การจับภาพแพ็กเก็ต Wi-Fi ช่วยให้คุณดูรายละเอียดและการโต้ตอบที่อาจถูกปิดบังไว้ก่อนที่จะเข้าถึงซอฟต์แวร์ที่ทำงานอยู่ในอุปกรณ์ ทำให้การจับภาพเหล่านี้เป็นเครื่องมือสำคัญสำหรับข้อบกพร่องบางประเภท
ขั้นตอนหลักๆ ที่เกี่ยวข้องมีดังนี้
- หาช่องที่ถูกต้องเพื่อนำเสนอต่อ
- ถ่ายภาพการเข้าชม
- แชร์การบันทึกและแฮชของรหัสผ่าน WLAN ของคุณ
1. กำหนดช่องทางและความกว้างที่เหมาะสม
เครือข่าย WLAN ทํางานอยู่ในอุปกรณ์ต่อไปนี้
- แชแนล ซึ่งโดยทั่วไปจะอ้างอิงด้วยตัวเลข 1-13 มีไว้สำหรับ ช่อง 2.4 GHz, 36-200 สำหรับ ช่อง 5 GHz
- ซึ่งมีความกว้างเฉพาะ (20Mhz, 40Mhz, 80Mhz, 160MHz)
จุดเข้าใช้งานแต่ละจุด (เช่น เราเตอร์, โหนด Mesh) ในเครือข่ายมักมีช่องสัญญาณ 2.4 GHz และช่อง 5 GHz ที่ไม่ซ้ำกัน คุณจึงต้องค้นหาว่าอุปกรณ์เชื่อมต่อกับตัวใด โดยมีหลายตัวเลือกดังนี้
ใช้แผงควบคุมของเราเตอร์
หากคุณใช้ Nest WiFi ให้ข้ามตัวเลือกนี้ เนื่องจากข้อมูลจะไม่แสดง
เราเตอร์ส่วนใหญ่จะมีรายการอุปกรณ์ที่เชื่อมต่อ รวมถึงช่องและความกว้างที่เราเตอร์ใช้อยู่
- ค้นหาที่อยู่ IP ของเราเตอร์โดยใช้คู่มือนี้
- ไปยังที่อยู่ของเราเตอร์ในเว็บเบราว์เซอร์ เช่น http://192.168.1.1
- ลงชื่อเข้าใช้ หากไม่ทราบรหัสผ่านของคุณ มองหาแท็กบนเราเตอร์หรือใช้รหัสผ่านเราเตอร์
มองหาหน้าเว็บที่ชื่ออย่างเช่น "ไคลเอ็นต์" หรือ "อุปกรณ์ที่แนบมา" ตัวอย่างเช่น หน้าของเราเตอร์ Netgear อาจมีลักษณะดังนี้ หรือสำหรับอุปกรณ์ Eero
คุณอาจต้องไปที่อื่นในการตั้งค่าเพื่อจับคู่ข้อมูลจากขั้นตอนที่ 4 กับช่องสัญญาณและแบนด์วิดท์ ตัวอย่างเช่น เราเตอร์ Netgear มีลักษณะดังนี้
ใช้ Mac ของคุณ หากเครื่องเชื่อมต่อกับช่องเดียวกันอยู่แล้ว
กด Option บนแป้นพิมพ์ค้างไว้แล้วคลิกไอคอน WLAN ที่มุมขวาบนในแถบสถานะของ Mac คุณจะเห็นเมนู WLAN ปกติพร้อมด้วยตัวเลือกและข้อมูลเพิ่มขึ้นเล็กน้อย ดูรายการเมนูที่ไม่พร้อมใช้งาน และค้นหารายการที่กล่าวถึง "ช่อง"
`Channel 60 (DFS, 5GHz, 40MHz)`
ไม่พบช่องและความกว้าง
หากวิธีการอื่นๆ ไม่ได้ผล คุณสามารถลองทำสิ่งต่อไปนี้
ระบุช่องทั้งหมดที่ AP ของคุณใช้อยู่ (โดยทั่วไปคือ 2 ช่องสำหรับแต่ละ AP หรือ Mesh Point)
a. แนะนำ เมื่อใช้โทรศัพท์ Android คุณสามารถใช้แอปอย่างเช่น Wifiman หรือ Aruba Utilities
a. ใน Mac ให้ใช้
