WLAN-Traffic erfassen

Wenn Sie WLAN-Pakete erfassen, können Sie Details und Interaktionen sehen, die sonst maskiert werden, bevor sie die auf einem Gerät ausgeführte Software erreichen. Daher sind diese Erfassungen ein wichtiges Tool für bestimmte Arten von Fehlern.

Die wichtigsten Schritte sind:

  1. Den richtigen Kanal für die Erfassung finden
  2. Traffic erfassen
  3. Die Erfassung und einen Hash Ihres WLAN-Passworts teilen

1. Den richtigen Kanal und die richtige Breite ermitteln

WLANs funktionieren über:

  • einen Kanal, der in der Regel mit einer Zahl bezeichnet wird. 1–13 für 2,4-GHz-Kanäle, 36–200 für 5-GHz-Kanäle
  • eine bestimmte Breite (entweder 20 MHz, 40 MHz, 80 MHz oder 160 MHz)

Jeder Zugangspunkt (z. B. Router, Mesh-Knoten) in Ihrem Netzwerk hat in der Regel einen eindeutigen 2,4-GHz-Kanal und einen 5-GHz-Kanal. Sie müssen herausfinden, mit welchem Kanal das Gerät verbunden ist. Dafür gibt es mehrere Möglichkeiten:

Systemsteuerung Ihres Routers verwenden

Wenn Sie Nest WiFi verwenden, überspringen Sie diese Option. Die Informationen werden nicht angezeigt.

Die meisten Router haben eine Liste der verbundenen Geräte und des verwendeten Kanals und der verwendeten Breite.

  1. Suchen Sie anhand dieser Anleitung die IP-Adresse Ihres Routers.
  2. Rufen Sie die Adresse Ihres Routers in Ihrem Webbrowser auf, z. B. http://192.168.1.1.
  3. Melden Sie sich an. Sie kennen Ihr Passwort nicht? Suchen Sie auf Ihrem Router nach einem Tag oder verwenden Sie Router Passwords.

  4. Suchen Sie nach einer Seite mit einem Namen wie „Clients“ oder „Verbundene Geräte“. Eine Seite eines Netgear-Routers könnte beispielsweise so aussehen oder für Eero-Geräte.

    Netgear-Clientansicht

  5. Möglicherweise müssen Sie in den Einstellungen nach anderen Informationen suchen, um die Informationen aus Schritt 4 einem bestimmten Kanal und einer bestimmten Bandbreite zuzuordnen. Beispiel für einen Netgear-Router:

    Netgear-Kanäle ansehen

Mac verwenden, wenn er bereits mit demselben Kanal verbunden ist

Halten Sie die Optionstaste auf Ihrer Tastatur gedrückt und klicken Sie dann rechts oben in der Statusleiste Ihres Macs auf das WLAN-Symbol. Das normale WLAN-Menü sollte mit einigen weiteren Optionen und Informationen angezeigt werden. Sehen Sie sich die nicht verfügbaren Menüelemente an und suchen Sie nach dem Menüelement, in dem „Kanal“ erwähnt wird:

`Channel 60 (DFS, 5GHz, 40MHz)`

Mac-WLAN

Kanal und Breite nicht gefunden

Wenn die anderen Methoden nicht funktionieren, können Sie Folgendes versuchen:

  1. Listen Sie alle Kanäle auf, die von Ihren ZPs verwendet werden (in der Regel 2 für jeden ZP oder Mesh-Punkt).

    a. Empfohlen : Mit einem Android-Smartphone können Sie eine App wie Wifiman oder Aruba Utilities verwenden.

    a. Auf einem Mac können Sie mit /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s Optionen auflisten.

  2. Führen Sie auf jedem dieser Kanäle eine kurze Erfassung durch (15 Sekunden reichen aus). Folgen Sie dazu der Anleitung unten.

  3. Installieren Sie Wireshark (eine Anleitung finden Sie unter Wireshark installieren).

  4. Öffnen Sie jede der Erfassungen mit Wireshark, wenden Sie einen Anzeigefilter von wlan.addr == YOUR_DEVICE'S_MAC an und prüfen Sie, ob Pakete angezeigt werden.

2. Erfassung starten

Wichtig: 4-Wege-Handshake erfassen

Wenn die Sicherheit für WLAN aktiviert ist, benötigen Sie die Verschlüsselungsschlüssel, um die erfassten Pakete zu entschlüsseln. Verschlüsselungsschlüssel werden aus einem Vier-Wege-Handshake abgeleitet, der stattfindet, wenn das Gerät eine Verbindung zum Netzwerk herstellt. Sie sind für jede Verbindung zwischen einem Gerät und dem ZP eindeutig.

Daher MÜSSEN Sie den 4-Wege-Handshake erfassen, um WLAN-Nutzdaten zu entschlüsseln. Wenn das Gerät bereits mit dem Netzwerk verbunden ist, wenn Sie die Erfassung starten, trennen Sie die Verbindung zum Gerät und stellen Sie sie wieder her (oder starten Sie es neu), sobald die Erfassung beginnt.

