التقاط حركة بيانات WLAN

يتيح لك تسجيل حِزم Wi-Fi الاطّلاع على التفاصيل والتفاعلات التي يتم إخفاؤها قبل وصولها إلى البرامج التي تعمل على الجهاز، ما يجعل عمليات التسجيل هذه أداة مهمة لبعض أنواع الأخطاء.

في ما يلي الخطوات الرئيسية المتّبعة:

  1. العثور على القناة المناسبة للتنصّت
  2. تسجيل حركة المرور
  3. مشاركة عملية الالتقاط وتجزئة كلمة مرور شبكة WLAN

1. تحديد القناة والعرض المناسبَين

تعمل شبكات WLAN على:

  • قناة، ويُشار إليها عادةً برقم تُستخدَم الأرقام من 1 إلى 13 لقنوات 2.4 غيغاهرتز، بينما تُستخدَم الأرقام من 36 إلى 200 لقنوات 5 غيغاهرتز.
  • بعرض محدّد (إما 20 ميغاهرتز أو 40 ميغاهرتز أو 80 ميغاهرتز أو 160 ميغاهرتز)

عادةً ما تحتوي كل نقطة وصول (مثل جهاز التوجيه أو عقدة الشبكة المتداخلة) في شبكتك على قناة فريدة بتردد 2.4 غيغاهرتز وقناة بتردد 5 غيغاهرتز، وعليك معرفة القناة التي يتصل بها الجهاز. هناك العديد من الخيارات:

استخدام لوحة التحكّم في جهاز التوجيه

إذا كنت تستخدم Nest WiFi، يمكنك تخطّي هذا الخيار لأنّ المعلومات لن يتم الكشف عنها.

تتضمّن معظم أجهزة التوجيه قائمة بالأجهزة المتصلة والقناة وعرض النطاق اللذين تستخدمهما.

  1. يمكنك العثور على عنوان IP لجهاز التوجيه باستخدام هذا الدليل.
  2. انتقِل إلى عنوان جهاز التوجيه في متصفّح الويب، مثلاً http://192.168.1.1.
  3. سجِّل الدخول. إذا كنت لا تعرف كلمة المرور، اتّبِع الخطوات التالية: ابحث عن ملصق على جهاز التوجيه أو استخدِم كلمات مرور جهاز التوجيه.

  4. ابحث عن صفحة تحمل اسمًا مثل "العملاء" أو "الأجهزة المتصلة". على سبيل المثال، قد تبدو صفحة جهاز توجيه Netgear كما يلي، أو أجهزة Eero.

    Netgear Client view

  5. قد تحتاج إلى البحث في مكان آخر ضمن الإعدادات لربط المعلومات من الخطوة 4 بقناة ونطاق ترددي معيّنَين. على سبيل المثال، جهاز توجيه Netgear:

    طريقة عرض قنوات Netgear

استخدام جهاز Mac إذا كان مرتبطًا بالقناة نفسها

اضغط باستمرار على Option على لوحة المفاتيح، ثم انقر على رمز شبكة WLAN في أعلى يسار الصفحة في شريط الحالة على جهاز Mac. ستظهر لك قائمة شبكة WLAN العادية مع بعض الخيارات والمعلومات الإضافية. اطّلِع على عناصر القائمة غير المتوفّرة وابحث عن العنصر الذي يشير إلى "القناة":

`Channel 60 (DFS, 5GHz, 40MHz)`

شبكة WLAN على جهاز Mac

يتعذّر العثور على القناة والعرض

إذا لم تنجح الطرق الأخرى، يمكنك تجربة ما يلي:

  1. أدرِج جميع القنوات التي تستخدمها نقاط الوصول (عادةً قناتان لكل نقطة وصول أو نقطة شبكة).

    أ. يُنصح بما يلي: باستخدام هاتف Android، يمكنك استخدام تطبيق مثل Wifiman أو Aruba Utilities.

    أ. على جهاز Mac، يمكنك استخدام /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s لعرض الخيارات.

  2. سجِّل مقطعًا قصيرًا (حتى 15 ثانية تكفي) على كل قناة من هذه القنوات، وذلك باتّباع التعليمات أدناه.

  3. ثبِّت Wireshark (للحصول على المساعدة، اطّلِع على مقالة تثبيت Wireshark).

  4. افتح كل عمليات الالتقاط باستخدام Wireshark، وطبِّق فلتر عرض wlan.addr == YOUR_DEVICE'S_MAC، وتحقّق مما إذا كانت أي حِزم تظهر.

2. بدء عملية الالتقاط

ملاحظة مهمة: تسجيل عملية المصافحة الرباعية

إذا كانت ميزة الأمان مفعَّلة لشبكة Wi-Fi، عليك معرفة مفاتيح التشفير لفك تشفير الحِزم التي تم التقاطها. يتم استخلاص مفاتيح التشفير من مصافحة رباعية تحدث عندما يتصل الجهاز بالشبكة، وتكون فريدة لكل اتصال بين الجهاز ونقطة الوصول.

لهذا السبب، يجب التقاط عملية المصافحة الرباعية لتشفير حمولات Wi-Fi. إذا كان الجهاز متصلاً بالشبكة عند بدء عملية الالتقاط، عليك فصل الجهاز وإعادة توصيله (أو إعادة تشغيله) بعد بدء عملية التتبُّع.

