L'acquisizione dei pacchetti Wi-Fi ti consente di vedere dettagli e interazioni altrimenti nascosti prima che raggiungano il software in esecuzione su un dispositivo, il che rende questi pacchetti uno strumento importante per alcuni tipi di bug.
I passaggi principali da intraprendere sono:
- Trova il canale giusto per annusare.
- Acquisisci il traffico.
- Condividi l'acquisizione e un hash della tua password WLAN.
1. Determinare il canale e la larghezza giusti
Le reti WLAN funzionano su:
- canale, generalmente indicato con un numero. 1-13 indica i canali a 2,4 GHz, 36-200 per i canali a 5 GHz
- con una larghezza specifica (20 Mhz, 40 Mhz, 80 Mhz, 160 MHz)
Ogni punto di accesso (ad esempio router o nodo mesh) nella tua rete in genere ha un canale univoco da 2, 4 GHz e un canale da 5 GHz che devi identificare a quale dispositivo è connesso il dispositivo. Esistono varie opzioni:
Utilizzare il pannello di controllo del router
Se utilizzi Nest WiFi, ignora questa opzione e le informazioni non verranno mostrate.
La maggior parte dei router ha un elenco dei dispositivi connessi e il canale e la larghezza che utilizzano.
- Trova l'indirizzo IP del tuo router utilizzando questa guida.
- Vai all'indirizzo del router nel browser web, ad esempio http://192.168.1.1.
- Accedi. Non conosci la tua password? Cerca un tag sul router o utilizza Password del router.
Cerca una pagina con un nome simile a "client" o "dispositivi collegati". Ad esempio, una pagina di router Netgear potrebbe essere simile alla seguente o per dispositivi Eero.
Potrebbe essere necessario cercare altrove nelle impostazioni per mappare le informazioni del passaggio 4 a un canale e a una larghezza di banda specifici. Ad esempio, un router Netgear:
Utilizza il Mac, se è già connesso allo stesso canale
Tieni premuto Opzione sulla tastiera, quindi fai clic sull'icona WLAN nell'angolo in alto a destra della barra di stato del Mac. Dovresti vedere il normale menu della rete WLAN con qualche altra opzione e informazioni. Dai un'occhiata alle voci di menu non disponibili e cerca quella che menziona Canale:
`Channel 60 (DFS, 5GHz, 40MHz)`
Impossibile trovare il canale e la larghezza
Se gli altri metodi non funzionano, puoi provare:
Elenca tutti i canali utilizzati dal tuo punto di accesso (in genere due per ogni punto di accesso o punto mesh).
a. Consigliato Con uno smartphone Android, puoi utilizzare un'app come Wifiman o Aruba Utilities.
a. Su un Mac, puoi utilizzare
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
per elencare le opzioni.Esegui un'acquisizione breve (anche 15 secondi sono sufficienti) su ognuno di questi canali, seguendo le istruzioni riportate di seguito
Installa Wireshark (per assistenza, vedi Installare Wireshark).
Apri tutte le acquisizioni con Wireshark, applica un filtro di visualizzazione di
wlan.addr == YOUR_DEVICE'S_MAC
e controlla se vengono visualizzati pacchetti.
2. Avvia l'acquisizione
Importante: acquisizione dell'handshake a 4 vie
Se la sicurezza è attiva per il Wi-Fi, devi conoscere le chiavi di crittografia per decriptare i pacchetti acquisiti. Le chiavi di crittografia derivano da un 4-way handshake che si verifica quando il dispositivo si connette alla rete e sono univoche per ogni connessione tra un dispositivo e il punto di accesso.
Per questo motivo, DEVI acquisire il 4-way handshake per decriptare i payload Wi-Fi. Se il dispositivo è già connesso alla rete quando avvii l'acquisizione, scollegalo e ricollegalo (o riavvialo) una volta avviato lo sniffing.
