WLAN trafiğini yakalama

Kablosuz ağ paketlerini yakalamak, cihazda çalışan yazılıma ulaşmadan önce maskelenen ayrıntıları ve etkileşimleri görmenizi sağlar. Bu nedenle, bu yakalamalar bazı hata türleri için önemli bir araçtır.

Bu işlemin ana adımları şunlardır:

  1. Dinlenecek doğru kanalı bulun.
  2. Trafiği yakalayabilirsiniz.
  3. Yakalanan ekran görüntüsünü ve kablosuz ağ şifrenizin karma değerini paylaşın.

1. Doğru kanalı ve genişliği belirleme

WLAN ağları şu cihazlarda çalışır:

Ağınızdaki her erişim noktasının (ör. yönlendirici, mesh düğümü) genellikle benzersiz bir 2,4 GHz kanalı ve 5 GHz kanalı vardır. Cihazın hangisine bağlı olduğunu bulmanız gerekir. Birkaç seçenek vardır:

Yönlendiricinizin kontrol panelini kullanma

Nest WiFi kullanıyorsanız bu seçeneği atlayın. Bilgiler gösterilmez.

Çoğu yönlendiricide, bağlı cihazların ve kullandıkları kanal ile genişliğin listesi bulunur.

  1. Bu kılavuzu kullanarak yönlendiricinizin IP adresini bulun.
  2. Web tarayıcınızda yönlendiricinizin adresine gidin (ör. http://192.168.1.1).
  3. Oturum açın. Şifrenizi bilmiyor musunuz? Yönlendiricinizde bir etiket bulun veya Yönlendirici Şifreleri'ni kullanın.

  4. "İstemciler" veya "bağlı cihazlar" gibi bir sayfa arayın. Örneğin, bir Netgear yönlendirici sayfası aşağıdaki gibi görünebilir veya Eero cihazlar için aşağıdaki gibi görünebilir.

    Netgear istemci görünümü

  5. 4. adımdaki bilgileri belirli bir kanal ve bant genişliğiyle eşlemek için ayarların başka bir bölümüne bakmanız gerekebilir. Örneğin, bir Netgear yönlendirici:

    Netgear kanal görünümü

Aynı kanala bağlıysa Mac'inizi kullanın

Klavyenizdeki Option tuşunu basılı tutun ve Mac'inizin durum çubuğundaki sağ üst köşedeki kablosuz ağ simgesini tıklayın. Birkaç seçenek ve bilginin yer aldığı normal kablosuz ağ menüsünü görürsünüz. Kullanılamayan menü öğelerine göz atın ve kanaldan bahseden öğeyi bulun:

`Channel 60 (DFS, 5GHz, 40MHz)`

Mac kablosuz ağ

Kanal ve genişlik bulunamıyor

Diğer yöntemler işe yaramazsa şunları deneyebilirsiniz:

  1. AP'lerinizin kullandığı tüm kanalları listeleyin (genellikle her AP veya örgülü nokta için 2 kanal).

    a. Önerilen Android telefonda Wifiman veya Aruba Utilities gibi bir uygulama kullanabilirsiniz.

    a. Mac'te seçenekleri listelemek için /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s simgesini kullanabilirsiniz.

  2. Aşağıdaki talimatları uygulayarak bu kanalların her birinde kısa (15 saniye bile yeterlidir) bir kayıt yapın.

  3. Wireshark'ı yükleyin (yardım için Wireshark'ı yükleme başlıklı makaleyi inceleyin).

  4. Wireshark'ı kullanarak yakalamaların her birini açın, wlan.addr == YOUR_DEVICE'S_MAC görüntüleme filtresi uygulayın ve paket olup olmadığına bakın.

2. Kayıt işlemini başlatın

Önemli: 4 yönlü el sıkışma işlemini yakalama

Kablosuz ağda güvenlik etkinse yakalanan paketlerin şifresini çözmek için şifreleme anahtarlarını bilmeniz gerekir. Şifreleme anahtarları, cihaz ağa bağlandığında gerçekleşen 4 yönlü el sıkışmadan türetilir ve cihaz ile AP arasındaki her bağlantıya özgüdür.

Bu nedenle, kablosuz ağ veri paketlerinin şifresini çözmek için 4 yönlü el sıkışmasını KAPLAMANIZ GEREKİR. Yakalama işlemini başlattığınızda cihaz ağa bağlıysa sniffing işlemi başladığında cihazın bağlantısını kesip yeniden bağlayın (veya cihazı yeniden başlatın).

