การจับภาพแพ็กเก็ต Wi-Fi ช่วยให้คุณเห็นรายละเอียดและการโต้ตอบ ที่จะถูกมาสก์ไว้ก่อนที่จะไปถึงซอฟต์แวร์ที่ทำงานอยู่ในอุปกรณ์ ทำให้เครื่องมือเหล่านี้เป็นเครื่องมือสำคัญสำหรับข้อบกพร่องบางประเภท
ขั้นตอนหลักๆ ที่เกี่ยวข้องมีดังนี้
- หาช่องที่เหมาะสมเพื่อสกัดกั้นดูสิ
- บันทึกการเข้าชม
- แชร์การบันทึกและแฮชของรหัสผ่าน WLAN ของคุณ
1. กำหนดช่องสัญญาณและความกว้างที่เหมาะสม
เครือข่าย WLAN มีให้บริการในประเทศต่อไปนี้
- ช่อง ซึ่งโดยทั่วไปจะหมายถึงตัวเลข 1-13 สำหรับ ช่องสัญญาณ 2.4 GHz, 36-200 สำหรับ ช่อง 5 GHz
- มีความกว้างที่เจาะจง (20Mhz, 40Mhz, 80Mhz, 160MHz)
จุดเข้าใช้งานแต่ละจุด (ตัวอย่างเช่น เราเตอร์, โหนด Mesh) ในเครือข่ายของคุณมักจะมีช่องสัญญาณ 2.4 GHz และช่อง 5 GHz ที่ไม่ซ้ำกัน และคุณต้องหาว่าอุปกรณ์เชื่อมต่อกับเครื่องใด โดยมีหลายตัวเลือกดังนี้
ใช้แผงควบคุมของเราเตอร์
หากคุณใช้ Nest WiFi ให้ข้ามตัวเลือกนี้ เนื่องจากข้อมูลจะไม่ปรากฏ
เราเตอร์ส่วนใหญ่จะมีรายการอุปกรณ์ที่เชื่อมต่อ รวมถึงช่องและความกว้างที่ใช้
- ค้นหาที่อยู่ IP ของเราเตอร์โดยใช้คำแนะนำนี้
- ไปยังที่อยู่ของเราเตอร์ในเว็บเบราว์เซอร์ เช่น http://192.168.1.1
- ลงชื่อเข้าใช้ หากไม่ทราบรหัสผ่านของคุณ มองหาแท็กในเราเตอร์ หรือใช้รหัสผ่านของเราเตอร์
ค้นหาหน้าเว็บที่ชื่อประมาณว่า "ไคลเอ็นต์" หรือ "อุปกรณ์ที่เชื่อมต่อ" เช่น หน้าเราเตอร์ Netgear อาจมีลักษณะดังนี้ หรือสำหรับอุปกรณ์ Eero
คุณอาจต้องดูที่อื่นในการตั้งค่าเพื่อจับคู่ข้อมูลจากขั้นตอนที่ 4 ไปยังช่องสัญญาณและแบนด์วิดท์ที่เฉพาะเจาะจง ตัวอย่างเช่น เราเตอร์ Netgear
ใช้ Mac ของคุณ หากเครื่องเชื่อมต่อกับช่องเดียวกันอยู่แล้ว
กด Option บนแป้นพิมพ์ค้างไว้จากนั้นคลิกไอคอน WLAN ที่มุมขวาบนในแถบสถานะของ Mac คุณจะเห็นเมนู WLAN ปกติพร้อม ตัวเลือกและข้อมูลเพิ่มเติมเล็กน้อย ดูรายการเมนูที่ไม่สามารถใช้ได้ และค้นหารายการที่กล่าวถึงช่อง
`Channel 60 (DFS, 5GHz, 40MHz)`
ไม่พบช่องและความกว้าง
หากวิธีอื่นไม่ได้ผล คุณสามารถลองทำสิ่งต่อไปนี้
ระบุช่องทั้งหมดที่ AP ใช้ (โดยทั่วไปคือ 2 ช่องสำหรับ AP หรือ Mesh Point แต่ละจุด)
a. แนะนำ หากใช้โทรศัพท์ Android คุณจะใช้แอปอย่าง Wifiman หรือ Aruba Utilities ได้
