کانال و عرض مناسب را تعیین کنید

شبکه‌های WLAN بر روی موارد زیر کار می‌کنند:

• یک کانال، که معمولاً با یک عدد مشخص می‌شود. ۱-۱۳ برای کانال‌های ۲.۴ گیگاهرتز و ۳۶-۲۰۰ برای کانال‌های ۵ گیگاهرتز است.
• با پهنای باند مشخص (20 مگاهرتز، 40 مگاهرتز، 80 مگاهرتز، 160 مگاهرتز)

هر نقطه دسترسی (به عنوان مثال روتر، گره مش) در شبکه شما معمولاً یک کانال منحصر به فرد 2.4 گیگاهرتز و یک کانال 5 گیگاهرتز دارد و باید بفهمید که دستگاه به کدام یک متصل است. چندین گزینه وجود دارد:

از پنل کنترل روتر خود استفاده کنید

اگر از Nest WiFi استفاده می‌کنید، از این گزینه صرف نظر کنید - اطلاعات فاش نمی‌شوند.

بیشتر روترها لیستی از دستگاه‌های متصل و کانال و پهنای باندی که استفاده می‌کنند، دارند.

1. با استفاده از این راهنما، آدرس IP روتر خود را پیدا کنید.
2. به آدرس روتر خود در مرورگر وب خود بروید، به عنوان مثال http://192.168.1.1 .
3. وارد شوید. رمز عبور خود را نمی‌دانید؟ به دنبال برچسبی روی روتر خود بگردید یا از Router Passwords استفاده کنید.

4. به دنبال صفحه‌ای با نامی مانند "clients" یا "attached devices" باشید. برای مثال، صفحه روتر Netgear ممکن است مانند زیر باشد، یا برای دستگاه‌های Eero ممکن است مانند زیر باشد.

   

5. ممکن است لازم باشد برای نگاشت اطلاعات از مرحله ۴ به یک کانال و پهنای باند خاص، در جای دیگری از تنظیمات جستجو کنید. به عنوان مثال، یک روتر Netgear:

   

اگر مک شما از قبل به همان کانال متصل است، از آن استفاده کنید

کلید Option را روی صفحه کلید خود نگه دارید و سپس روی آیکون WLAN در گوشه بالا سمت راست در نوار وضعیت مک خود کلیک کنید. باید منوی WLAN معمولی را با چند گزینه و اطلاعات بیشتر ببینید. به موارد منوی غیرقابل دسترس نگاهی بیندازید و به دنبال موردی باشید که به کانال اشاره می‌کند:

`Channel 60 (DFS, 5GHz, 40MHz)`

کانال و عرض را نمی‌توان پیدا کرد

اگر روش‌های دیگر جواب نداد، می‌توانید موارد زیر را امتحان کنید:

1. تمام کانال‌هایی که نقاط دسترسی شما استفاده می‌کنند را فهرست کنید (معمولاً ۲ کانال برای هر نقطه دسترسی یا نقطه مش).

   الف) توصیه می‌شود با یک گوشی اندروید، می‌توانید از اپلیکیشن‌هایی مانند Wifiman یا Aruba Utilities استفاده کنید.

   الف) در مک، می‌توانید از /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s برای فهرست کردن گزینه‌ها استفاده کنید.

2. با استفاده از دستورالعمل‌های زیر، یک ضبط کوتاه (حتی ۱۵ ثانیه کافی است) روی هر یک از آن کانال‌ها انجام دهید.

3. نصب Wireshark (برای راهنمایی، به نصب Wireshark مراجعه کنید).

4. هر یک از فایل‌های ضبط شده را با استفاده از Wireshark باز کنید، فیلتر نمایش wlan.addr == YOUR_DEVICE'S_MAC را اعمال کنید و ببینید آیا بسته‌ای نمایش داده می‌شود یا خیر.

۲. شروع به ضبط کنید

مهم: ثبت دست دادن چهار مرحله‌ای

اگر امنیت وای‌فای فعال باشد، برای رمزگشایی بسته‌های ضبط‌شده باید کلیدهای رمزگذاری را بدانید. کلیدهای رمزگذاری از یک فرآیند دست‌دهی ۴ مرحله‌ای که هنگام اتصال دستگاه به شبکه رخ می‌دهد، مشتق می‌شوند و برای هر اتصال بین یک دستگاه و نقطه دسترسی منحصر به فرد هستند.