Erfassung auf einem Mac

Halten Sie die Optionstaste auf Ihrer Tastatur gedrückt und klicken Sie auf das WLAN-Symbol. Wählen Sie dann „Drahtlose Diagnose öffnen“ aus:

WLAN-Erfassung auf dem Mac

Wählen Sie in der Menüleiste der drahtlosen Diagnose Fenster > Sniffer aus:

Mac WLAN Sniffer

Legen Sie den Kanal und die Breite auf die zuvor abgerufenen Werte fest (das Screenshot-Beispiel gilt für Kanal 60 und Breite 40 MHz):

WLAN-Kanal und ‑Breite auf dem Mac

Drücken Sie Start und geben Sie Ihr Passwort ein. Versuchen Sie nun, das Problem zu reproduzieren. Achten Sie darauf, dass Sie den 4-Wege-Handshake aus einer Verbindung erfassen, wie unter 4-Wege-Handshake erfassen beschrieben.

Drücken Sie nach Abschluss des Vorgangs Stop. In /var/tmp finden Sie eine neue *.pcap-Datei, die den gesamten Traffic enthält. Ein Beispiel für einen Dateinamen ist: (null)_ch100_2018-11-06_10.52.01.pcap.

Erfassung unter Linux

  1. Deaktivieren Sie WLAN. Das kann auf zwei Arten erfolgen:

    • Über die grafische Benutzeroberfläche (empfohlen)
    • Mit der Network Manager CLI, um die Verwaltung der WLAN Schnittstelle zu beenden: sudo nmcli dev set <wlan-ifname> managed on
    • Wenn Sie einen anderen Netzwerkmanager verwenden, passen Sie die Befehle entsprechend an.

  2. Speichern Sie dieses Skript. Ersetzen Sie <wlan-ifname> durch den Namen Ihrer WLAN- Schnittstelle. In diesem Dokument wird davon ausgegangen, dass der Skriptname setup-wifi-capture ist.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Führen Sie das vorherige Skript aus und übergeben Sie den Kanal und die höchste Bandbreite für die Erfassung, z. B. Kanal 153 mit 80 MHz Bandbreite:

    ./setup-wifi-capture chan 153 80 MHz

  4. Öffnen Sie Wireshark. Sie sollten jetzt Pakete auf der WLAN-Schnittstelle erfassen können.

3. Erfassung teilen

  1. Verwenden Sie den WPA PSK (Raw Key) Generator um einen Hash Ihres Passworts zu generieren. So können Sie die Erfassung entschlüsseln, ohne Ihr Passwort im Klartext zu kennen.

  2. Sie müssen auch den generierten PSK teilen, damit andere die Erfassung entschlüsseln können.

Anhang

Wireshark installieren

Sie können Wireshark unter Linux mit `apt install wireshark` installieren oder es online von der Wireshark-Website herunterladen.

Wireshark zum Entschlüsseln von Traffic einrichten

Dies ist nicht erforderlich, um Ihre Erfassungsdateien zu teilen. Führen Sie diesen Schritt nur aus, wenn Sie den entschlüsselten Traffic selbst in Wireshark untersuchen möchten.

Bei WPA2-Sicherheit im WLAN wird der WPA2-PSK nicht direkt für die Verschlüsselung und Entschlüsselung von Traffic verwendet. Er wird in einem 4-Wege-Handshake, der erfasst werden muss, um Pakete zu entschlüsseln. Wenn Sie jedoch nur Probleme mit der Verbindung zum WLAN oder Verbindungsabbrüche erfassen möchten, die aus WLAN-Verwaltungsframes abgeleitet werden können, müssen Sie den 4-Wege-Handshake nicht erfassen. In beiden Fällen schadet es nicht, ihn trotzdem zu erfassen.

Öffnen Sie Wireshark und dann die Seite „Einstellungen“ (Wireshark-Menü > Einstellungen oder **Befehl + , **).

  1. Suchen Sie im Bereich „Protokolle“ nach „IEEE 802.11“ und prüfen Sie, ob „Entschlüsselung aktivieren“ ausgewählt ist:

    Mac Wireshark-Einstellungen

  2. Klicken Sie neben der Beschriftung Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten.

  3. Klicken Sie links unten auf die Schaltfläche „+“ und wählen Sie die Option „wpa-pwd“ aus.

    Mac Wireshark WPA und Passwort

  4. Klicken Sie auf die Schlüsselspalte der neu erstellten Zeile (direkt neben dem String „wpa-pwd“), geben Sie Ihren WPA2-PSK und die SSID im Format <password>:<ssid> ein. Wenn Ihr Netzwerkname beispielsweise MyHomeNetwork und Ihr WPA2-PSK myp4ssword ist, geben Sie myp4ssword:MyHomeNetwork ein.

    Mac-Wireshark-SSID

  5. Klicken Sie zum Bestätigen auf „OK“.

Weitere Informationen finden Sie in der offiziellen Anleitung von Wireshark (mit Screenshots) unter How to Decrypt 802.11.

Wenn Sie tshark verwenden, übergeben Sie die folgenden Argumente:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Wireshark 802.11-Daten einfärben

Auf metageek.com finden Sie ein praktisches 802.11-Farbprofil: Wireshark Configuration Profile.