التقاط الشاشة على جهاز Mac

أثناء الضغط على مفتاح Option في لوحة المفاتيح، انقر على رمز WLAN ثم اختَر "فتح "أدوات تشخيص الشبكة اللاسلكية"…":

Mac WLAN Capture

من شريط قوائم "أدوات تشخيص الشبكة اللاسلكية"، اختَر Window (نافذة) > Sniffer (أداة تحليل حزم البيانات):

Mac WLAN Sniffer

اضبط القناة والعرض على القيم التي استرجعتها سابقًا (مثال على لقطة الشاشة للقناة 60 والعرض 40 ميغاهرتز):

قناة وعرض شبكة WLAN على أجهزة Mac

اضغط على Start وأدخِل كلمة المرور. الآن، حاوِل إعادة إنتاج المشكلة. تأكَّد من تسجيل عملية تأكيد الاتصال الرباعية من أحد الاتصالات كما هو موضّح في مقالة تسجيل عملية تأكيد الاتصال الرباعية.

عند الانتهاء، اضغط على Stop. يمكن العثور على ملف *.pcap جديد في /var/tmp يحتوي على جميع الزيارات. في ما يلي مثال على اسم ملف: (null)_ch100_2018-11-06_10.52.01.pcap.

التقاط الشاشة على نظام التشغيل Linux

  1. أوقِف شبكة Wi-Fi. يمكن إجراء ذلك من خلال:

    • استخدام واجهة المستخدم الرسومية (يُنصح به)
    • استخدام واجهة سطر الأوامر في Network Manager لإيقاف إدارة واجهة شبكة WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • في حال استخدام أداة بديلة لإدارة الشبكة، اضبط الإعدادات وفقًا لذلك.

  2. احفظ هذا النص البرمجي. استبدِل <wlan-ifname> باسم واجهة Wi-Fi. يفترض هذا المستند أنّ اسم النص البرمجي هو setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. نفِّذ النص البرمجي السابق وأدخِل القناة وأعلى نطاق ترددي ليتم رصدهما، مثل القناة 153 بنطاق ترددي 80 ميغاهرتز:

    ./setup-wifi-capture chan 153 80 MHz

  4. افتح Wireshark، ويجب أن تتمكّن الآن من التقاط الحِزم على واجهة wlan.

3- مشاركة عملية الالتقاط

  1. استخدِم WPA PSK (Raw Key) Generator لإنشاء قيمة تجزئة لكلمة المرور. يتيح لك ذلك فك تشفير عملية الالتقاط بدون معرفة كلمة المرور بالنص العادي.

  2. عليك أيضًا مشاركة مفتاح PSK الذي تم إنشاؤه ليتمكّن الآخرون من فك تشفير عملية الالتقاط.

الملحق

تثبيت Wireshark

يمكنك تثبيت Wireshark باستخدام apt install wireshark على نظام التشغيل Linux أو تنزيله على الإنترنت من موقع Wireshark الإلكتروني.

إعداد Wireshark لفك تشفير البيانات

هذا الإجراء غير ضروري لمشاركة ملفات الالتقاط، ولا تنفّذه إلا إذا أردت فحص الزيارات التي تم فك تشفيرها بنفسك في Wireshark.

عند استخدام أمان WPA2 على شبكة Wi-Fi، لا يتم استخدام WPA2-PSK مباشرةً لتشفير وفك تشفير البيانات. يتم استخدامها في مصافحة رباعية، عليك تسجيلها لفك تشفير الحِزم. ومع ذلك، إذا كنت تحاول فقط رصد مشاكل في الاتصال بشبكة Wi-Fi أو انقطاع الاتصال، وهي مشاكل يمكن استخلاصها من إطارات إدارة شبكة Wi-Fi، لن تحتاج إلى تسجيل عملية المصافحة الرباعية. في كلتا الحالتين، لا بأس من تسجيلها على أي حال.

افتح Wireshark وافتح صفحة "الإعدادات المفضّلة" (قائمة Wireshark > الإعدادات المفضّلة أو **Cmd + , **).

  1. ابحث عن قسم "IEEE 802.11" في فئة "البروتوكولات" وتأكَّد من وضع علامة في المربّع بجانب "تفعيل فك التشفير":

    إعدادات Wireshark على Mac

  2. انقر على الزر تعديل بجانب التصنيف مفاتيح فك التشفير.

  3. انقر على الزر "+" في أسفل يمين الشاشة واختَر الخيار "wpa-pwd".

    Mac Wireshark WPA and Password

  4. انقر على عمود المفتاح في الصف الذي تم إنشاؤه حديثًا (بجانب سلسلة wpa-pwd مباشرةً)، واكتب عبارة المرور WPA2 PSK ومعرّف SSID بالتنسيق <password>:<ssid>. على سبيل المثال، إذا كان اسم شبكتك هو MyHomeNetwork وعبارة المرور WPA2 PSK هي myp4ssword، اكتب myp4ssword:MyHomeNetwork.

    Mac Wireshark SSID

  5. انقر على "حسنًا" للتأكيد

لمزيد من المعلومات، يُرجى الاطّلاع على دليل Wireshark الرسمي (مع لقطات شاشة) على كيفية فك تشفير 802.11.

في حال استخدام tshark، مرِّر الوسيطات التالية:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

تلوين بيانات 802.11 في Wireshark

يتوفّر ملف تعريف ألوان 802.11 مفيد على موقع metageek.com: ملف إعداد Wireshark.