Ghi lại lưu lượng truy cập WLAN

Việc chụp các gói Wi-Fi cho phép bạn xem thông tin chi tiết và các tương tác mà nếu không thì sẽ bị ẩn trước khi chúng đến phần mềm chạy trên thiết bị. Nhờ đó, việc chụp các gói Wi-Fi trở thành một công cụ quan trọng đối với một số loại lỗi.

Các bước chính liên quan là:

  1. Tìm kênh phù hợp để theo dõi.
  2. Chụp lưu lượng truy cập.
  3. Chia sẻ bản chụp và mã băm của mật khẩu WLAN.

1. Xác định kênh và chiều rộng phù hợp

Mạng WLAN hoạt động trên:

  • một kênh, thường được gọi bằng một số. 1-13 là dành cho các kênh 2,4 GHz, 36-200 là dành cho các kênh 5 GHz
  • với một chiều rộng cụ thể (20 MHz, 40 MHz, 80 MHz, 160 MHz)

Mỗi điểm truy cập (ví dụ: bộ định tuyến, nút lưới) trong mạng của bạn thường có một kênh 2,4 GHz và một kênh 5 GHz riêng biệt.Bạn cần tìm xem thiết bị được kết nối với kênh nào. Có nhiều tuỳ chọn:

Sử dụng bảng điều khiển của bộ định tuyến

Nếu bạn sử dụng Nest WiFi, hãy bỏ qua tuỳ chọn này vì thông tin không được hiển thị.

Hầu hết các bộ định tuyến đều có danh sách các thiết bị được kết nối và kênh cũng như chiều rộng mà các thiết bị đó đang sử dụng.

  1. Tìm địa chỉ IP của bộ định tuyến bằng hướng dẫn này .
  2. Truy cập vào địa chỉ của bộ định tuyến trong trình duyệt web, ví dụ: http://192.168.1.1.
  3. Đăng nhập. Bạn không biết mật khẩu của mình? Tìm thẻ trên bộ định tuyến hoặc sử dụng Mật khẩu bộ định tuyến.

  4. Tìm một trang có tên như "clients" (máy khách) hoặc "attached devices" (thiết bị được đính kèm). Ví dụ: trang bộ định tuyến Netgear có thể trông như sau hoặc đối với các thiết bị Eero.

    Chế độ xem Netgear Client

  5. Bạn có thể phải tìm ở nơi khác trong phần cài đặt để ánh xạ thông tin từ bước 4 đến một kênh và băng thông cụ thể. Ví dụ: bộ định tuyến Netgear:

    Chế độ xem Kênh của Netgear

Sử dụng máy Mac nếu máy đã kết nối với cùng một kênh

Giữ phím Option trên bàn phím, sau đó nhấp vào biểu tượng WLAN ở góc trên cùng bên phải trong thanh trạng thái của máy Mac. Bạn sẽ thấy trình đơn WLAN thông thường với một vài tuỳ chọn và thông tin khác. Hãy xem các mục trình đơn không có sẵn và tìm mục đề cập đến Kênh:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN trên máy Mac

Không tìm thấy kênh và chiều rộng

Nếu các phương thức khác không hoạt động, bạn có thể thử:

  1. Liệt kê tất cả các kênh mà AP đang sử dụng (thường là 2 kênh cho mỗi AP hoặc điểm lưới).

    a. Đề xuất Với điện thoại Android, bạn có thể sử dụng một ứng dụng như Wifiman hoặc Aruba Utilities.

    a. Trên máy Mac, bạn có thể sử dụng /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s để liệt kê các tuỳ chọn.

  2. Thực hiện một bản chụp ngắn (thậm chí 15 giây là đủ) trên mỗi kênh đó, theo hướng dẫn bên dưới

  3. Cài đặt Wireshark (để được hỗ trợ, hãy xem bài viết Cài đặt Wireshark).

  4. Mở từng bản chụp bằng Wireshark, áp dụng bộ lọc hiển thị wlan.addr == YOUR_DEVICE'S_MAC và xem có gói nào xuất hiện hay không.

2. Bắt đầu chụp

Quan trọng: Chụp quy trình bắt tay 4 bước

Nếu tính năng bảo mật được bật cho Wi-Fi, bạn cần biết các khoá mã hoá để giải mã các gói đã chụp. Các khoá mã hoá được lấy từ một quy trình bắt tay 4 bước xảy ra khi thiết bị kết nối với mạng và là duy nhất cho mỗi kết nối giữa một thiết bị và AP.

Do đó, bạn PHẢI chụp quy trình bắt tay 4 bước để giải mã tải trọng Wi-Fi. Nếu thiết bị đã kết nối với mạng khi bạn bắt đầu chụp, hãy ngắt kết nối rồi kết nối lại thiết bị (hoặc khởi động lại thiết bị) sau khi bắt đầu theo dõi.

