Merekam traffic WLAN

Dengan merekam paket Wi-Fi, Anda dapat melihat detail dan interaksi yang disembunyikan sebelum mencapai software yang berjalan di perangkat, sehingga rekaman ini menjadi alat penting untuk beberapa jenis bug.

Langkah-langkah utamanya adalah:

  1. Temukan saluran yang tepat untuk di-sniff.
  2. Rekam traffic.
  3. Bagikan rekaman dan hash sandi WLAN Anda.

1. Menentukan saluran dan lebar yang tepat

Jaringan WLAN beroperasi di:

  • saluran, biasanya disebut dengan angka. 1-13 untuk saluran 2,4 GHz, 36-200 untuk saluran 5 GHz
  • dengan lebar tertentu (20 Mhz, 40 Mhz, 80 Mhz, 160 MHz)

Setiap titik akses (misalnya router, node mesh) di jaringan Anda biasanya memiliki saluran 2,4 GHz dan saluran 5 GHz yang unik, dan Anda perlu menemukan saluran mana yang terhubung ke perangkat. Ada beberapa opsi:

Menggunakan panel kontrol router

Jika Anda menggunakan Nest WiFi, lewati opsi ini – info tidak akan ditampilkan.

Sebagian besar router memiliki daftar perangkat yang terhubung serta saluran dan lebar yang digunakan.

  1. Temukan alamat IP router Anda menggunakan panduan ini.
  2. Buka alamat router di browser web, misalnya http://192.168.1.1.
  3. Login Tidak tahu sandi Anda? Cari tag di router Anda, atau gunakan Router Passwords.
  4. Cari halaman yang bernama "klien" atau "perangkat terpasang". Misalnya, halaman router Netgear mungkin terlihat seperti berikut, atau untuk perangkat Eero.

    Tampilan Klien Netgear

  5. Anda mungkin harus mencari di tempat lain di setelan untuk memetakan info dari langkah 4 ke channel dan bandwidth tertentu. Misalnya, router Netgear:

    Tampilan Netgear Channels

Gunakan Mac Anda, jika sudah terhubung ke saluran yang sama

Tahan Option di keyboard, lalu klik ikon WLAN di sudut kanan atas di status bar Mac. Anda akan melihat menu WLAN reguler dengan beberapa opsi dan informasi lainnya. Lihat item menu yang tidak tersedia dan cari item yang menyebutkan Channel:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Tidak dapat menemukan saluran dan lebar

Jika metode lain tidak berhasil, Anda dapat mencoba:

  1. Cantumkan semua saluran yang digunakan AP Anda (biasanya 2 untuk setiap AP atau titik mesh).

    a. Direkomendasikan Dengan ponsel Android, Anda dapat menggunakan aplikasi seperti Wifiman atau Aruba Utilities.

    a. Di Mac, Anda dapat menggunakan /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s untuk mencantumkan opsi.

  2. Lakukan perekaman singkat (bahkan 15 detik sudah cukup) di setiap saluran tersebut, menggunakan petunjuk di bawah

  3. Instal Wireshark (untuk mendapatkan bantuan, lihat Menginstal Wireshark).

  4. Buka setiap rekaman menggunakan Wireshark, terapkan filter tampilan wlan.addr == YOUR_DEVICE'S_MAC, dan lihat apakah ada paket yang muncul.

2. Mulai pengambilan gambar

Penting: Merekam handshake 4 arah

Jika keamanan diaktifkan untuk Wi-Fi, Anda perlu mengetahui kunci enkripsi untuk mendekripsi paket yang diambil. Kunci enkripsi berasal dari handshake 4 arah yang terjadi saat perangkat terhubung ke jaringan, dan bersifat unik untuk setiap koneksi antara perangkat dan AP.

Oleh karena itu, Anda HARUS merekam handshake 4 arah untuk mendekripsi payload Wi-Fi. Jika perangkat sudah terhubung ke jaringan saat Anda memulai perekaman, putuskan koneksi dan hubungkan kembali perangkat (atau mulai ulang) setelah sniffing dimulai.