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-sเพื่อแสดงตัวเลือกจับภาพช่องทางเหล่านั้นสั้นๆ (แค่ 15 วินาทีก็เพียงพอแล้ว) โดยใช้คำแนะนำด้านล่าง
ติดตั้ง Wireshark (สำหรับความช่วยเหลือ โปรดดูที่ ติดตั้ง Wireshark)
เปิดการบันทึกแต่ละรายการโดยใช้ Wireshark จากนั้นใช้ตัวกรองการแสดงผล
wlan.addr == YOUR_DEVICE'S_MACแล้วดูว่ามีแพ็กเก็ตปรากฏขึ้นหรือไม่
2. เริ่มจับภาพ
สำคัญ: การจับภาพแฮนด์เชค 4 ทาง
หาก Wi-Fi เปิดการรักษาความปลอดภัย คุณจำเป็นต้องทราบคีย์การเข้ารหัสเพื่อถอดรหัสแพ็กเก็ตที่บันทึก คีย์การเข้ารหัสได้มาจากการแฮนด์เชค 4 ทางที่เกิดขึ้นเมื่ออุปกรณ์เชื่อมต่อกับเครือข่าย และไม่ซ้ำกันในการเชื่อมต่อแต่ละครั้งระหว่างอุปกรณ์กับ AP
คุณจึงต้องจับแฮนด์เชค 4 ทางเพื่อถอดรหัสเพย์โหลด Wi-Fi หากอุปกรณ์เชื่อมต่อกับเครือข่ายอยู่แล้วเมื่อคุณเริ่มจับภาพ ให้ยกเลิกการเชื่อมต่อและเชื่อมต่ออุปกรณ์อีกครั้ง (หรือรีบูตอุปกรณ์) เมื่อการดักจับข้อมูลเริ่มต้นขึ้น
จับภาพใน Mac
ขณะกดปุ่ม Option บนแป้นพิมพ์ค้างไว้ ให้คลิกไอคอน WLAN แล้วเลือก "เปิดการวินิจฉัยแบบไร้สาย...":
จากแถบเมนูของการวินิจฉัยแบบไร้สาย ให้เลือก Window > Sniffer)
ตั้งค่าช่องสัญญาณและความกว้างเป็นค่าที่คุณดึงมาก่อนหน้านี้ (ตัวอย่างภาพหน้าจอมีไว้สำหรับช่องสัญญาณ 60 และความกว้าง 40 MHz) ดังนี้
กด Start แล้วป้อนรหัสผ่าน จากนั้นให้ลองทำให้ปัญหาเกิดซ้ำ
ตรวจสอบว่าได้จับภาพแฮนด์เชค 4 ทางจากการเชื่อมต่อตามที่ระบุไว้ในการบันทึกแฮนด์เชค 4 ทาง
เมื่อเสร็จแล้ว ให้กด Stop คุณจะพบไฟล์ *.pcap ใหม่ใน /var/tmp ซึ่งมีการเข้าชมทั้งหมด ชื่อไฟล์ตัวอย่างคือ (null)_ch100_2018-11-06_10.52.01.pcap
จับภาพบน Linux
ปิด Wi-Fi ซึ่งทําได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้
- การใช้ GUI (แนะนำ)
- การใช้ Network Manager CLI เพื่อกำหนดให้หยุดจัดการอินเทอร์เฟซ WLAN:
sudo nmcli dev set <wlan-ifname> managed on - หากใช้ตัวจัดการเครือข่ายสำรอง ให้ปรับเปลี่ยนตามความเหมาะสม
บันทึกสคริปต์นี้ ให้แทนที่
<wlan-ifname>ด้วยชื่ออินเทอร์เฟซ Wi-Fi เอกสารนี้ถือว่าชื่อสคริปต์เป็นsetup-wifi-capture#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@เรียกใช้สคริปต์ก่อนหน้าแล้วส่งผ่านช่องสัญญาณและแบนด์วิดท์สูงสุดเพื่อ Sniff เช่น ช่อง 153 ที่มีแบนด์วิดท์ 80MHz
