Merekam traffic WLAN

Pengambilan paket Wi-Fi memungkinkan Anda melihat detail dan interaksi yang disamarkan sebelum mencapai software yang berjalan di perangkat, sehingga data ini merupakan alat penting untuk beberapa jenis bug.

Langkah-langkah utama yang terlibat adalah:

  1. Temukan saluran yang tepat untuk diendus.
  2. Menangkap lalu lintas.
  3. Bagikan tangkapan dan hash sandi WLAN Anda.

1. Tentukan saluran dan lebar yang tepat

Jaringan WLAN beroperasi di:

  • saluran, yang biasanya dirujuk dengan angka. 1-13 untuk saluran 2,4 GHz, 36-200 untuk saluran 5 GHz
  • dengan lebar tertentu (baik 20Mhz, 40Mhz, 80Mhz, 160MHz)

Setiap titik akses (misalnya, router, node mesh) di jaringan Anda biasanya memiliki saluran 2,4 GHz dan saluran 5 GHz yang unik.Anda perlu menemukan saluran mana yang terhubung dengan perangkat. Ada beberapa opsi:

Menggunakan panel kontrol router

Jika Anda menggunakan Nest WiFi, lewati opsi ini – info tidak akan ditampilkan.

Sebagian besar router memiliki daftar perangkat yang terhubung serta saluran dan lebar yang digunakan.

  1. Temukan alamat IP router Anda menggunakan panduan ini.
  2. Buka alamat router di browser web Anda, misalnya http://192.168.1.1.
  3. Login Tidak tahu sandi Anda? Cari tag di router Anda, atau gunakan Sandi Router.

  4. Cari halaman yang bernama "klien" atau "perangkat yang terpasang". Misalnya, halaman router Netgear mungkin terlihat seperti berikut, atau untuk perangkat Eero.

    Tampilan Klien Netgear

  5. Anda mungkin harus mencari di bagian lain di setelan untuk memetakan info dari langkah 4 ke saluran dan bandwidth tertentu. Misalnya, router Netgear:

    Tampilan Saluran Netgear

Gunakan Mac, jika sudah terhubung ke saluran yang sama

Tahan Option di keyboard, lalu klik ikon WLAN di sudut kanan atas pada status bar Mac. Anda akan melihat menu WLAN biasa dengan beberapa opsi dan informasi lainnya. Lihat item menu yang tidak tersedia, lalu cari item yang menyebutkan Channel:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Tidak dapat menemukan saluran dan lebar

Jika metode lain tidak berhasil, Anda dapat mencoba:

  1. Cantumkan semua saluran yang digunakan AP Anda (biasanya 2 untuk setiap AP atau titik mesh).

    a. Direkomendasikan Dengan ponsel Android, Anda dapat menggunakan aplikasi seperti Wifiman atau Aruba Utilitas.

    a. Di Mac, Anda dapat menggunakan /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s untuk mencantumkan opsi.

  2. Lakukan rekaman singkat (bahkan cukup selama 15 detik) di setiap saluran tersebut, menggunakan petunjuk di bawah ini

  3. Menginstal Wireshark (untuk mendapatkan bantuan, lihat Menginstal Wireshark).

  4. Buka setiap tangkapan gambar menggunakan Wireshark, terapkan filter tampilan wlan.addr == YOUR_DEVICE'S_MAC, dan lihat apakah ada paket yang muncul.

2. Memulai pengambilan gambar

Penting: Memahami 4-way handshake

Jika keamanan diaktifkan untuk Wi-Fi, Anda perlu mengetahui kunci enkripsi untuk mendekripsi paket yang ditangkap. Kunci enkripsi berasal dari handshake 4 arah yang terjadi ketika perangkat terhubung ke jaringan, dan bersifat unik untuk setiap koneksi antara perangkat dan AP.

Karena itu, Anda HARUS menangkap 4-way handshake untuk mendekripsi payload Wi-Fi. Jika perangkat sudah terhubung ke jaringan saat Anda memulai perekaman, putuskan koneksi dan hubungkan kembali perangkat (atau mulai ulang perangkat) setelah sniffing dimulai.

