Ghi lại lưu lượng truy cập WLAN

Việc ghi lại gói Wi-Fi cho phép bạn xem các thông tin chi tiết và hoạt động tương tác được che giấu trước khi tiếp cận phần mềm chạy trên thiết bị, nhờ đó, các gói này ghi lại được một công cụ quan trọng đối với một số loại lỗi.

Các bước chính có liên quan là:

  1. Tìm kênh phù hợp để xem.
  2. Chụp ảnh giao thông.
  3. Chia sẻ bản chụp và hàm băm của mật khẩu WLAN.

1. Xác định kênh và chiều rộng phù hợp

Mạng WLAN hoạt động trên:

  • kênh, thường được gọi bằng số. 1-13 là cho kênh 2,4 GHz, 36-200 cho kênh 5 GHz
  • với độ rộng cụ thể (20Mhz, 40Mhz, 80Mhz, 160MHz)

Mỗi điểm truy cập (ví dụ: bộ định tuyến, nút lưới) trong mạng của bạn thường có một kênh 2,4 GHz duy nhất và một kênh 5 GHz, bạn cần tìm hiểu thiết bị kết nối với kênh nào. Có nhiều tùy chọn:

Sử dụng bảng điều khiển của bộ định tuyến

Nếu bạn sử dụng Nest WiFi, hãy bỏ qua lựa chọn này – thông tin không hiển thị.

Hầu hết bộ định tuyến đều có danh sách các thiết bị đã kết nối cũng như kênh và chiều rộng mà các thiết bị đó đang sử dụng.

  1. Tìm địa chỉ IP của bộ định tuyến theo hướng dẫn này.
  2. Truy cập vào địa chỉ của bộ định tuyến trong trình duyệt web, ví dụ: http://192.168.1.1.
  3. Đăng nhập. Bạn không biết mật khẩu? Tìm thẻ trên bộ định tuyến hoặc dùng Mật khẩu bộ định tuyến.

  4. Hãy tìm một trang có tên như "máy khách" hoặc "thiết bị đính kèm". Ví dụ: trang bộ định tuyến Netgear có thể có dạng như sau hoặc dành cho các thiết bị Eero.

    Chế độ xem máy khách của Netgear

  5. Bạn có thể phải xem ở nơi khác trong phần cài đặt để ánh xạ thông tin từ bước 4 đến một kênh và băng thông cụ thể. Ví dụ: bộ định tuyến Netgear:

    Chế độ xem Kênh Netgear

Sử dụng máy Mac nếu thiết bị đã kết nối với cùng một kênh

Giữ phím Option (Tuỳ chọn) trên bàn phím rồi nhấp vào biểu tượng WLAN ở góc trên cùng bên phải trên thanh trạng thái của máy Mac. Bạn sẽ thấy trình đơn WLAN thông thường cùng với một vài tuỳ chọn và thông tin khác. Hãy xem các mục trong trình đơn không có sẵn và tìm mục đề cập đến Kênh:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Không tìm thấy kênh và chiều rộng

Nếu những phương thức khác không hiệu quả, bạn có thể thử:

  1. Liệt kê tất cả các kênh mà AP đang dùng (thường là 2 kênh cho mỗi điểm truy cập hoặc điểm lưới).

    a. Nên dùng Với điện thoại Android, bạn có thể dùng một ứng dụng như Wifiman hoặc Tiện ích Aruba.

    a. Trên máy Mac, bạn có thể sử dụng /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s để liệt kê các tuỳ chọn.

  2. Thực hiện quay video ngắn (thậm chí 15 giây là đủ) trên từng kênh đó bằng cách làm theo hướng dẫn bên dưới

  3. Cài đặt Wireshark (để được hỗ trợ, hãy xem phần Cài đặt Wireshark).

  4. Mở từng ảnh chụp bằng Wireshark, áp dụng bộ lọc hiển thị của wlan.addr == YOUR_DEVICE'S_MAC và xem có gói nào xuất hiện hay không.

2. Bắt đầu chụp

Lưu ý quan trọng: Bắt tay theo 4 chiều

Nếu tính năng bảo mật được bật cho Wi-Fi, bạn cần biết khoá mã hoá để giải mã các gói đã thu thập. Khoá mã hoá bắt nguồn từ cơ chế bắt tay 4 chiều xảy ra khi thiết bị kết nối với mạng và là duy nhất cho mỗi kết nối giữa thiết bị và AP.

Do đó, bạn PHẢI bắt tay 4 chiều để giải mã các tải trọng Wi-Fi. Nếu thiết bị đã được kết nối với mạng khi bạn bắt đầu chụp, hãy ngắt kết nối và kết nối lại thiết bị (hoặc khởi động lại thiết bị) khi tính năng phát hiện âm thanh bắt đầu.

