Capturer le trafic WLAN

La capture de paquets Wi-Fi vous permet de voir des détails et des interactions qui sont masqués avant d'atteindre le logiciel exécuté sur un appareil. Ces captures sont donc un outil important pour certains types de bugs.

Voici les principales étapes à suivre :

1. Trouvez le bon canal à espionner.
2. Capturez le trafic.
3. Partagez la capture et un hachage du mot de passe de votre réseau local sans fil.

1. Déterminez le bon canal et la bonne largeur

Les réseaux locaux sans fil fonctionnent sur :

• un canal, généralement désigné par un numéro. 1 à 13 pour les canaux 2,4 GHz, 36 à 200 pour les canaux 5 GHz
• une largeur spécifique (20 MHz, 40 MHz, 80 MHz ou 160 MHz)

Chaque point d'accès (par exemple, routeur, nœud maillé) de votre réseau possède généralement un canal 2,4 GHz et un canal 5 GHz uniques.Vous devez déterminer celui auquel l'appareil est connecté. Plusieurs possibilités s'offrent à vous :

Utiliser le panneau de configuration de votre routeur

Si vous utilisez Nest WiFi, ignorez cette option, car les informations ne sont pas exposées.

La plupart des routeurs disposent d'une liste des appareils connectés, ainsi que du canal et de la largeur qu'ils utilisent.

1. Trouvez l'adresse IP de votre routeur à l'aide de ce guide.
2. Accédez à l'adresse de votre routeur dans votre navigateur Web, par exemple http://192.168.1.1.
3. Connectez-vous. Vous ne connaissez pas votre mot de passe ? Recherchez une balise sur votre routeur ou utilisez Router Passwords.

4. Recherchez une page nommée "Clients" ou "Appareils connectés", par exemple. Par exemple, une page de routeur Netgear peut se présenter comme suit, ou pour les appareils Eero.

   

5. Vous devrez peut-être chercher ailleurs dans les paramètres pour mapper les informations de l'étape 4 à un canal et une bande passante spécifiques. Par exemple, un routeur Netgear :

   

Utiliser votre Mac, s'il est déjà connecté au même canal

Maintenez la touche Option de votre clavier enfoncée, puis cliquez sur l'icône WLAN en haut à droite de la barre d'état de votre Mac. Le menu WLAN habituel devrait s'afficher avec quelques options et informations supplémentaires. Examinez les éléments de menu indisponibles et recherchez celui qui mentionne le canal :

`Channel 60 (DFS, 5GHz, 40MHz)`

Impossible de trouver le canal et la largeur

Si les autres méthodes ne fonctionnent pas, vous pouvez essayer les solutions suivantes :

1. Répertoriez tous les canaux utilisés par vos points d'accès (généralement deux pour chaque point d'accès ou point maillé).

   a. Recommandé : Avec un téléphone Android, vous pouvez utiliser une application comme Wifiman ou Aruba Utilities.

   a. Sur un Mac, vous pouvez utiliser /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s pour lister les options.

2. Effectuez une capture courte (même 15 secondes suffisent) sur chacun de ces canaux, en suivant les instructions ci-dessous.

3. Installez Wireshark (pour obtenir de l'aide, consultez Installer Wireshark).

4. Ouvrez chacune des captures à l'aide de Wireshark, appliquez un filtre d'affichage de wlan.addr == YOUR_DEVICE'S_MAC et vérifiez si des paquets s'affichent.

2. Démarrer la capture

Important : Capturer le four-way handshake

Si la sécurité est activée pour le Wi-Fi, vous devez connaître les clés de chiffrement pour déchiffrer les paquets capturés. Les clés de chiffrement sont dérivées d'un four-way handshake qui se produit lorsque l'appareil se connecte au réseau. Elles sont uniques à chaque connexion entre un appareil et le point d'accès.

Pour cette raison, vous DEVEZ capturer le four-way handshake pour déchiffrer les charges utiles Wi-Fi. Si l'appareil est déjà connecté au réseau lorsque vous démarrez la capture, déconnectez-le et reconnectez-le (ou redémarrez-le) une fois l'espionnage commencé.