a. ใน Mac คุณจะใช้
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
เพื่อแสดงรายการตัวเลือกได้ให้จับภาพสั้นๆ (15 วินาทีก็เพียงพอแล้ว) สำหรับแต่ละแชแนล โดยทำตามคำแนะนำด้านล่าง
ติดตั้ง Wireshark (สำหรับความช่วยเหลือ โปรดดูติดตั้ง Wireshark)
เปิดการจับภาพแต่ละรายการโดยใช้ Wireshark ใช้ตัวกรองการแสดงผล
wlan.addr == YOUR_DEVICE'S_MAC
และดูว่ามีแพ็กเก็ตปรากฏหรือไม่
2. เริ่มจับภาพ
สําคัญ: การจับภาพแฮนด์เชค 4 ทาง
หากเปิดการรักษาความปลอดภัยสำหรับ Wi-Fi ไว้ คุณจำเป็นต้องทราบคีย์การเข้ารหัสเพื่อถอดรหัสแพ็กเก็ตที่บันทึก คีย์การเข้ารหัสได้มาจากแฮนด์เชค 4 ทางที่เกิดขึ้นเมื่ออุปกรณ์เชื่อมต่อกับเครือข่าย และคีย์จะไม่ซ้ำกันในการเชื่อมต่อระหว่างอุปกรณ์กับ AP
ด้วยเหตุนี้ คุณต้องบันทึกแฮนด์เชค 4 ทางเพื่อถอดรหัสเพย์โหลด Wi-Fi หากอุปกรณ์เชื่อมต่อกับเครือข่ายอยู่แล้วเมื่อคุณเริ่มจับภาพ ให้ยกเลิกการเชื่อมต่อและเชื่อมต่ออุปกรณ์อีกครั้ง (หรือรีบูต) เมื่อเริ่มการดักจับ
จับภาพบน Mac
ขณะที่กดปุ่ม Option บนแป้นพิมพ์ค้างไว้ ให้คลิกไอคอน WLAN แล้วเลือก "เปิดการวินิจฉัยแบบไร้สาย...":
จากแถบเมนูการวินิจฉัยแบบไร้สาย ให้เลือก หน้าต่าง > Sniffer:
ตั้งค่าช่องและความกว้างเป็นค่าที่ดึงมาก่อนหน้านี้ (ภาพหน้าจอ ตัวอย่างสำหรับช่อง 60 และความกว้าง 40 MHz) มีดังนี้
กด Start
และป้อนรหัสผ่าน โปรดลองทำให้ปัญหาเกิดซ้ำ
ตรวจสอบว่าคุณบันทึกการแฮนด์เชค 4 ทางจากการเชื่อมต่อตามที่ระบุไว้ในการจับภาพการแฮนด์เชค 4 ทาง
เมื่อดำเนินการเสร็จแล้ว ให้กด Stop
ไฟล์ *.pcap
ใหม่จะอยู่ใน /var/tmp
ที่มีการเข้าชมทั้งหมด ชื่อไฟล์ตัวอย่างคือ (null)_ch100_2018-11-06_10.52.01.pcap
จับภาพบน Linux
ปิด Wi-Fi ซึ่งทําได้ด้วยสิ่งต่อไปนี้
- การใช้ GUI (แนะนำ)
- ใช้ Network Manager CLI เพื่อแจ้งให้หยุดจัดการอินเทอร์เฟซ WLAN:
sudo nmcli dev set <wlan-ifname> managed on
- หากใช้ตัวจัดการเครือข่ายสำรอง ให้ปรับให้เหมาะสม
บันทึกสคริปต์นี้ แทนที่
<wlan-ifname>
ด้วยชื่ออินเทอร์เฟซ Wi-Fi เอกสารนี้ถือว่าชื่อสคริปต์คือsetup-wifi-capture
#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