به همین دلیل، برای رمزگشایی داده‌های وای‌فای، باید handshake چهار مرحله‌ای را ضبط کنید. اگر دستگاه هنگام شروع ضبط از قبل به شبکه متصل است، پس از شروع sniffing، دستگاه را جدا و دوباره وصل کنید (یا آن را مجدداً راه‌اندازی کنید).

فیلم‌برداری در مک

در حالی که کلید Option را روی صفحه کلید خود نگه داشته‌اید، روی نماد WLAN کلیک کنید و سپس "Open Wireless Diagnostics…" را انتخاب کنید:

از نوار منوی Wireless Diagnostics، گزینه Window > Sniffer را انتخاب کنید:

کانال و عرض را روی مقادیری که قبلاً بازیابی کرده‌اید تنظیم کنید (مثال تصویر برای کانال ۶۰ و عرض ۴۰ مگاهرتز است):

Start را فشار دهید و رمز عبور خود را وارد کنید. اکنون، سعی کنید مشکل را دوباره ایجاد کنید. مطمئن شوید که همانطور که در بخش «گرفتن دست دادن ۴ طرفه» ذکر شد، دست دادن ۴ طرفه را از یک اتصال ضبط می‌کنید.

پس از انجام این کار، Stop فشار دهید. یک فایل *.pcap جدید در مسیر /var/tmp قرار دارد که شامل تمام ترافیک است. نام فایل به عنوان مثال: (null)_ch100_2018-11-06_10.52.01.pcap است.

ضبط در لینوکس

1. وای‌فای را خاموش کنید. این کار را می‌توان به یکی از روش‌های زیر انجام داد:

   • استفاده از رابط کاربری گرافیکی (توصیه می‌شود)
   • استفاده از رابط خط فرمان مدیریت شبکه برای متوقف کردن مدیریت رابط WLAN: sudo nmcli dev set <wlan-ifname> managed on
   • اگر از یک مدیر شبکه جایگزین استفاده می‌کنید، تنظیمات را متناسب با آن انجام دهید.

2. این اسکریپت را ذخیره کنید. <wlan-ifname> را با نام رابط Wi-Fi خود جایگزین کنید. این سند فرض می‌کند که نام اسکریپت setup-wifi-capture است.

   #!/usr/bin/env bash
   sudo ifconfig <wlan-ifname>  down
   sudo rfkill unblock wifi
   sudo iwconfig <wlan-ifname>  mode monitor
   sudo ifconfig <wlan-ifname>  up
   sudo iw dev <wlan-ifname> set channel $@

3. اسکریپت قبلی را اجرا کنید و کانال و بالاترین پهنای باند را برای sniff وارد کنید، به عنوان مثال کانال ۱۵۳ با پهنای باند ۸۰ مگاهرتز:

   ./setup-wifi-capture chan 153 80 MHz

4. وایرشارک را باز کنید، حالا باید بتوانید بسته‌های روی رابط wlan را ضبط کنید.

۳. عکس گرفته شده را به اشتراک بگذارید

1. از WPA PSK (Raw Key) Generator برای تولید هش رمز عبور خود استفاده کنید. این به شما امکان می‌دهد بدون دانستن رمز عبور متنی ساده، اطلاعات ضبط شده را رمزگشایی کنید.

2. شما باید PSK تولید شده را نیز به اشتراک بگذارید تا دیگران بتوانند اطلاعات ضبط شده را رمزگشایی کنند.

پیوست

نصب وایرشارک

می‌توانید Wireshark را با استفاده از دستور apt install wireshark در لینوکس نصب کنید یا آن را به صورت آنلاین از وب‌سایت Wireshark دانلود کنید.

وایرشارک را برای رمزگشایی ترافیک تنظیم کنید

این کار برای اشتراک‌گذاری فایل‌های ضبط‌شده ضروری نیست، فقط در صورتی این کار را انجام دهید که می‌خواهید ترافیک رمزگشایی‌شده را خودتان در Wireshark بررسی کنید.

با استفاده از امنیت WPA2 در وای‌فای، WPA2-PSK مستقیماً برای رمزگذاری و رمزگشایی ترافیک استفاده نمی‌شود. این پروتکل در یک دست‌دهی ۴ مرحله‌ای (4-way handshake) استفاده می‌شود که برای رمزگشایی بسته‌ها باید آن را ضبط کنید. با این حال، اگر تمام چیزی که می‌خواهید ضبط کنید مشکلات اتصال به وای‌فای یا قطعی اتصال است که می‌توان از فریم‌های مدیریت وای‌فای به دست آورد، نیازی به ضبط دست‌دهی ۴ مرحله‌ای ندارید. در هر صورت، ضبط آن ضرری ندارد.