Chụp trên máy Mac

Trong khi giữ phím Option trên bàn phím, hãy nhấp vào biểu tượng WLAN rồi chọn "Open Wireless Diagnostics…" (Mở tính năng Chẩn đoán không dây…):

Tính năng chụp WLAN trên máy Mac

Trên thanh trình đơn Wireless Diagnostics (Chẩn đoán không dây), hãy chọn Window > Sniffer (Cửa sổ > Trình theo dõi):

Mac WLAN Sniffer

Đặt kênh và chiều rộng thành các giá trị mà bạn đã truy xuất trước đó (Ví dụ về ảnh chụp màn hình là Kênh 60 và Chiều rộng 40 MHz):

Kênh và băng thông WLAN trên máy Mac

Nhấn Start (Bắt đầu) rồi nhập mật khẩu. Bây giờ, hãy thử tái hiện vấn đề. Đảm bảo bạn chụp quy trình bắt tay 4 bước từ một kết nối như đã lưu ý trong phần Chụp quy trình bắt tay 4 bước.

Sau khi hoàn tất, hãy nhấn Stop (Dừng). Bạn có thể tìm thấy một tệp *.pcap mới trong /var/tmp chứa tất cả lưu lượng truy cập. Tên tệp ví dụ là: (null)_ch100_2018-11-06_10.52.01.pcap.

Chụp trên Linux

  1. Tắt Wi-Fi. Bạn có thể thực hiện việc này bằng cách:

    • Sử dụng GUI (đề xuất)
    • Sử dụng CLI Trình quản lý mạng để yêu cầu dừng quản lý giao diện WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Nếu sử dụng trình quản lý mạng thay thế, hãy điều chỉnh cho phù hợp.

  2. Lưu tập lệnh này. Thay thế <wlan-ifname> bằng tên của giao diện Wi-Fi. Tài liệu này giả định tên tập lệnh là setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Thực thi tập lệnh trước đó và truyền kênh cũng như băng thông cao nhất để theo dõi, ví dụ: kênh 153 với băng thông 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Mở Wireshark và giờ đây, bạn có thể chụp các gói trên giao diện wlan.

3. Chia sẻ bản chụp

  1. Sử dụng Trình tạo WPA PSK (Khoá thô) để tạo mã băm của mật khẩu. Điều này cho phép bạn giải mã bản chụp mà không cần biết mật khẩu văn bản thuần tuý.

  2. Bạn cũng cần chia sẻ PSK đã tạo để người khác có thể giải mã bản chụp.

Phụ lục

Cài đặt Wireshark

Bạn có thể cài đặt Wireshark bằng cách sử dụng apt install wireshark trên Linux hoặc tải xuống trực tuyến từ trang web Wireshark.

Thiết lập Wireshark để giải mã lưu lượng truy cập

Bạn không cần thực hiện việc này để chia sẻ tệp chụp. Chỉ thực hiện việc này nếu bạn muốn tự kiểm tra lưu lượng truy cập đã giải mã trong Wireshark.

Với tính năng bảo mật WPA2 trên Wi-Fi, WPA2-PSK không được sử dụng trực tiếp để mã hoá và giải mã lưu lượng truy cập. Tính năng này được sử dụng trong một quy trình bắt tay 4 bước, mà bạn cần chụp để giải mã các gói. Tuy nhiên, nếu tất cả những gì bạn đang cố gắng chụp là các vấn đề về việc kết nối với Wi-Fi hoặc sự cố rớt kết nối (có thể thu thập được từ các khung quản lý Wi-Fi), thì bạn không cần chụp bắt tay 4 chiều. Trong cả hai trường hợp, việc chụp bắt tay 4 chiều cũng không gây hại.

Mở Wireshark và mở trang Preferences (Tuỳ chọn) (Trình đơn Wireshark > Tuỳ chọn hoặc **Cmd + , **).

  1. Tìm mục "IEEE 802.11" trong danh mục "Protocols" (Giao thức) và đảm bảo đã đánh dấu "Enable decryption" (Bật tính năng giải mã):

    Mac Wireshark Prefs

  2. Nhấp vào nút Edit (Chỉnh sửa) bên cạnh nhãn Decryption Keys (Khoá giải mã).

  3. Nhấp vào nút '+' ở góc dưới cùng bên trái rồi chọn tuỳ chọn "wpa-pwd".

    WPA và mật khẩu Wireshark trên máy Mac

  4. Nhấp vào cột khoá của hàng mới tạo (ngay bên cạnh chuỗi wpa-pwd), nhập WPA2 PSK và SSID theo định dạng <password>:<ssid>. Ví dụ: nếu tên mạng của bạn là MyHomeNetwork và WPA2 PSK là myp4ssword, hãy nhập myp4ssword:MyHomeNetwork.

    SSID Wireshark trên máy Mac

  5. Nhấp vào OK để xác nhận

Để biết thêm thông tin, hãy xem hướng dẫn chính thức của Wireshark (có ảnh chụp màn hình) tại bài viết Cách giải mã 802.11.

Nếu sử dụng tshark, hãy truyền các đối số sau:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Tô màu dữ liệu Wireshark 802.11

Có một hồ sơ màu 802.11 tiện dụng nằm trên metageek.com: Wireshark Configuration Profile.