เรียกใช้สคริปต์ก่อนหน้า แล้วส่งผ่านช่องสัญญาณและแบนด์วิดท์สูงสุดเพื่อตรวจจับ เช่น ช่องสัญญาณ 153 ที่มีแบนด์วิดท์ 80MHz ดังนี้
./setup-wifi-capture chan 153 80 MHz
เปิด Wireshark และคุณควรจะสามารถบันทึกแพ็กเก็ตบนอินเทอร์เฟซของ Wlan ได้
3. แชร์ภาพหน้าจอ
ใช้เครื่องมือสร้าง WPA PSK (คีย์ดิบ) เพื่อสร้างแฮชรหัสผ่าน วิธีนี้ช่วยให้คุณถอดรหัสการบันทึกได้ โดยไม่ต้องรู้รหัสผ่านที่เป็นข้อความธรรมดา
คุณต้องแชร์ PSK ที่สร้างขึ้นด้วยเพื่อให้คนอื่นๆ ถอดรหัสการจับภาพได้
ภาคผนวก
ติดตั้ง Wireshark
คุณติดตั้ง Wireshark ได้โดยใช้ apt install Wireshark ใน Linux หรือดาวน์โหลดออนไลน์จากเว็บไซต์ Wireshark ได้
ตั้งค่า Wireshark เพื่อถอดรหัสการรับส่งข้อมูล
การดำเนินการนี้ไม่จำเป็นสำหรับการแชร์ไฟล์ที่จับภาพไว้ เพียงแต่ในกรณีที่คุณต้องการตรวจสอบการเข้าชมที่ถอดรหัสด้วยตัวเองใน Wireshark เท่านั้น
เมื่อมีการรักษาความปลอดภัยของ WPA2 บน Wi-Fi ระบบจะไม่ใช้ WPA2-PSK โดยตรงสำหรับการเข้ารหัสและถอดรหัสการรับส่งข้อมูล โดยจะใช้ในแฮนด์เชค 4 ทาง ซึ่งคุณต้องบันทึกเพื่อถอดรหัสแพ็กเก็ต อย่างไรก็ตาม หากสิ่งที่คุณพยายามจับภาพคือปัญหาการเชื่อมต่อ Wi-Fi หรือการเชื่อมต่อลดลง ซึ่งรวบรวมได้จากเฟรมการจัดการ Wi-Fi คุณไม่จำเป็นต้องจับภาพแฮนด์เชค 4 ทาง ไม่ว่าจะในกรณีใด การจับภาพนั้นจึงไม่เสียหาย
เปิด Wireshark แล้วเปิดหน้าค่ากำหนด (เมนู Wireshark > ค่ากำหนด หรือ **Cmd + , **)
ค้นหาส่วน "IEEE 802.11" ในหมวดหมู่ "โปรโตคอล" และตรวจสอบว่าได้เลือก "เปิดใช้การถอดรหัส" ไว้
คลิกปุ่ม Edit ถัดจากป้ายกำกับ Decryption Key
คลิกปุ่ม "+" ที่มุมซ้ายล่างและเลือกตัวเลือก "wpa-pwd"
คลิกคอลัมน์คีย์ของแถวที่สร้างใหม่ (ถัดจากสตริง wpa-pwd) พิมพ์ WPA2 PSK และ SSID ในรูปแบบ
<password>:<ssid>
เช่น หากชื่อเครือข่ายคือMyHomeNetwork
และ WPA2 PSK คือmyp4ssword
ให้พิมพ์myp4ssword:MyHomeNetwork
คลิก ตกลง เพื่อยืนยัน
ดูข้อมูลเพิ่มเติมได้ในคู่มืออย่างเป็นทางการของ Wireshark (พร้อมภาพหน้าจอ) ที่วิธีถอดรหัส 802.11
หากใช้ tshark
ให้ส่งอาร์กิวเมนต์ต่อไปนี้
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
ระบายสีข้อมูล Wireshark 802.11
มีโปรไฟล์สี 802.11 ที่มีประโยชน์อยู่ใน metageek.com: โปรไฟล์การกำหนดค่า Wireshark