./setup-wifi-capture chan 153 80 MHzเปิด Wireshark คุณก็ควรสามารถบันทึกแพ็กเก็ตบนอินเทอร์เฟซของ Wlan ได้แล้ว
3. แชร์ภาพที่ถ่าย
ใช้โปรแกรมสร้าง WPA PSK (Raw Key) เพื่อสร้างแฮชของรหัสผ่าน ซึ่งช่วยให้คุณสามารถถอดรหัสการจับภาพ โดยไม่ต้องทราบรหัสผ่านข้อความธรรมดาของคุณ
คุณต้องแชร์ PSK ที่สร้างขึ้นด้วยเพื่อให้บุคคลอื่นถอดรหัสการจับภาพได้
ภาคผนวก
ติดตั้ง Wireshark
คุณสามารถติดตั้ง Wireshark โดยใช้ Wireshark สำหรับการติดตั้ง apt ใน Linux หรือดาวน์โหลดโปรแกรมออนไลน์จากเว็บไซต์ Wireshark ก็ได้
ตั้งค่า Wireshark เพื่อถอดรหัสการจราจรของข้อมูล
ขั้นตอนนี้ไม่จำเป็นสำหรับการแชร์ไฟล์บันทึกภาพ ให้ทำเช่นนี้เฉพาะเมื่อคุณต้องการตรวจสอบการเข้าชมที่ถอดรหัสแล้วด้วยตัวเองใน Wireshark เท่านั้น
เมื่อใช้การรักษาความปลอดภัย WPA2 บน Wi-Fi จะไม่มีการใช้ WPA2-PSK สำหรับการเข้ารหัสและการถอดรหัสการรับส่งข้อมูลโดยตรง ซึ่งจะใช้ในการแฮนด์เชค 4 ทาง ซึ่งคุณต้องจับภาพเพื่อถอดรหัสแพ็กเก็ต อย่างไรก็ตาม หากสิ่งที่คุณพยายามจับภาพคือปัญหาเกี่ยวกับการเชื่อมต่อ Wi-Fi หรือการเชื่อมต่อที่ลดลง ซึ่งสามารถรวบรวมได้จากเฟรมการจัดการ Wi-Fi คุณไม่จำเป็นต้องจับภาพแฮนด์เชค 4 ทาง ไม่ว่าในกรณีใด การจับภาพนั้นไม่ใช่เรื่องเสียหาย
เปิด Wireshark แล้วเปิดหน้าค่ากำหนด (เมนู Wireshark > ค่ากำหนด หรือ **Cmd + , **)
ค้นหาส่วน "IEEE 802.11" ในหมวดหมู่ "โปรโตคอล" และตรวจสอบว่าได้เลือก "เปิดใช้การถอดรหัส" ไว้
คลิกปุ่ม Edit ที่อยู่ติดกับป้ายกำกับคีย์การถอดรหัส
คลิกปุ่ม "+" ที่มุมซ้ายล่างและเลือกตัวเลือก "wpa-pwd"
คลิกคอลัมน์คีย์ของแถวที่สร้างขึ้นใหม่ (ถัดจากสตริง wpa-pwd) พิมพ์ WPA2 PSK และ SSID ในรูปแบบ
<password>:<ssid>ตัวอย่างเช่น หากชื่อเครือข่ายคือMyHomeNetworkและ WPA2 PSK คือmyp4sswordให้พิมพ์myp4ssword:MyHomeNetwork
คลิก ตกลง เพื่อยืนยัน
ดูข้อมูลเพิ่มเติมได้ในคู่มืออย่างเป็นทางการของ Wireshark (มีภาพหน้าจอ) ที่วิธีถอดรหัส 802.11
หากใช้ tshark ให้ส่งอาร์กิวเมนต์ต่อไปนี้
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
ข้อมูล Colorize Wireshark 802.11
มีโปรไฟล์สี 802.11 ที่มีประโยชน์ใน metageek.com: โปรไฟล์การกำหนดค่า Wireshark