WLAN trafiğini yakalama

Kablosuz ağ paketlerini yakalayarak, aksi takdirde maskelenen ayrıntıları ve etkileşimleri bir cihazda çalışan yazılıma ulaşmadan önce görebilirsiniz. Bu nedenle, bu yakalamalar bazı hata türleri için önemli bir araçtır.

Bu işlemdeki temel adımlar şunlardır:

  1. Dinlemek için doğru kanalı bulun.
  2. Trafiği yakalayın.
  3. Yakalamayı ve kablosuz ağ şifrenizin karma değerini paylaşın.

1. Doğru kanalı ve genişliği belirleme

WLAN ağları şu cihazlarda çalışır:

  • Genellikle bir sayıyla ifade edilen kanal. 1-13, 2,4 GHz kanalları için, 36-200 ise 5 GHz kanalları içindir.
  • belirli bir genişlikte (20 MHz, 40 MHz, 80 MHz veya 160 MHz)

Ağınızdaki her erişim noktasının (ör. yönlendirici, mesh düğümü) genellikle benzersiz bir 2,4 GHz kanalı ve bir 5 GHz kanalı vardır. Cihazın hangisine bağlı olduğunu bulmanız gerekir. Birkaç seçenek vardır:

Yönlendiricinizin kontrol panelini kullanma

Nest WiFi kullanıyorsanız bu seçeneği atlayın. Bilgiler gösterilmez.

Çoğu yönlendiricinin bağlı cihazların listesi ve hangi kanal ile genişliği kullandıkları bulunur.

  1. Bu kılavuzu kullanarak yönlendiricinizin IP adresini bulun.
  2. Web tarayıcınızda yönlendiricinizin adresine gidin (örneğin, http://192.168.1.1).
  3. Oturum açın. Şifrenizi bilmiyor musunuz? Yönlendiricinizde bir etiket arayın veya Router Passwords'ü kullanın.

  4. "İstemciler" veya "bağlı cihazlar" gibi bir sayfa bulun. Örneğin, bir Netgear yönlendirici sayfası aşağıdaki gibi görünebilir veya Eero cihazları için de benzer bir sayfa olabilir.

    Netgear Client görünümü

  5. 4. adımdaki bilgileri belirli bir kanal ve bant genişliğiyle eşlemek için ayarlarda başka bir yere bakmanız gerekebilir. Örneğin, Netgear yönlendirici:

    Netgear Channels görünümü

Aynı kanala bağlıysa Mac'inizi kullanın.

Klavyenizde Option tuşunu basılı tutun, ardından Mac'inizin durum çubuğunda sağ üst köşedeki WLAN simgesini tıklayın. Birkaç ek seçenek ve bilgi içeren normal WLAN menüsünü görürsünüz. Kullanılamayan menü öğelerine göz atın ve Kanal'dan bahseden öğeyi bulun:

`Channel 60 (DFS, 5GHz, 40MHz)`

Mac WLAN

Kanal ve genişlik bulunamıyor

Diğer yöntemler işe yaramazsa şunları deneyebilirsiniz:

  1. AP'lerinizin kullandığı tüm kanalları listeleyin (genellikle her AP veya mesh noktası için 2 kanal).

    a. Önerilen Android telefonda Wifiman veya Aruba Utilities gibi bir uygulama kullanabilirsiniz.

    a. Mac'te seçenekleri listelemek için /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s kullanabilirsiniz.

  2. Aşağıdaki talimatları kullanarak bu kanalların her birinde kısa (15 saniye bile yeterlidir) bir yakalama işlemi gerçekleştirin.

  3. Wireshark'ı yükleyin (yardım için Wireshark'ı yükleme başlıklı makaleyi inceleyin).

  4. Wireshark'ı kullanarak her yakalamayı açın, wlan.addr == YOUR_DEVICE'S_MAC görüntüleme filtresini uygulayın ve herhangi bir paketin gösterilip gösterilmediğine bakın.

2. Çekimi başlatma

Önemli: 4 yönlü el sıkışma işlemini yakalama

Kablosuz için güvenlik etkinse yakalanan paketlerin şifresini çözmek için şifreleme anahtarlarını bilmeniz gerekir. Şifreleme anahtarları, cihaz ağa bağlandığında gerçekleşen 4 yönlü el sıkışma işleminden elde edilir ve cihaz ile AP arasındaki her bağlantıya özgüdür.

Bu nedenle, kablosuz ağ yüklerini şifrelerini çözmek için 4 yönlü el sıkışmayı YAKALAMANIZ GEREKİR. Cihaz, yakalamayı başlattığınızda zaten ağa bağlıysa koklama işlemi başladıktan sonra cihazın bağlantısını kesip yeniden bağlayın (veya cihazı yeniden başlatın).