Acquisisci su Mac
Tenendo premuto il tasto Opzione sulla tastiera, fai clic sull'icona WLAN e seleziona "Apri diagnostica wireless...":
Dalla barra del menu Diagnostica wireless, seleziona Finestra > Sniffer:
Imposta il canale e la larghezza sui valori recuperati in precedenza (uno screenshot di esempio è per Canale 60 e Larghezza 40 MHz):
Premi Start
e inserisci la password. A questo punto, prova a riprodurre il problema.
Assicurati di acquisire il 4-way handshake da una connessione, come indicato in
Acquisizione del 4-way handshake.
Al termine, premi Stop
. In /var/tmp
puoi trovare un nuovo file *.pcap
che
contiene tutto il traffico. Un nome file di esempio è:
(null)_ch100_2018-11-06_10.52.01.pcap
.
Acquisisci su Linux
Disattiva il Wi-Fi. A questo scopo, puoi:
- Utilizzo della GUI (consigliato)
- Utilizzo dell'interfaccia a riga di comando di Network Manager per indicare di interrompere la gestione dell'interfaccia WLAN:
sudo nmcli dev set <wlan-ifname> managed on
- Se utilizzi un gestore di rete alternativo, apporta le modifiche necessarie.
Salva questo script. Sostituisci
<wlan-ifname>
con il nome della tua interfaccia Wi-Fi. Questo documento presuppone che il nome dello script siasetup-wifi-capture
.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Esegui lo script precedente e passa il canale e la larghezza di banda massima per lo sniff, ad esempio il canale 153 con larghezza di banda di 80 MHz:
./setup-wifi-capture chan 153 80 MHz
Apri Wireshark. Ora dovresti essere in grado di acquisire i pacchetti nell'interfaccia Wlan.
3. Condividi lo screenshot
Utilizza WPA PSK (Raw Key) Builder per generare un hash della tua password. In questo modo puoi decriptare l'acquisizione senza conoscere la tua password in testo normale.
Devi condividere anche il PSK generato in modo che altri possano decriptare l'acquisizione.
Appendice
Installazione di Wireshark
Puoi installare Wireshark utilizzando apt install logshark su Linux o scaricarlo online dal sito web di Wireshark.
Configura Wireshark per decriptare il traffico
Questa operazione non è necessaria per condividere i file di acquisizione, ma solo se vuoi esaminare personalmente il traffico decriptato in Wireshark.
Con la sicurezza WPA2 su Wi-Fi, il protocollo WPA2-PSK non viene utilizzato direttamente per la crittografia e la decrittografia del traffico. Viene utilizzato in un 4-way handshake, che è necessario acquisire per decriptare i pacchetti. Tuttavia, se tutto ciò che stai cercando di acquisire riguarda problemi di connessione alla rete Wi-Fi o cali della connettività, che possono essere rilevati dai frame di gestione del Wi-Fi, non è necessario acquisire il 4-way handshake. In entrambi i casi, fotografarlo comunque non fa male.
Apri Wireshark e la pagina Preferenze (menu Wireshark > Preferenze o **Cmd + , **).
Individua la sezione "IEEE 802.11" nella categoria "Protocolli" e assicurati che l'opzione "Abilita decrittografia" sia selezionata:
Fai clic sul pulsante Modifica accanto all'etichetta Chiavi di decriptazione.
Fai clic sul pulsante "+" nell'angolo in basso a sinistra e seleziona l'opzione "wpa-pwd".
Fai clic sulla colonna della chiave della riga appena creata (accanto alla stringa wpa-pwd) e digita WPA2 PSK e SSID nel formato
<password>:<ssid>
. Ad esempio, se il nome della tua rete eraMyHomeNetwork
e la tua WPA2 PSK eramyp4ssword
, digitamyp4ssword:MyHomeNetwork
.Fai clic su OK per confermare
Per ulteriori informazioni, consulta la guida ufficiale di Wireshark (con screenshot) su How to Decrypt 802.11.
Se utilizzi tshark
, trasmetti i seguenti argomenti:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Colora i dati Wireshark 802.11
Su metageek.com è disponibile un pratico profilo colore 802.11: Wireshark Configuration Profile.