תיעוד תנועה ב-WLAN

תיעוד חבילות Wi-Fi מאפשר לכם לראות פרטים ואינטראקציות שמוסווים אחרת לפני שהם מגיעים לתוכנה שפועלת במכשיר. לכן, תיעוד כזה הוא כלי חשוב לזיהוי סוגים מסוימים של באגים.

השלבים העיקריים הם:

  1. מוצאים את הערוץ הנכון לניטור.
  2. מתעדים את התנועה.
  3. משתפים את התמונה והגיבוב של הסיסמה ל-WLAN.

1. איך בוחרים את הערוץ והרוחב הנכונים

רשתות WLAN פועלות בתדרים הבאים:

בדרך כלל, לכל נקודת גישה (למשל נתב, צומת רשת) ברשת יש ערוץ ייחודי של 2.4GHz וערוץ ייחודי של 5GHz, וצריך לבדוק לאיזה מהם המכשיר מחובר. קיימות מספר אפשרויות:

שימוש בלוח הבקרה של הנתב

אם אתם משתמשים ב-Nest WiFi, דילוג על האפשרות הזו – המידע לא נחשף.

ברוב הנתבים יש רשימה של המכשירים שמחוברים, ושל הערוץ והרוחב שבהם הם משתמשים.

  1. במדריך הזה מוסבר איך למצוא את כתובת ה-IP של הנתב.
  2. נכנסים לכתובת של הנתב בדפדפן האינטרנט, לדוגמה http://192.168.1.1.
  3. מתחברים לחשבון. לא זוכרים את הסיסמה? מחפשים תג בנתב או משתמשים ב-Router Passwords.
  4. מחפשים דף שנקרא 'לקוחות' או 'מכשירים מחוברים'. לדוגמה, דף של נתב Netgear עשוי להיראות כך, או דף של מכשירי Eero.

    תצוגת הלקוח ב-Netgear

  5. יכול להיות שתצטרכו לחפש במקום אחר בהגדרות כדי למפות את המידע משלב 4 לערוץ ולרוחב פס מסוימים. לדוגמה, נתב Netgear:

    תצוגת הערוצים ב-Netgear

להשתמש ב-Mac, אם הוא כבר מחובר לאותו ערוץ

לוחצים לחיצה ארוכה על Option במקלדת ואז לוחצים על סמל ה-WLAN בפינה השמאלית העליונה של סרגל הסטטוס ב-Mac. אמור להופיע תפריט ה-WLAN הרגיל עם כמה אפשרויות ומידע נוסף. בודקים את האפשרויות בתפריט שלא זמינות ומחפשים את האפשרות שמזכירה את הערוץ:

`Channel 60 (DFS, 5GHz, 40MHz)`

Mac WLAN

לא ניתן למצוא את הערוץ והרוחב

אם השיטות האחרות לא עובדות, אפשר לנסות:

  1. מציינים את כל הערוצים שבהם נמצאים הנקודות לשיתוף אינטרנט (בדרך כלל 2 לכל נקודת אינטרנט או רשת רשתות).

    א. מומלץ בטלפון Android, אפשר להשתמש באפליקציה כמו Wifiman או Aruba Utilities.

    א. במחשב Mac, אפשר להשתמש ב-/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s כדי להציג את רשימת האפשרויות.

  2. מבצעים הקלטה קצרה (אפילו 15 שניות מספיקות) בכל אחד מהערוצים האלה, לפי ההוראות שבהמשך.

  3. מתקינים את Wireshark (לקבלת עזרה, ראו התקנת Wireshark).

  4. פותחים כל אחד מהתיעודים באמצעות Wireshark, מחילים מסנן תצוגה של wlan.addr == YOUR_DEVICE'S_MAC ובודקים אם מופיעות חבילות.

2. מתחילים את הצילום

חשוב: צילום לחיצת היד ב-4 כיוונים

אם האבטחה מופעלת ב-Wi-Fi, צריך לדעת את מפתחות ההצפנה כדי לפענח את החבילות שנתפסות. מפתחות ההצפנה נגזרים מלחיצת יד מרובת צדדים שמתרחשת כשהמכשיר מתחבר לרשת, והם ייחודיים לכל חיבור בין מכשיר לנקודת הגישה.

לכן חובה לתעד את לחיצת היד ה-4-צדדית כדי לפענח את עומסי העבודה של Wi-Fi. אם המכשיר כבר מחובר לרשת כשמתחילים את הצילום, מתנתקים מהמכשיר ומחברים אותו מחדש (או מפעילים אותו מחדש) אחרי שהניפוי מתחיל.