Mac'te fotoğraf çekme

Klavyenizdeki Option tuşunu basılı tutarken kablosuz ağ simgesini tıklayın ve "Kablosuz Teşhis Aracı'nı aç"ı seçin:

Mac WLAN Yakalama

Kablosuz Teşhis menü çubuğundan Pencere > Koklayıcı'yı seçin:

Mac WLAN Sniffer

Kanalı ve genişliği daha önce aldığınız değerlere ayarlayın (Ekran görüntüsü örneği, Kanal 60 ve Genişlik 40 MHz içindir):

Mac kablosuz ağ kanalı ve genişliği

Start düğmesine basın ve şifrenizi girin. Şimdi sorunu yeniden oluşturmayı deneyin. 4 yönlü el sıkışma işlemini yakalama bölümünde belirtildiği gibi, bir bağlantıdan 4 yönlü el sıkışma işlemini yakaladığınızdan emin olun.

İşiniz bittiğinde Stop tuşuna basın. Tüm trafiği içeren yeni bir *.pcap dosyası /var/tmp içinde bulunabilir. Örnek dosya adı: (null)_ch100_2018-11-06_10.52.01.pcap.

Linux'ta yakalama

  1. Kablosuz ağ özelliğini kapatın. Bu işlem aşağıdaki yöntemlerden biriyle yapılabilir:

    • GUI'yi kullanma (önerilir)
    • Ağ Yöneticisi CLI'sini kullanarak WLAN arayüzünü yönetmeyi bırakmasını söyleme: sudo nmcli dev set <wlan-ifname> managed on
    • Alternatif bir ağ yöneticisi kullanıyorsanız buna göre ayarlayın.

  2. Bu komut dosyasını kaydedin. <wlan-ifname> yerine kablosuz arayüzünüzün adını yazın. Bu dokümanda komut dosyası adının setup-wifi-capture olduğu varsayılmaktadır.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Önceki komut dosyasını yürütün ve 80 MHz bant genişliğine sahip 153 numaralı kanal gibi, koku alma işlemi için kanal ve en yüksek bant genişliğini iletin:

    ./setup-wifi-capture chan 153 80 MHz

  4. Wireshark'ı açın. Artık wlan arayüzünde paket yakalayabilirsiniz.

3. Yakalamaları paylaşma

  1. Şifrenizin karma oluşturmak için WPA PSK (Ham Anahtar) Oluşturucu'yu kullanın. Bu sayede, düz metin şifrenizi bilmeden yakalamanın şifresini çözebilirsiniz.

  2. Diğer kullanıcıların yakalamanın şifresini çözebilmesi için oluşturulan PSK'yi de paylaşmanız gerekir.

Ek

Wireshark'ı yükleme

Wireshark'ı Linux'da apt install wireshark komutunu kullanarak yükleyebilir veya Wireshark web sitesinden indirebilirsiniz.

Trafiğin şifresini çözmek için Wireshark'ı ayarlama

Bu işlem, yakalama dosyalarınızı paylaşmak için gerekli değildir. Yalnızca şifresi çözülmüş trafiği Wireshark'ta kendiniz incelemek istiyorsanız bunu yapın.

Kablosuz ağda WPA2 güvenliği kullanıldığında WPA2-PSK doğrudan trafiğin şifrelenmesi ve şifresi çözülmesi için kullanılmaz. Paketlerin şifresini çözmek için yakalamanız gereken 4 yönlü el sıkışma işleminde kullanılır. Ancak, yalnızca kablosuz ağa bağlanmayla veya bağlantıdaki kesintilerle ilgili sorunları yakalamaya çalışıyorsanız (bu sorunlar kablosuz ağ yönetim çerçevelerinden elde edilebilir) 4 yönlü el sıkışma işlemini yakalamanız gerekmez. Her iki durumda da, ekran görüntüsü almanın bir zararı yoktur.

Wireshark'ı açıp Tercihler sayfasını (Wireshark menüsü > Tercihler veya **Cmd + , **) açın.

  1. "Protokol" kategorisinde "IEEE 802.11" bölümünü bulun ve "Şifre çözmeyi etkinleştir" seçeneğinin işaretli olduğundan emin olun:

    Mac Wireshark Tercihleri

  2. Şifre Çözme Anahtarları etiketinin yanındaki Düzenle düğmesini tıklayın.

  3. Sol alt köşedeki "+" düğmesini tıklayın ve "wpa-pwd" seçeneğini belirleyin.

    Mac Wireshark WPA ve Şifre

  4. Yeni oluşturulan satırın anahtar sütununu (wpa-pwd dizesinin hemen yanında) tıklayın, WPA2 PSK'nizi ve SSID'nizi <password>:<ssid> biçiminde yazın. Örneğin, ağ adınız MyHomeNetwork ve WPA2 PSK'niz myp4ssword ise myp4ssword:MyHomeNetwork yazın.

    Mac Wireshark SSID

  5. Onaylamak için Tamam'ı tıklayın

Daha fazla bilgi için 802.11'in şifresini çözme başlıklı makalede Wireshark'ın resmi kılavuzuna (ekran görüntüleriyle) bakın.

tshark kullanıyorsanız aşağıdaki bağımsız değişkenleri iletin:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Wireshark 802.11 verilerini renklendirme

metageek.com adresinde kullanışlı bir 802.11 renk profili bulunur: Wireshark Yapılandırma Profili.