Mac'te Capture

Klavyenizdeki Option tuşunu basılı tutarken WLAN simgesini tıklayın ve "Open Wireless Diagnostics…" (Kablosuz Tanılama'yı Aç…) seçeneğini belirleyin:

Mac WLAN Capture

Kablosuz Teşhis menü çubuğundan Pencere > Sniffer'ı seçin:

Mac WLAN Sniffer

Kanalı ve genişliği daha önce aldığınız değerlere ayarlayın (Ekran görüntüsü örneği, 60. kanal ve 40 MHz genişlik içindir):

Mac WLAN Kanalı ve Genişliği

Start tuşuna basın ve şifrenizi girin. Şimdi sorunu yeniden oluşturmayı deneyin. 4 yönlü anlaşma işlemini yakalama bölümünde belirtildiği gibi, bağlantıdan 4 yönlü anlaşma işlemini yakaladığınızdan emin olun.

İşiniz bittiğinde Stop tuşuna basın. Tüm trafiği içeren /var/tmp içinde yeni bir *.pcap dosyası bulunur. Örnek dosya adı: (null)_ch100_2018-11-06_10.52.01.pcap.

Linux'ta yakalama

  1. Kablosuz ağ özelliğini kapatın. Bu işlem şu yöntemlerden biriyle yapılabilir:

    • GUI'yi kullanma (önerilir)
    • Network Manager CLI'ı kullanarak WLAN arayüzünü yönetmeyi bırakmasını söyleme: sudo nmcli dev set <wlan-ifname> managed on
    • Alternatif bir ağ yöneticisi kullanıyorsanız buna göre ayarlama yapın.

  2. Bu komut dosyasını kaydedin. <wlan-ifname> yerine kablosuz arayüzünüzün adını yazın. Bu belgede, komut dosyasının adının setup-wifi-capture olduğu varsayılmaktadır.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Önceki komut dosyasını çalıştırın ve kanal ile en yüksek bant genişliğini iletin. Örneğin, 80 MHz bant genişliğine sahip 153. kanal:

    ./setup-wifi-capture chan 153 80 MHz

  4. Wireshark'ı açtığınızda artık wlan arayüzünde paketleri yakalayabilirsiniz.

3. Yakalamayı paylaşma

  1. Şifrenizin karma değerini oluşturmak için WPA PSK (Raw Key) Generator'ı kullanın. Bu sayede, düz metin şifrenizi bilmeden yakalamanın şifresini çözebilirsiniz.

  2. Diğer kullanıcıların yakalamanın şifresini çözebilmesi için oluşturulan PSK'yı da paylaşmanız gerekir.

Ek

Wireshark'ı yükleme

Wireshark'ı Linux'ta apt install wireshark komutunu kullanarak yükleyebilir veya Wireshark web sitesinden online olarak indirebilirsiniz.

Trafiğin şifresini çözmek için Wireshark'ı ayarlama

Bu işlem, yakalama dosyalarınızı paylaşmak için gerekli değildir. Yalnızca şifresi çözülmüş trafiği Wireshark'ta kendiniz incelemek istiyorsanız bu işlemi yapın.

Kablosuz ağda WPA2 güvenliği kullanılırken WPA2-PSK, trafiğin şifrelenmesi ve şifresinin çözülmesi için doğrudan kullanılmaz. Paketlerin şifresini çözmek için yakalamanız gereken bir 4 yönlü el sıkışmasında kullanılır. Ancak yalnızca kablosuz bağlantı sorunlarını veya bağlantı düşmelerini yakalamaya çalışıyorsanız (bu bilgiler kablosuz yönetim çerçevelerinden elde edilebilir) 4 yönlü el sıkışmayı yakalamanız gerekmez. Her iki durumda da yine de yakalamak zarar vermez.

Wireshark'ı açın ve Tercihler sayfasını (Wireshark menüsü > Tercihler veya **Cmd + , **) açın.

  1. "Protokoller" kategorisinde "IEEE 802.11" bölümünü bulun ve "Şifre çözmeyi etkinleştir" seçeneğinin işaretli olduğundan emin olun:

    Mac Wireshark Prefs

  2. Şifre Çözme Anahtarları etiketinin yanındaki Düzenle düğmesini tıklayın.

  3. Sol alt köşedeki "+" düğmesini tıklayın ve "wpa-pwd" seçeneğini belirleyin.

    Mac Wireshark WPA ve Şifre

  4. Yeni oluşturulan satırın anahtar sütununu (wpa-pwd dizesinin hemen yanında) tıklayın, WPA2 PSK ve SSID'nizi <password>:<ssid> biçiminde girin. Örneğin, ağ adınız MyHomeNetwork ve WPA2 PSK'niz myp4ssword ise myp4ssword:MyHomeNetwork yazın.

    Mac Wireshark SSID

  5. Onaylamak için Tamam'ı tıklayın.

Daha fazla bilgi için Wireshark'ın resmi kılavuzuna (ekran görüntüleriyle birlikte) göz atın: How to Decrypt 802.11 (802.11 Şifresini Çözme).

tshark kullanıyorsanız aşağıdaki bağımsız değişkenleri iletin:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Wireshark 802.11 Verilerini Renklendirme

metageek.com adresinde kullanışlı bir 802.11 renk profili bulunur: Wireshark Yapılandırma Profili.