צילום ב-Mac

לוחצים לחיצה ארוכה על מקש Option במקלדת, לוחצים על סמל ה-WLAN ובוחרים באפשרות 'פתיחת אבחון אלחוטי…':

Mac WLAN Capture

בסרגל התפריטים של Wireless Diagnostics, בוחרים באפשרות Window (חלון) > Sniffer (ניפוי):

Mac WLAN Sniffer

מגדירים את הערוץ והרוחב לפי הערכים שאחזרתם קודם (דוגמה לצילום המסך היא לערוץ 60 ולרוחב 40MHz):

רוחב וערוץ של Mac WLAN

לוחצים על Start ומזינים את הסיסמה. עכשיו מנסים לשחזר את הבעיה. חשוב לוודא שצילמתם את לחיצת היד ה-4-צדדית מהחיבור, כפי שמתואר בקטע צילום לחיצת היד ה-4-צדדית.

בסיום, מקישים על Stop. קובץ *.pcap חדש יופיע ב-/var/tmp, ויכיל את כל התנועה. דוגמה לשם קובץ: (null)_ch100_2018-11-06_10.52.01.pcap.

צילום ב-Linux

  1. מכבים את ה-Wi-Fi. כדי לעשות זאת, אפשר:

    • באמצעות ממשק המשתמש (מומלץ)
    • באמצעות CLI של Network Manager כדי להורות לו להפסיק לנהל את ממשק ה-WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • אם משתמשים במנהל רשתות חלופי, צריך לשנות את ההגדרות בהתאם.
  2. שומרים את הסקריפט הזה. מחליפים את <wlan-ifname> בשם של ממשק ה-Wi-Fi. במסמך הזה נניח ששם הסקריפט הוא setup-wifi-capture.

    #!/usr/bin/env bash
    sudo ifconfig <wlan-ifname>  down
    sudo rfkill unblock wifi
    sudo iwconfig <wlan-ifname>  mode monitor
    sudo ifconfig <wlan-ifname>  up
    sudo iw dev <wlan-ifname> set channel $@
  3. מריצים את הסקריפט הקודם ומעבירים את הערוץ ואת רוחב הפס הגדול ביותר לניטור, לדוגמה ערוץ 153 עם רוחב פס של 80MHz:

    ./setup-wifi-capture chan 153 80 MHz
  4. פותחים את Wireshark, ועכשיו אמורה להיות אפשרות לתעד חבילות בממשק ה-WLAN.

3. שיתוף התמונה או הסרטון שצילמתם

  1. משתמשים במחולל WPA PSK (מפתח גולמי) כדי ליצור גיבוב של הסיסמה. כך תוכלו לפענח את הקלטת המסך בלי לדעת את הסיסמה בטקסט ללא הצפנה.

  2. צריך גם לשתף את ה-PSK שנוצר כדי שאחרים יוכלו לפענח את ההקלטה.

נספח

התקנת Wireshark

אפשר להתקין את Wireshark באמצעות apt install wireshark ב-Linux או להוריד אותו אונליין מאתר Wireshark.

הגדרת Wireshark לפענוח תעבורת נתונים

אין צורך בכך כדי לשתף את קובצי הצילום, אלא רק אם רוצים לבדוק בעצמכם את התנועה שפוענחה ב-Wireshark.

באבטחת WPA2 ב-Wi-Fi, ה-WPA2-PSK לא משמש ישירות להצפנה ולפענוח של תעבורת הנתונים. הוא משמש בלחיצת יד מרובת צדדים, שצריך לתעד כדי לפענח את החבילות. עם זאת, אם אתם מנסים לתעד רק בעיות בחיבור ל-Wi-Fi או ניתוקים זמניים בחיבור, שאפשר לזהות מסגרות ניהול של Wi-Fi, אין צורך לתעד את לחיצת היד ה-4-צדדית. בכל מקרה, כדאי לצלם את האירוע בכל זאת.

פותחים את Wireshark ופותחים את דף ההעדפות (תפריט Wireshark > העדפות או **Cmd + , **).

  1. מאתרים את הקטע 'IEEE 802.11' בקטגוריה 'פרוטוקולים' ומוודאים שהאפשרות 'הפעלת פענוח' מסומנת:

    Mac Wireshark Prefs

  2. לוחצים על הלחצן Edit (עריכה) לצד התווית Decryption Keys (מפתחות פענוח).

  3. לוחצים על הלחצן '+' בפינה הימנית התחתונה ובוחרים באפשרות wpa-pwd.

    Mac Wireshark WPA and Password

  4. לוחצים על עמודת המפתח בשורה החדשה שנוצרה (לצד המחרוזת wpa-pwd), מקלידים את WPA2 PSK ו-SSID בפורמט <password>:<ssid>. לדוגמה, אם שם הרשת היה MyHomeNetwork וה-WPA2 PSK היה myp4ssword, מקלידים myp4ssword:MyHomeNetwork.

    Mac Wireshark SSID

  5. לוחצים על 'אישור' כדי לאשר.

מידע נוסף זמין במדריך הרשמי של Wireshark (עם צילומי מסך) במאמר How to Decrypt 802.11.

אם משתמשים ב-tshark, מעבירים את הארגומנטים הבאים:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

צביעה של נתוני Wireshark 802.11

יש פרופיל צבעים שימושי של 802.11 באתר metageek.com: Wireshark Configuration Profile.