Chụp trên máy Mac

Trong khi giữ phím Tuỳ chọn trên bàn phím, hãy nhấp vào biểu tượng WLAN rồi chọn "Open Wireless Chẩn đoán...":

Chụp mạng WLAN cho Mac

Từ thanh trình đơn Chẩn đoán không dây, hãy chọn Cửa sổ > Nghe lén:

Mac WLAN Sniffer

Đặt kênh và chiều rộng thành các giá trị mà bạn đã truy xuất trước đó (Ví dụ về ảnh chụp màn hình dành cho Kênh 60 và Chiều rộng 40 MHz):

Chiều rộng và kênh WLAN của Mac

Nhấn Start rồi nhập mật khẩu của bạn. Bây giờ, hãy cố gắng tái hiện sự cố. Đảm bảo bạn bắt được giao thức bắt tay 4 chiều từ một kết nối như đã nêu trong bài viết Bắt tay 4 chiều.

Sau khi hoàn tất, hãy nhấn Stop. Bạn có thể tìm thấy tệp *.pcap mới trong /var/tmp chứa tất cả lưu lượng truy cập. Tên tệp mẫu là: (null)_ch100_2018-11-06_10.52.01.pcap.

Chụp trên Linux

  1. Tắt Wi-Fi. Bạn có thể thực hiện việc này bằng cách:

    • Sử dụng GUI (nên dùng)
    • Sử dụng CLI của Trình quản lý mạng để yêu cầu ứng dụng ngừng quản lý giao diện WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Nếu bạn sử dụng một trình quản lý mạng thay thế, hãy điều chỉnh cho phù hợp.

  2. Lưu tập lệnh này. Thay thế <wlan-ifname> bằng tên giao diện Wi-Fi của bạn. Tài liệu này giả định tên tập lệnh là setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Thực thi tập lệnh trước đó và truyền vào kênh cũng như băng thông cao nhất để nghe, chẳng hạn như kênh 153 với băng thông 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Mở Wireshark và giờ đây bạn có thể ghi lại các gói trên giao diện wlan.

3. Chia sẻ ảnh chụp

  1. Sử dụng Trình tạo mã WPA PSK (Khoá thô) để tạo hàm băm cho mật khẩu của bạn. Điều này cho phép bạn giải mã ảnh chụp mà không cần biết mật khẩu dạng văn bản thuần tuý của mình.

  2. Bạn cũng cần chia sẻ PSK đã tạo để người khác có thể giải mã bản ghi.

Phụ lục

Cài đặt Wireshark

Bạn có thể cài đặt Wireshark bằng cách sử dụng apt cài đặtwireshark trên Linux hoặc tải xuống trực tuyến từ trang web Wireshark.

Thiết lập Wireshark để giải mã lưu lượng truy cập

Thao tác này không cần thiết cho việc chia sẻ các tệp chụp, chỉ làm điều này nếu bạn muốn tự kiểm tra lưu lượng truy cập đã giải mã trong Wireshark.

Với chế độ bảo mật WPA2 trên Wi-Fi, WPA2-PSK không được dùng trực tiếp để mã hoá và giải mã lưu lượng truy cập. Cấu trúc này được dùng trong quá trình bắt tay 4 chiều mà bạn cần thu thập để giải mã các gói. Tuy nhiên, nếu tất cả những gì bạn đang cố gắng chụp là sự cố khi kết nối Wi-Fi hoặc mất kết nối (có thể thu thập được từ các khung quản lý Wi-Fi), bạn không cần phải bắt tay 4 chiều. Trong cả hai trường hợp, việc chụp ảnh cũng không có vấn đề gì.

Mở Wireshark và mở trang Tuỳ chọn (trình đơn Wireshark > Tuỳ chọn hoặc **Cmd + , **).

  1. Tìm phần "IEEE 802.11" trong danh mục "Giao thức" và đảm bảo "Cho phép giải mã" được chọn:

    Sở thích Mac Wireshark

  2. Nhấp vào nút Edit (Chỉnh sửa) bên cạnh nhãn Giải mã khóa.

  3. Nhấp vào nút dấu "+" ở góc dưới cùng bên trái, rồi chọn "wpa-pwd".

    Mac Wireshark WPA và Mật khẩu

  4. Nhấp vào cột khoá của hàng mới tạo (ngay bên cạnh chuỗi wpa-pwd), nhập WPA2 PSK và SSID theo định dạng <password>:<ssid>. Ví dụ: nếu tên mạng là MyHomeNetwork và WPA2 PSK của bạn là myp4ssword, hãy nhập myp4ssword:MyHomeNetwork.

    SSID trên Mac Wireshark

  5. Nhấp vào OK để xác nhận

Để biết thêm thông tin, hãy xem hướng dẫn chính thức của Wireshark (có ảnh chụp màn hình) tại Cách giải mã 802.11.

Nếu sử dụng tshark, hãy truyền các đối số sau:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Tạo màu dữ liệu Wireshark 802.11

Bạn có thể tìm thấy một hồ sơ màu 802.11 tiện dụng trên meageek.com: Wireshark Configuration Profile (Hồ sơ cấu hình Wireshark).