Wenn Sie WLAN-Pakete erfassen, können Sie Details und Interaktionen sehen, die sonst ausgeblendet werden, bevor sie die auf einem Gerät laufende Software erreichen. Diese Erfassungen sind daher ein wichtiges Tool für einige Arten von Fehlern.
Die wichtigsten Schritte sind:
- Den richtigen Kanal zum Auswerten finden
- Erfassen Sie die Zugriffe.
- Teilen Sie die Aufzeichnung und einen Hashwert Ihres WLAN-Passworts.
1. Kanal und Breite festlegen
WLAN-Netzwerke arbeiten mit:
- einen Kanal, der in der Regel mit einer Nummer bezeichnet wird. 1–13 für 2,4‑GHz-Kanäle, 36–200 für 5‑GHz-Kanäle
- mit einer bestimmten Breite (20 MHz, 40 MHz, 80 MHz oder 160 MHz)
Jeder Zugangspunkt (z. B. Router, Mesh-Knoten) in Ihrem Netzwerk hat in der Regel einen eindeutigen 2,4‑GHz- und einen 5‑GHz-Kanal. Sie müssen herausfinden, mit welchem das Gerät verbunden ist. Dafür gibt es mehrere Möglichkeiten:
Steuerfeld des Routers verwenden
Wenn Sie Nest WiFi verwenden, überspringen Sie diese Option. Die Informationen werden nicht angezeigt.
Die meisten Router haben eine Liste der verbundenen Geräte und der verwendeten Kanäle und Bandbreiten.
- In dieser Anleitung erfährst du, wie du die IP-Adresse deines Routers findest.
- Rufen Sie in Ihrem Webbrowser die Adresse Ihres Routers auf, z. B. http://192.168.1.1.
- Anmelden. Sie kennen Ihr Passwort nicht? Suchen Sie auf Ihrem Router nach einem Tag oder verwenden Sie Router-Passwörter.
Suchen Sie nach einer Seite mit einem Namen wie „Clients“ oder „Angehängte Geräte“. Die Seite eines Netgear-Routers könnte beispielsweise so aussehen, oder die Seite eines Eero-Geräts.
Möglicherweise müssen Sie sich an anderer Stelle in den Einstellungen umsehen, um die Informationen aus Schritt 4 einem bestimmten Kanal und einer bestimmten Bandbreite zuzuordnen. Beispiel für einen Netgear-Router:
Verwende deinen Mac, wenn er bereits mit demselben Kanal verbunden ist.
Halten Sie die Taste Option auf der Tastatur gedrückt und klicken Sie dann oben rechts in der Statusleiste Ihres Macs auf das WLAN-Symbol. Das normale WLAN-Menü mit einigen weiteren Optionen und Informationen sollte angezeigt werden. Suche unter den nicht verfügbaren Menüpunkten nach dem Menüpunkt, in dem der Channel erwähnt wird:
`Channel 60 (DFS, 5GHz, 40MHz)`
Kanal und Breite können nicht gefunden werden
Wenn die anderen Methoden nicht funktionieren, können Sie Folgendes versuchen:
Geben Sie alle Kanäle an, die von Ihren ZPs verwendet werden (in der Regel zwei für jeden ZP oder Mesh-Punkt).
a. Empfohlen: Mit einem Android-Smartphone können Sie eine App wie Wifiman oder Aruba Utilities verwenden.
a. Auf einem Mac können Sie die Optionen mit
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
aufrufen.Führe anhand der folgenden Anleitung eine kurze Aufnahme (15 Sekunden reichen) auf jedem dieser Kanäle aus.
Installieren Sie Wireshark. Weitere Informationen finden Sie unter Wireshark installieren.
Öffnen Sie jede der Aufnahmen mit Wireshark, wenden Sie den Anzeigefilter
wlan.addr == YOUR_DEVICE'S_MAC
an und prüfen Sie, ob Pakete angezeigt werden.
2. Aufnahme starten
Wichtig: Vier-Wege-Handshake erfassen
Wenn die Sicherheit für das WLAN aktiviert ist, müssen Sie die Verschlüsselungsschlüssel kennen, um die erfassten Pakete zu entschlüsseln. Verschlüsselungsschlüssel werden aus einem Vier-Wege-Handshake abgeleitet, der beim Verbinden des Geräts mit dem Netzwerk auftritt. Sie sind für jede Verbindung zwischen einem Gerät und dem Zugangspunkt eindeutig.
Aus diesem Grund MÜSSEN Sie den Vier-Wege-Handshake erfassen, um WLAN-Nutzlast zu entschlüsseln. Wenn das Gerät bereits mit dem Netzwerk verbunden ist, wenn Sie die Erfassung starten, trennen Sie die Verbindung und verbinden Sie das Gerät wieder (oder starten Sie es neu), sobald das Sniffen beginnt.