وایرشارک را باز کنید و صفحه تنظیمات ( منوی وایرشارک > تنظیمات یا **Cmd + , **) را باز کنید.

1. بخش «IEEE 802.11» را در دسته «پروتکل‌ها» پیدا کنید و مطمئن شوید که گزینه «فعال کردن رمزگشایی» تیک خورده است:

   

2. روی دکمه ویرایش کنار برچسب کلیدهای رمزگشایی کلیک کنید.

3. روی دکمه «+» در گوشه پایین سمت چپ کلیک کنید و گزینه «wpa-pwd» را انتخاب کنید.

   

4. روی ستون کلید ردیف جدید ایجاد شده (درست کنار رشته wpa-pwd) کلیک کنید، WPA2 PSK و SSID خود را با فرمت <password>:<ssid> تایپ کنید. برای مثال، اگر نام شبکه شما MyHomeNetwork و WPA2 PSK شما myp4ssword بود، عبارت myp4ssword:MyHomeNetwork را تایپ کنید.

   

5. برای تأیید، روی تأیید کلیک کنید

برای اطلاعات بیشتر، به راهنمای رسمی Wireshark (همراه با تصاویر) در بخش «چگونه 802.11 را رمزگشایی کنیم» مراجعه کنید.

اگر از tshark استفاده می‌کنید، آرگومان‌های زیر را ارسال کنید:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

رنگ‌آمیزی داده‌های Wireshark 802.11

یک پروفایل رنگی مفید برای 802.11 در metageek.com وجود دارد: پروفایل پیکربندی Wireshark .

ضبط بسته‌های وای‌فای به شما امکان می‌دهد جزئیات و تعاملاتی را که در غیر این صورت پنهان می‌شوند، قبل از رسیدن به نرم‌افزار در حال اجرا روی دستگاه مشاهده کنید، و این ضبط‌ها را به ابزاری مهم برای برخی از انواع اشکالات تبدیل می‌کند.

مراحل اصلی مورد بحث عبارتند از:

1. کانال مناسب برای بو کشیدن را پیدا کنید.
2. ترافیک را ثبت کنید.
3. رمز عبور ضبط شده و هش شده WLAN خود را به اشتراک بگذارید.

۱. کانال و عرض مناسب را تعیین کنید

شبکه‌های WLAN بر روی موارد زیر کار می‌کنند:

• یک کانال، که معمولاً با یک عدد مشخص می‌شود. ۱-۱۳ برای کانال‌های ۲.۴ گیگاهرتز و ۳۶-۲۰۰ برای کانال‌های ۵ گیگاهرتز است.
• با پهنای باند مشخص (20 مگاهرتز، 40 مگاهرتز، 80 مگاهرتز، 160 مگاهرتز)

هر نقطه دسترسی (به عنوان مثال روتر، گره مش) در شبکه شما معمولاً یک کانال منحصر به فرد 2.4 گیگاهرتز و یک کانال 5 گیگاهرتز دارد و باید بفهمید که دستگاه به کدام یک متصل است. چندین گزینه وجود دارد:

از پنل کنترل روتر خود استفاده کنید

اگر از Nest WiFi استفاده می‌کنید، از این گزینه صرف نظر کنید - اطلاعات فاش نمی‌شوند.

بیشتر روترها لیستی از دستگاه‌های متصل و کانال و پهنای باندی که استفاده می‌کنند، دارند.

1. با استفاده از این راهنما، آدرس IP روتر خود را پیدا کنید.
2. به آدرس روتر خود در مرورگر وب خود بروید، به عنوان مثال http://192.168.1.1 .
3. وارد شوید. رمز عبور خود را نمی‌دانید؟ به دنبال برچسبی روی روتر خود بگردید یا از Router Passwords استفاده کنید.

4. به دنبال صفحه‌ای با نامی مانند "clients" یا "attached devices" باشید. برای مثال، صفحه روتر Netgear ممکن است مانند زیر باشد، یا برای دستگاه‌های Eero ممکن است مانند زیر باشد.