Ambil di Mac

Sambil menahan tombol Option pada keyboard, klik ikon WLAN, lalu pilih "Buka Diagnostik Nirkabel...":

Pengambilan WLAN Mac

Dari panel menu Wireless Diagnostik, pilih Window > Sniffer:

Sniffer WLAN Mac

Tetapkan saluran dan lebar ke nilai yang Anda ambil sebelumnya (contoh Screenshot adalah untuk Saluran 60 dan Lebar 40 MHz):

Lebar dan Saluran WLAN Mac

Tekan Start dan masukkan sandi Anda. Sekarang, coba rekonstruksi masalah. Pastikan Anda mengambil handshake 4 arah dari koneksi seperti yang disebutkan dalam Merekam handshake 4 arah.

Setelah selesai, tekan Stop. File *.pcap baru dapat ditemukan di /var/tmp yang berisi semua traffic. Contoh nama file adalah: (null)_ch100_2018-11-06_10.52.01.pcap.

Ambil di Linux

  1. Nonaktifkan Wi-Fi. Hal ini dapat dilakukan dengan:

    • Menggunakan GUI (disarankan)
    • Menggunakan CLI Pengelola Jaringan untuk memintanya berhenti mengelola antarmuka WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Jika menggunakan pengelola jaringan alternatif, sesuaikan.

  2. Simpan skrip ini. Ganti <wlan-ifname> dengan nama antarmuka Wi-Fi Anda. Dokumen ini mengasumsikan nama skrip sebagai setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Jalankan skrip sebelumnya dan teruskan saluran dan bandwidth tertinggi untuk mengendus, misalnya saluran 153 dengan bandwidth 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Buka Wireshark, dan Anda kini dapat menangkap paket pada antarmuka wlan.

3. Bagikan hasil screenshot

  1. Gunakan Generator WPA PSK (Raw Key) untuk membuat hash sandi Anda. Hal ini memungkinkan Anda mendekripsi tangkapan tanpa mengetahui sandi teks biasa.

  2. Anda juga harus membagikan PSK yang dihasilkan sehingga orang lain dapat mendekripsi rekaman.

Lampiran

Instal Wireshark

Anda dapat menginstal Wireshark menggunakan apt install Wireshark di Linux atau mendownloadnya secara online dari situs Wireshark.

Menyiapkan Wireshark untuk mendekripsi traffic

Hal ini tidak diperlukan untuk membagikan file tangkapan, hanya lakukan ini jika Anda ingin memeriksa sendiri traffic yang didekripsi di Wireshark.

Dengan keamanan WPA2 pada Wi-Fi, WPA2-PSK tidak digunakan langsung untuk enkripsi dan dekripsi traffic. Hal ini digunakan dalam handshake 4 arah, yang perlu Anda rekam untuk mendekripsi paket. Namun, jika yang Anda coba tangkap hanya masalah koneksi ke Wi-Fi atau penurunan konektivitas, yang dapat diperoleh dari frame pengelolaan Wi-Fi, Anda tidak perlu menangkap handshake 4 arah. Dalam kedua kasus tersebut, tetap tidak ada salahnya untuk menangkapnya.

Buka Wireshark dan buka halaman Preferences (Wireshark menu > Preferences atau **Cmd + , **).

  1. Cari bagian "IEEE 802.11" dalam kategori "Protokol" dan pastikan "Aktifkan dekripsi" dicentang:

    Prefs Mac Wireshark

  2. Klik tombol Edit di samping label Kunci Dekripsi.

  3. Klik tombol '+' di sudut kiri bawah dan pilih opsi "wpa-pwd".

    WPA dan {i>Password<i} Mac Wireshark

  4. Klik kolom kunci dari baris yang baru dibuat (tepat di samping string wpa-pwd), ketik WPA2 PSK dan SSID dalam format <password>:<ssid>. Misalnya, jika nama jaringan Anda adalah MyHomeNetwork dan PSK WPA2 Anda adalah myp4ssword, ketik myp4ssword:MyHomeNetwork.

    SSID Mac Wireshark

  5. Klik OK untuk mengonfirmasi

Untuk mengetahui informasi selengkapnya, lihat panduan resmi Wireshark (dengan screenshot) di How to Decrypt 802.11.

Jika menggunakan tshark, teruskan argumen berikut:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Data Colorize Wireshark 802.11

Ada profil warna 802.11 praktis yang terletak di metageek.com: Wireshark Configuration Profile.