Auf einem Mac
Klicken Sie während Sie die Taste „Option“ auf Ihrer Tastatur gedrückt halten, auf das WLAN-Symbol und wählen Sie „Wireless-Diagnose öffnen…“ aus:
Wählen Sie in der Menüleiste der WLAN-Diagnose Fenster > Sniffer aus:
Legen Sie Kanal und Breite auf die zuvor abgerufenen Werte fest. Im Screenshot ist Kanal 60 und eine Breite von 40 MHz zu sehen:
Drücken Sie auf Start
und geben Sie Ihr Passwort ein. Versuchen Sie jetzt, das Problem zu reproduzieren.
Erfassen Sie den Vier-Wege-Handshake einer Verbindung wie unter Vier-Wege-Handshake erfassen beschrieben.
Drücken Sie dann die Taste Stop
. In /var/tmp
finden Sie eine neue *.pcap
-Datei, die den gesamten Traffic enthält. Ein Beispiel für einen Dateinamen ist (null)_ch100_2018-11-06_10.52.01.pcap
.
Auf Linux-Computern aufnehmen
Deaktivieren Sie WLAN. Dazu haben Sie folgende Möglichkeiten:
- Über die Benutzeroberfläche (empfohlen)
- Über die Network Manager-Befehlszeile angeben, dass die WLAN-Schnittstelle nicht mehr verwaltet werden soll:
sudo nmcli dev set <wlan-ifname> managed on
- Wenn Sie einen anderen Netzwerkmanager verwenden, passen Sie die Einstellungen entsprechend an.
Speichern Sie dieses Script. Ersetzen Sie
<wlan-ifname>
durch den Namen Ihrer WLAN-Schnittstelle. In diesem Dokument wird davon ausgegangen, dass der Scriptnamesetup-wifi-capture
lautet.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Führen Sie das vorherige Script aus und geben Sie den Kanal und die höchste Bandbreite für das Sniffen an, z. B. Kanal 153 mit 80 MHz Bandbreite:
./setup-wifi-capture chan 153 80 MHz
Öffnen Sie Wireshark. Sie sollten jetzt Pakete auf der WLAN-Schnittstelle erfassen können.
3. Aufnahme teilen
Verwenden Sie den WPA PSK (Raw Key) Generator, um einen Hashwert für Ihr Passwort zu generieren. So können Sie die Aufzeichnung entschlüsseln, ohne Ihr Klartextpasswort zu kennen.
Sie müssen auch das generierte PSK freigeben, damit andere die Aufzeichnung entschlüsseln können.
Anhang
Wireshark installieren
Sie können Wireshark unter Linux mit dem Befehl „apt install wireshark“ installieren oder es online von der Wireshark-Website herunterladen.
Wireshark zum Entschlüsseln von Traffic einrichten
Dies ist nicht erforderlich, um Ihre Aufzeichnungsdateien freizugeben. Tun Sie dies nur, wenn Sie den entschlüsselten Traffic selbst in Wireshark untersuchen möchten.
Bei der WPA2-Sicherheit im WLAN wird WPA2-PSK nicht direkt für die Verschlüsselung und Entschlüsselung von Traffic verwendet. Er wird in einem Vier-Wege-Handshake verwendet, den Sie erfassen müssen, um Pakete zu entschlüsseln. Wenn Sie jedoch nur Probleme mit der WLAN-Verbindung oder Verbindungsabbrüche erfassen möchten, die aus WLAN-Verwaltungsframes ersichtlich sind, müssen Sie den Vier-Wege-Handshake nicht erfassen. In jedem Fall ist es hilfreich, sie aufzuzeichnen.
Öffnen Sie Wireshark und die Seite „Einstellungen“ (Wireshark-Menü > Einstellungen oder **Cmd + , **).
Suchen Sie in der Kategorie „Protokolle“ den Abschnitt „IEEE 802.11“ und achten Sie darauf, dass die Option „Entschlüsselung aktivieren“ aktiviert ist:
Klicken Sie neben dem Label Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten.
Klicken Sie links unten auf die Schaltfläche „+“ und wählen Sie die Option „wpa-pwd“ aus.
Klicken Sie in der neu erstellten Zeile auf die Schlüsselspalte (direkt neben dem String „wpa-pwd“) und geben Sie den WPA2-PSK und die SSID im Format
<password>:<ssid>
ein. Wenn Ihr Netzwerkname beispielsweiseMyHomeNetwork
und Ihr WPA2-PSKmyp4ssword
lautet, geben Siemyp4ssword:MyHomeNetwork
ein.Klicken Sie auf „OK“, um die Bestätigung abzuschließen.
Weitere Informationen finden Sie im offiziellen Wireshark-Leitfaden (mit Screenshots) unter How to Decrypt 802.11 (802.11 entschlüsseln).
Wenn Sie tshark
verwenden, geben Sie die folgenden Argumente ein:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Wireshark-802.11-Daten färben
Auf metageek.com finden Sie ein praktisches 802.11-Farbprofil: Wireshark-Konfigurationsprofil.