Merekam traffic WLAN

Dengan mengambil paket Wi-Fi, Anda dapat melihat detail dan interaksi yang biasanya disamarkan sebelum mencapai software yang berjalan di perangkat, sehingga pengambilan ini menjadi alat penting untuk beberapa jenis bug.

Langkah-langkah utamanya adalah:

  1. Menemukan saluran yang tepat untuk di-sniff.
  2. Mengambil traffic.
  3. Membagikan hasil pengambilan dan hash sandi WLAN Anda.

1. Menentukan saluran dan lebar yang tepat

Jaringan WLAN beroperasi di:

  • saluran, biasanya disebut dengan angka. 1-13 untuk saluran 2,4 GHz, 36-200 untuk saluran 5 GHz
  • dengan lebar tertentu (20 MHz, 40 MHz, 80 MHz, 160 MHz)

Setiap titik akses (misalnya, router, node mesh) di jaringan Anda biasanya memiliki saluran 2,4 GHz dan saluran 5 GHz yang unik, dan Anda perlu menemukan saluran mana yang terhubung ke perangkat. Ada beberapa opsi:

Menggunakan panel kontrol router

Jika Anda menggunakan Nest WiFi, lewati opsi ini – info tidak diekspos.

Sebagian besar router memiliki daftar perangkat yang terhubung dan saluran serta lebar yang digunakan.

  1. Temukan alamat IP router Anda menggunakan panduan ini.
  2. Buka alamat router di browser web Anda, misalnya http://192.168.1.1.
  3. Login. Tidak tahu sandi Anda? Cari tag di router Anda, atau gunakan Sandi Router.

  4. Cari halaman yang diberi nama seperti "klien" atau "perangkat terlampir". Misalnya, halaman router Netgear mungkin terlihat seperti berikut, atau untuk perangkat Eero.

    Tampilan Klien Netgear

  5. Anda mungkin harus mencari di tempat lain dalam setelan untuk memetakan info dari langkah 4 ke saluran dan bandwidth tertentu. Misalnya, router Netgear:

    Tampilan Channel Netgear

Menggunakan Mac Anda, jika sudah terhubung ke saluran yang sama

Tahan Option di keyboard Anda, lalu klik ikon WLAN di pojok kanan atas di status bar Mac Anda. Anda akan melihat menu WLAN reguler dengan beberapa opsi dan informasi lainnya. Lihat item menu yang tidak tersedia dan cari item yang menyebutkan Saluran:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Tidak dapat menemukan saluran dan lebar

Jika metode lainnya tidak berhasil, Anda dapat mencoba:

  1. Mencantumkan semua saluran yang digunakan AP Anda (biasanya 2 untuk setiap AP atau titik mesh).

    a. Direkomendasikan Dengan ponsel Android, Anda dapat menggunakan aplikasi seperti Wifiman atau Aruba Utilities.

    a. Di Mac, Anda dapat menggunakan /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s untuk mencantumkan opsi.

  2. Melakukan pengambilan singkat (bahkan 15 detik sudah cukup) di setiap saluran tersebut, menggunakan petunjuk di bawah

  3. Menginstal Wireshark (untuk mendapatkan bantuan, lihat Menginstal Wireshark).

  4. Membuka setiap hasil pengambilan menggunakan Wireshark, menerapkan filter tampilan wlan.addr == YOUR_DEVICE'S_MAC, dan melihat apakah ada paket yang muncul.

2. Memulai pengambilan

Penting: Mengambil 4-way handshake

Jika keamanan diaktifkan untuk Wi-Fi, Anda harus mengetahui kunci enkripsi untuk mendekripsi paket yang diambil. Kunci enkripsi berasal dari 4-way handshake yang terjadi saat perangkat terhubung ke jaringan, dan bersifat unik untuk setiap koneksi antara perangkat dan AP.

Oleh karena itu, Anda HARUS mengambil 4-way handshake untuk mendekripsi payload Wi-Fi. Jika perangkat sudah terhubung ke jaringan saat Anda memulai pengambilan, putuskan koneksi dan hubungkan kembali perangkat (atau mulai ulang perangkat) setelah sniffing dimulai.