Capturer sur Mac

Maintenez la touche Option de votre clavier enfoncée, cliquez sur l'icône WLAN, puis sélectionnez "Ouvrir le diagnostic sans fil…" :

Dans la barre de menu du diagnostic sans fil, sélectionnez Fenêtre > Sniffer :

Définissez le canal et la largeur sur les valeurs que vous avez récupérées précédemment (l'exemple de capture d'écran concerne le canal 60 et la largeur 40 MHz) :

Appuyez sur Start et saisissez votre mot de passe. Essayez maintenant de reproduire le problème. Assurez-vous de capturer le four-way handshake à partir d'une connexion, comme indiqué dans Capturer le four-way handshake.

Une fois terminé, appuyez sur Stop. Un nouveau fichier *.pcap se trouve dans /var/tmp et contient tout le trafic. Voici un exemple de nom de fichier : (null)_ch100_2018-11-06_10.52.01.pcap.

Capturer sur Linux

1. Désactivez le Wi-Fi. Vous pouvez le faire de deux manières :

   • Utiliser l'interface graphique (recommandé)
   • Utiliser l'interface de ligne de commande Network Manager pour lui indiquer d'arrêter de gérer l'interface WLAN : sudo nmcli dev set <wlan-ifname> managed on
   • Si vous utilisez un autre gestionnaire de réseau, ajustez-le en conséquence.

2. Enregistrez ce script. Remplacez <wlan-ifname> par le nom de votre interface Wi-Fi. Ce document suppose que le nom du script est setup-wifi-capture.

   #!/usr/bin/env bash
   sudo ifconfig <wlan-ifname>  down
   sudo rfkill unblock wifi
   sudo iwconfig <wlan-ifname>  mode monitor
   sudo ifconfig <wlan-ifname>  up
   sudo iw dev <wlan-ifname> set channel $@

3. Exécutez le script précédent et transmettez le canal et la bande passante la plus élevée à espionner, par exemple le canal 153 avec une bande passante de 80 MHz :

   ./setup-wifi-capture chan 153 80 MHz

4. Ouvrez Wireshark. Vous devriez maintenant pouvoir capturer des paquets sur l'interface WLAN.

3. Partager la capture

1. Utilisez le générateur WPA PSK (Raw Key) pour générer un hachage de votre mot de passe. Cela vous permet de déchiffrer la capture sans connaître votre mot de passe en texte clair.

2. Vous devez également partager la PSK générée pour que d'autres utilisateurs puissent déchiffrer la capture.

Annexe

Installer Wireshark

Vous pouvez installer Wireshark à l'aide de la commande apt install wireshark sur Linux ou le télécharger en ligne depuis le site Web de Wireshark.

Configurer Wireshark pour déchiffrer le trafic

Cela n'est pas nécessaire pour partager vos fichiers de capture. Ne le faites que si vous souhaitez examiner vous-même le trafic déchiffré dans Wireshark.

Avec la sécurité WPA2 sur le Wi-Fi, la WPA2-PSK n'est pas utilisée directement pour le chiffrement et le déchiffrement du trafic. Elle est utilisée dans un four-way handshake, que vous devez capturer pour déchiffrer les paquets. Toutefois, si vous essayez uniquement de capturer des problèmes de connexion au Wi-Fi ou des baisses de connectivité, qui peuvent être collectés à partir des trames de gestion Wi-Fi, vous n'avez pas besoin de capturer le four-way handshake. Dans tous les cas, il est préférable de le capturer.

Ouvrez Wireshark et la page "Préférences" (Menu Wireshark > Préférences ou **Cmd + , **).

1. Recherchez la section "IEEE 802.11" dans la catégorie "Protocoles" et assurez-vous que l'option "Activer le déchiffrement" est cochée :

   

2. Cliquez sur le bouton Modifier à côté du libellé Clés de déchiffrement.

3. Cliquez sur le bouton "+" en bas à gauche, puis sélectionnez l'option "wpa-pwd".

   

4. Cliquez sur la colonne de clé de la ligne que vous venez de créer (juste à côté de la chaîne wpa-pwd), saisissez votre WPA2 PSK et votre SSID au format <password>:<ssid>. Par exemple, si le nom de votre réseau est MyHomeNetwork et que votre WPA2 PSK est myp4ssword, saisissez myp4ssword:MyHomeNetwork.

   

5. Cliquez sur OK pour confirmer.

Pour en savoir plus, consultez le guide officiel de Wireshark (avec captures d'écran) sur la page How to Decrypt 802.11 (Comment déchiffrer 802.11).

Si vous utilisez tshark, transmettez les arguments suivants :

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Colorer les données Wireshark 802.11

Un profil de couleur 802.11 pratique est disponible sur metageek.com: Wireshark Configuration Profile (Profil de configuration Wireshark).