Acquisisci il traffico WLAN

L'acquisizione dei pacchetti Wi-Fi ti consente di vedere dettagli e interazioni altrimenti nascosti prima che raggiungano il software in esecuzione su un dispositivo, il che rende questi pacchetti uno strumento importante per alcuni tipi di bug.

I passaggi principali da intraprendere sono:

  1. Trova il canale giusto per annusare.
  2. Acquisisci il traffico.
  3. Condividi l'acquisizione e un hash della tua password WLAN.

1. Determinare il canale e la larghezza giusti

Le reti WLAN funzionano su:

  • canale, generalmente indicato con un numero. 1-13 indica i canali a 2,4 GHz, 36-200 per i canali a 5 GHz
  • con una larghezza specifica (20 Mhz, 40 Mhz, 80 Mhz, 160 MHz)

Ogni punto di accesso (ad esempio router o nodo mesh) nella tua rete in genere ha un canale univoco da 2, 4 GHz e un canale da 5 GHz che devi identificare a quale dispositivo è connesso il dispositivo. Esistono varie opzioni:

Utilizzare il pannello di controllo del router

Se utilizzi Nest WiFi, ignora questa opzione e le informazioni non verranno mostrate.

La maggior parte dei router ha un elenco dei dispositivi connessi e il canale e la larghezza che utilizzano.

  1. Trova l'indirizzo IP del tuo router utilizzando questa guida.
  2. Vai all'indirizzo del router nel browser web, ad esempio http://192.168.1.1.
  3. Accedi. Non conosci la tua password? Cerca un tag sul router o utilizza Password del router.

  4. Cerca una pagina con un nome simile a "client" o "dispositivi collegati". Ad esempio, una pagina di router Netgear potrebbe essere simile alla seguente o per dispositivi Eero.

    Visualizzazione client Netgear

  5. Potrebbe essere necessario cercare altrove nelle impostazioni per mappare le informazioni del passaggio 4 a un canale e a una larghezza di banda specifici. Ad esempio, un router Netgear:

    Vista Canali Netgear

Utilizza il Mac, se è già connesso allo stesso canale

Tieni premuto Opzione sulla tastiera, quindi fai clic sull'icona WLAN nell'angolo in alto a destra della barra di stato del Mac. Dovresti vedere il normale menu della rete WLAN con qualche altra opzione e informazioni. Dai un'occhiata alle voci di menu non disponibili e cerca quella che menziona Canale:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Impossibile trovare il canale e la larghezza

Se gli altri metodi non funzionano, puoi provare:

  1. Elenca tutti i canali utilizzati dal tuo punto di accesso (in genere due per ogni punto di accesso o punto mesh).

    a. Consigliato Con uno smartphone Android, puoi utilizzare un'app come Wifiman o Aruba Utilities.

    a. Su un Mac, puoi utilizzare /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s per elencare le opzioni.

  2. Esegui un'acquisizione breve (anche 15 secondi sono sufficienti) su ognuno di questi canali, seguendo le istruzioni riportate di seguito

  3. Installa Wireshark (per assistenza, vedi Installare Wireshark).

  4. Apri tutte le acquisizioni con Wireshark, applica un filtro di visualizzazione di wlan.addr == YOUR_DEVICE'S_MAC e controlla se vengono visualizzati pacchetti.

2. Avvia l'acquisizione

Importante: acquisizione dell'handshake a 4 vie

Se la sicurezza è attiva per il Wi-Fi, devi conoscere le chiavi di crittografia per decriptare i pacchetti acquisiti. Le chiavi di crittografia derivano da un 4-way handshake che si verifica quando il dispositivo si connette alla rete e sono univoche per ogni connessione tra un dispositivo e il punto di accesso.

Per questo motivo, DEVI acquisire il 4-way handshake per decriptare i payload Wi-Fi. Se il dispositivo è già connesso alla rete quando avvii l'acquisizione, scollegalo e ricollegalo (o riavvialo) una volta avviato lo sniffing.