Mengambil di Mac

Sambil menahan tombol Option di keyboard Anda, klik ikon WLAN, lalu pilih "Open Wireless Diagnostics…":

Perekaman WLAN Mac

Dari panel menu Wireless Diagnostics, pilih Window > Sniffer:

Mac WLAN Sniffer

Tetapkan saluran dan lebar ke nilai yang Anda ambil sebelumnya (Contoh screenshot adalah untuk Saluran 60 dan Lebar 40 MHz):

Saluran dan Lebar WLAN Mac

Tekan Start dan masukkan sandi Anda. Sekarang, coba reproduksi masalah. Pastikan Anda mengambil 4-way handshake dari koneksi seperti yang tercantum di Mengambil 4-way handshake.

Setelah selesai, tekan Stop. File *.pcap baru dapat ditemukan di /var/tmp yang berisi semua traffic. Contoh nama file adalah: (null)_ch100_2018-11-06_10.52.01.pcap.

Mengambil di Linux

  1. Nonaktifkan Wi-Fi. Hal ini dapat dilakukan dengan:

    • Menggunakan GUI (direkomendasikan)
    • Menggunakan Network Manager CLI untuk memberi tahu agar berhenti mengelola antarmuka WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Jika menggunakan pengelola jaringan alternatif, sesuaikan dengan tepat.

  2. Simpan skrip ini. Ganti <wlan-ifname> dengan nama antarmuka Wi-Fi Anda. Dokumen ini mengasumsikan nama skrip adalah setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Jalankan skrip sebelumnya dan teruskan saluran dan bandwidth tertinggi untuk di-sniff, misalnya saluran 153 dengan bandwidth 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Buka Wireshark, dan kini Anda dapat mengambil paket di antarmuka wlan.

3. Membagikan hasil pengambilan

  1. Gunakan WPA PSK (Raw Key) Generator untuk membuat hash sandi Anda. Hal ini memungkinkan Anda mendekripsi hasil pengambilan tanpa mengetahui sandi teks biasa Anda.

  2. Anda juga harus membagikan PSK yang dihasilkan agar orang lain dapat mendekripsi hasil pengambilan.

Lampiran

Menginstal Wireshark

Anda dapat menginstal Wireshark menggunakan apt install wireshark di Linux atau mendownloadnya secara online dari situs Wireshark.

Menyiapkan Wireshark untuk mendekripsi traffic

Hal ini tidak diperlukan untuk membagikan file hasil pengambilan Anda. Lakukan hal ini hanya jika Anda ingin memeriksa traffic yang didekripsi sendiri di Wireshark.

Dengan keamanan WPA2 di Wi-Fi, WPA2-PSK tidak digunakan secara langsung untuk enkripsi dan dekripsi traffic. Hal ini digunakan dalam 4-way handshake, yang harus Anda ambil untuk mendekripsi paket. Namun, jika yang Anda coba ambil hanyalah masalah terkait koneksi ke Wi-Fi atau penurunan konektivitas, yang dapat diperoleh dari frame pengelolaan Wi-Fi, Anda tidak perlu mengambil 4-way handshake. Dalam kedua kasus tersebut, tidak ada salahnya untuk tetap mengambilnya.

Buka Wireshark dan buka halaman Preferences (Wireshark menu > Preferences atau **Cmd + , **).

  1. Temukan bagian "IEEE 802.11" di kategori "Protocols" dan pastikan "Enable decryption" dicentang:

    Preferensi Wireshark Mac

  2. Klik tombol Edit di samping label Decryption Keys.

  3. Klik tombol '+' di pojok kiri bawah dan pilih opsi "wpa-pwd".

    Sandi dan WPA Wireshark Mac

  4. Klik kolom kunci baris yang baru dibuat (tepat di samping string wpa-pwd), ketik WPA2 PSK dan SSID Anda dalam format <password>:<ssid>. Misalnya, jika nama jaringan Anda adalah MyHomeNetwork dan WPA2 PSK Anda adalah myp4ssword, ketik myp4ssword:MyHomeNetwork.

    SSID Wireshark Mac

  5. Klik OK untuk mengonfirmasi

Untuk informasi lebih lanjut, lihat panduan resmi Wireshark (dengan screenshot) di Cara Mendekripsi 802.11.

Jika menggunakan tshark, teruskan argumen berikut:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Mewarnai Data Wireshark 802.11

Ada profil warna 802.11 praktis yang terletak di metageek.com: Profil Konfigurasi Wireshark.