Merekam di Mac

Sambil menahan tombol Option di keyboard, klik ikon WLAN, lalu pilih "Open Wireless Diagnostics…":

Perekaman WLAN Mac

Dari panel menu Wireless Diagnostics, pilih Window > Sniffer:

Sniffer WLAN Mac

Tetapkan saluran dan lebar ke nilai yang Anda ambil sebelumnya (Contoh screenshot adalah untuk Saluran 60 dan Lebar 40 MHz):

Lebar dan Saluran WLAN Mac

Tekan Start dan masukkan sandi Anda. Sekarang, coba rekonstruksi masalah. Pastikan Anda mengambil handshake 4 arah dari koneksi seperti yang dijelaskan dalam Mengambil handshake 4 arah.

Setelah selesai, tekan Stop. File *.pcap baru dapat ditemukan di /var/tmp yang berisi semua traffic. Contoh nama file adalah: (null)_ch100_2018-11-06_10.52.01.pcap.

Merekam di Linux

  1. Nonaktifkan Wi-Fi. Hal ini dapat dilakukan dengan:

    • Menggunakan GUI (direkomendasikan)
    • Menggunakan CLI Network Manager untuk memberi tahu agar berhenti mengelola antarmuka WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Jika menggunakan pengelola jaringan alternatif, sesuaikan.
  2. Simpan skrip ini. Ganti <wlan-ifname> dengan nama antarmuka Wi-Fi Anda. Dokumen ini mengasumsikan bahwa nama skripnya adalah setup-wifi-capture.

    #!/usr/bin/env bash
    sudo ifconfig <wlan-ifname>  down
    sudo rfkill unblock wifi
    sudo iwconfig <wlan-ifname>  mode monitor
    sudo ifconfig <wlan-ifname>  up
    sudo iw dev <wlan-ifname> set channel $@
  3. Jalankan skrip sebelumnya dan teruskan saluran dan bandwidth tertinggi untuk menyadap, misalnya saluran 153 dengan bandwidth 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz
  4. Buka Wireshark, dan sekarang Anda dapat menangkap paket di antarmuka wlan.

3. Membagikan rekaman

  1. Gunakan WPA PSK (Raw Key) Generator untuk membuat hash sandi Anda. Hal ini memungkinkan Anda mendekripsi rekaman tanpa mengetahui sandi teks biasa.

  2. Anda juga perlu membagikan PSK yang dihasilkan agar orang lain dapat mendekripsi rekaman.

Lampiran

Menginstal Wireshark

Anda dapat menginstal Wireshark menggunakan apt install wireshark di Linux atau mendownloadnya secara online dari situs Wireshark.

Menyiapkan Wireshark untuk mendekripsi traffic

Tindakan ini tidak diperlukan untuk membagikan file rekaman, hanya lakukan jika Anda ingin memeriksa traffic yang didekripsi sendiri di Wireshark.

Dengan keamanan WPA2 di Wi-Fi, WPA2-PSK tidak digunakan secara langsung untuk enkripsi dan dekripsi traffic. Ini digunakan dalam handshake 4 arah, yang perlu Anda tangkap untuk mendekripsi paket. Namun, jika yang ingin Anda rekam adalah masalah saat menghubungkan ke Wi-Fi atau penurunan konektivitas, yang dapat diperoleh dari frame pengelolaan Wi-Fi, Anda tidak perlu merekam handshake 4 arah. Dalam kedua kasus tersebut, tidak ada salahnya untuk mengambilnya.

Buka Wireshark dan buka halaman Preferensi (menu Wireshark > Preferensi atau **Cmd + , **).

  1. Temukan bagian "IEEE 802.11" di kategori "Protokol" dan pastikan "Aktifkan dekripsi" dicentang:

    Preferensi Wireshark Mac

  2. Klik tombol Edit di samping label Kunci Dekripsi.

  3. Klik tombol '+' di pojok kiri bawah, lalu pilih opsi "wpa-pwd".

    WPA dan Sandi Wireshark Mac

  4. Klik kolom kunci baris yang baru dibuat (tepat di samping string wpa-pwd), ketik WPA2 PSK dan SSID dalam format <password>:<ssid>. Misalnya, jika nama jaringan Anda adalah MyHomeNetwork dan WPA2 PSK Anda adalah myp4ssword, ketik myp4ssword:MyHomeNetwork.

    SSID Wireshark Mac

  5. Klik Oke untuk mengonfirmasi

Untuk informasi lebih lanjut, lihat panduan resmi Wireshark (dengan screenshot) di Cara Mendekripsi 802.11.

Jika menggunakan tshark, teruskan argumen berikut:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Mewarnai Data 802.11 Wireshark

Ada profil warna 802.11 yang praktis dan terletak di metageek.com: Profil Konfigurasi Wireshark.