Acquisisci su Mac

Tenendo premuto il tasto Opzione sulla tastiera, fai clic sull'icona WLAN e seleziona "Apri diagnostica wireless...":

Acquisizione WLAN Mac

Dalla barra del menu Diagnostica wireless, seleziona Finestra > Sniffer:

Sniffer WLAN Mac

Imposta il canale e la larghezza sui valori recuperati in precedenza (uno screenshot di esempio è per Canale 60 e Larghezza 40 MHz):

Canale e larghezza WLAN Mac

Premi Start e inserisci la password. A questo punto, prova a riprodurre il problema. Assicurati di acquisire il 4-way handshake da una connessione, come indicato in Acquisizione del 4-way handshake.

Al termine, premi Stop. In /var/tmp puoi trovare un nuovo file *.pcap che contiene tutto il traffico. Un nome file di esempio è: (null)_ch100_2018-11-06_10.52.01.pcap.

Acquisisci su Linux

  1. Disattiva il Wi-Fi. A questo scopo, puoi:

    • Utilizzo della GUI (consigliato)
    • Utilizzo dell'interfaccia a riga di comando di Network Manager per indicare di interrompere la gestione dell'interfaccia WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Se utilizzi un gestore di rete alternativo, apporta le modifiche necessarie.

  2. Salva questo script. Sostituisci <wlan-ifname> con il nome della tua interfaccia Wi-Fi. Questo documento presuppone che il nome dello script sia setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Esegui lo script precedente e passa il canale e la larghezza di banda massima per lo sniff, ad esempio il canale 153 con larghezza di banda di 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Apri Wireshark. Ora dovresti essere in grado di acquisire i pacchetti nell'interfaccia Wlan.

3. Condividi lo screenshot

  1. Utilizza WPA PSK (Raw Key) Builder per generare un hash della tua password. In questo modo puoi decriptare l'acquisizione senza conoscere la tua password in testo normale.

  2. Devi condividere anche il PSK generato in modo che altri possano decriptare l'acquisizione.

Appendice

Installazione di Wireshark

Puoi installare Wireshark utilizzando apt install logshark su Linux o scaricarlo online dal sito web di Wireshark.

Configura Wireshark per decriptare il traffico

Questa operazione non è necessaria per condividere i file di acquisizione, ma solo se vuoi esaminare personalmente il traffico decriptato in Wireshark.

Con la sicurezza WPA2 su Wi-Fi, il protocollo WPA2-PSK non viene utilizzato direttamente per la crittografia e la decrittografia del traffico. Viene utilizzato in un 4-way handshake, che è necessario acquisire per decriptare i pacchetti. Tuttavia, se tutto ciò che stai cercando di acquisire riguarda problemi di connessione alla rete Wi-Fi o cali della connettività, che possono essere rilevati dai frame di gestione del Wi-Fi, non è necessario acquisire il 4-way handshake. In entrambi i casi, fotografarlo comunque non fa male.

Apri Wireshark e la pagina Preferenze (menu Wireshark > Preferenze o **Cmd + , **).

  1. Individua la sezione "IEEE 802.11" nella categoria "Protocolli" e assicurati che l'opzione "Abilita decrittografia" sia selezionata:

    Preferenze Wireshark Mac

  2. Fai clic sul pulsante Modifica accanto all'etichetta Chiavi di decriptazione.

  3. Fai clic sul pulsante "+" nell'angolo in basso a sinistra e seleziona l'opzione "wpa-pwd".

    WPA e password di Wireshark Mac

  4. Fai clic sulla colonna della chiave della riga appena creata (accanto alla stringa wpa-pwd) e digita WPA2 PSK e SSID nel formato <password>:<ssid>. Ad esempio, se il nome della tua rete era MyHomeNetwork e la tua WPA2 PSK era myp4ssword, digita myp4ssword:MyHomeNetwork.

    SSID Wireshark Mac

  5. Fai clic su OK per confermare

Per ulteriori informazioni, consulta la guida ufficiale di Wireshark (con screenshot) su How to Decrypt 802.11.

Se utilizzi tshark, trasmetti i seguenti argomenti:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Colora i dati Wireshark 802.11

Su metageek.com è disponibile un pratico profilo colore 802.11: Wireshark Configuration Profile.