   

5. ممکن است لازم باشد برای نگاشت اطلاعات از مرحله ۴ به یک کانال و پهنای باند خاص، در جای دیگری از تنظیمات جستجو کنید. به عنوان مثال، یک روتر Netgear:

   

اگر مک شما از قبل به همان کانال متصل است، از آن استفاده کنید

کلید Option را روی صفحه کلید خود نگه دارید و سپس روی آیکون WLAN در گوشه بالا سمت راست در نوار وضعیت مک خود کلیک کنید. باید منوی WLAN معمولی را با چند گزینه و اطلاعات بیشتر ببینید. به موارد منوی غیرقابل دسترس نگاهی بیندازید و به دنبال موردی باشید که به کانال اشاره می‌کند:

`Channel 60 (DFS, 5GHz, 40MHz)`

کانال و عرض را نمی‌توان پیدا کرد

اگر روش‌های دیگر جواب نداد، می‌توانید موارد زیر را امتحان کنید:

1. تمام کانال‌هایی که نقاط دسترسی شما استفاده می‌کنند را فهرست کنید (معمولاً ۲ کانال برای هر نقطه دسترسی یا نقطه مش).

   الف) توصیه می‌شود با یک گوشی اندروید، می‌توانید از اپلیکیشن‌هایی مانند Wifiman یا Aruba Utilities استفاده کنید.

   الف) در مک، می‌توانید از /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s برای فهرست کردن گزینه‌ها استفاده کنید.

2. با استفاده از دستورالعمل‌های زیر، یک ضبط کوتاه (حتی ۱۵ ثانیه کافی است) روی هر یک از آن کانال‌ها انجام دهید.

3. نصب Wireshark (برای راهنمایی، به نصب Wireshark مراجعه کنید).

4. هر یک از فایل‌های ضبط شده را با استفاده از Wireshark باز کنید، فیلتر نمایش wlan.addr == YOUR_DEVICE'S_MAC را اعمال کنید و ببینید آیا بسته‌ای نمایش داده می‌شود یا خیر.

۲. شروع به ضبط کنید

مهم: ثبت دست دادن چهار مرحله‌ای

اگر امنیت وای‌فای فعال باشد، برای رمزگشایی بسته‌های ضبط‌شده باید کلیدهای رمزگذاری را بدانید. کلیدهای رمزگذاری از یک فرآیند دست‌دهی ۴ مرحله‌ای که هنگام اتصال دستگاه به شبکه رخ می‌دهد، مشتق می‌شوند و برای هر اتصال بین یک دستگاه و نقطه دسترسی منحصر به فرد هستند.

به همین دلیل، برای رمزگشایی داده‌های وای‌فای، باید handshake چهار مرحله‌ای را ضبط کنید. اگر دستگاه هنگام شروع ضبط از قبل به شبکه متصل است، پس از شروع sniffing، دستگاه را جدا و دوباره وصل کنید (یا آن را مجدداً راه‌اندازی کنید).

فیلم‌برداری در مک

در حالی که کلید Option را روی صفحه کلید خود نگه داشته‌اید، روی نماد WLAN کلیک کنید و سپس "Open Wireless Diagnostics…" را انتخاب کنید:

از نوار منوی Wireless Diagnostics، گزینه Window > Sniffer را انتخاب کنید:

کانال و عرض را روی مقادیری که قبلاً بازیابی کرده‌اید تنظیم کنید (مثال تصویر برای کانال ۶۰ و عرض ۴۰ مگاهرتز است):

Start را فشار دهید و رمز عبور خود را وارد کنید. اکنون، سعی کنید مشکل را دوباره ایجاد کنید. مطمئن شوید که همانطور که در بخش «گرفتن دست دادن ۴ طرفه» ذکر شد، دست دادن ۴ طرفه را از یک اتصال ضبط می‌کنید.

پس از انجام این کار، Stop فشار دهید. یک فایل *.pcap جدید در مسیر /var/tmp قرار دارد که شامل تمام ترافیک است. نام فایل به عنوان مثال: (null)_ch100_2018-11-06_10.52.01.pcap است.

ضبط در لینوکس

1. وای‌فای را خاموش کنید. این کار را می‌توان به یکی از روش‌های زیر انجام داد:

   • استفاده از رابط کاربری گرافیکی (توصیه می‌شود)
   • استفاده از رابط خط فرمان مدیریت شبکه برای متوقف کردن مدیریت رابط WLAN: sudo nmcli dev set <wlan-ifname> managed on
   • اگر از یک مدیر شبکه جایگزین استفاده می‌کنید، تنظیمات را متناسب با آن انجام دهید.

2. این اسکریپت را ذخیره کنید. <wlan-ifname> را با نام رابط Wi-Fi خود جایگزین کنید. این سند فرض می‌کند که نام اسکریپت setup-wifi-capture است.

   #!/usr/bin/env bash
   sudo ifconfig <wlan-ifname>  down
   sudo rfkill unblock wifi
   sudo iwconfig <wlan-ifname>  mode monitor
   sudo ifconfig <wlan-ifname>  up
   sudo iw dev <wlan-ifname> set channel $@

3. اسکریپت قبلی را اجرا کنید و کانال و بالاترین پهنای باند را برای sniff وارد کنید، به عنوان مثال کانال ۱۵۳ با پهنای باند ۸۰ مگاهرتز:

   ./setup-wifi-capture chan 153 80 MHz

4. وایرشارک را باز کنید، حالا باید بتوانید بسته‌های روی رابط wlan را ضبط کنید.

۳. عکس گرفته شده را به اشتراک بگذارید

1. از WPA PSK (Raw Key) Generator برای تولید هش رمز عبور خود استفاده کنید. این به شما امکان می‌دهد بدون دانستن رمز عبور متنی ساده، اطلاعات ضبط شده را رمزگشایی کنید.

2. شما باید PSK تولید شده را نیز به اشتراک بگذارید تا دیگران بتوانند اطلاعات ضبط شده را رمزگشایی کنند.

پیوست

نصب وایرشارک

می‌توانید Wireshark را با استفاده از دستور apt install wireshark در لینوکس نصب کنید یا آن را به صورت آنلاین از وب‌سایت Wireshark دانلود کنید.

وایرشارک را برای رمزگشایی ترافیک تنظیم کنید

این کار برای اشتراک‌گذاری فایل‌های ضبط‌شده ضروری نیست، فقط در صورتی این کار را انجام دهید که می‌خواهید ترافیک رمزگشایی‌شده را خودتان در Wireshark بررسی کنید.

با استفاده از امنیت WPA2 در وای‌فای، WPA2-PSK مستقیماً برای رمزگذاری و رمزگشایی ترافیک استفاده نمی‌شود. این پروتکل در یک دست‌دهی ۴ مرحله‌ای (4-way handshake) استفاده می‌شود که برای رمزگشایی بسته‌ها باید آن را ضبط کنید. با این حال، اگر تمام چیزی که می‌خواهید ضبط کنید مشکلات اتصال به وای‌فای یا قطعی اتصال است که می‌توان از فریم‌های مدیریت وای‌فای به دست آورد، نیازی به ضبط دست‌دهی ۴ مرحله‌ای ندارید. در هر صورت، ضبط آن ضرری ندارد.

وایرشارک را باز کنید و صفحه تنظیمات ( منوی وایرشارک > تنظیمات یا **Cmd + , **) را باز کنید.

1. بخش «IEEE 802.11» را در دسته «پروتکل‌ها» پیدا کنید و مطمئن شوید که گزینه «فعال کردن رمزگشایی» تیک خورده است:

   

2. روی دکمه ویرایش کنار برچسب کلیدهای رمزگشایی کلیک کنید.

3. روی دکمه «+» در گوشه پایین سمت چپ کلیک کنید و گزینه «wpa-pwd» را انتخاب کنید.

   

4. روی ستون کلید ردیف جدید ایجاد شده (درست کنار رشته wpa-pwd) کلیک کنید، WPA2 PSK و SSID خود را با فرمت <password>:<ssid> تایپ کنید. برای مثال، اگر نام شبکه شما MyHomeNetwork و WPA2 PSK شما myp4ssword بود، عبارت myp4ssword:MyHomeNetwork را تایپ کنید.

   

5. برای تأیید، روی تأیید کلیک کنید

برای اطلاعات بیشتر، به راهنمای رسمی Wireshark (همراه با تصاویر) در بخش «چگونه 802.11 را رمزگشایی کنیم» مراجعه کنید.

اگر از tshark استفاده می‌کنید، آرگومان‌های زیر را ارسال کنید:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

رنگ‌آمیزی داده‌های Wireshark 802.11

یک پروفایل رنگی مفید برای 802.11 در metageek.com وجود دارد: پروفایل پیکربندی Wireshark .