Merekam traffic WLAN

Dengan merekam paket Wi-Fi, Anda dapat melihat detail dan interaksi yang sebelumnya disamarkan sebelum mencapai software yang berjalan di perangkat, sehingga rekaman ini menjadi alat penting untuk beberapa jenis bug.

Langkah-langkah utama yang terlibat adalah:

  1. Temukan channel yang tepat untuk di-sniff.
  2. Mendapatkan traffic.
  3. Membagikan rekaman dan hash sandi WLAN Anda.

1. Tentukan saluran dan lebar yang tepat

Jaringan WLAN beroperasi pada:

  • saluran, biasanya disebut dengan angka. 1-13 untuk saluran 2,4 GHz, 36-200 untuk saluran 5 GHz
  • dengan lebar tertentu (20 MHz, 40 MHz, 80 MHz, 160 MHz)

Setiap titik akses (misalnya router, node mesh) di jaringan Anda biasanya memiliki channel 2,4 GHz dan channel 5 GHz yang unik, dan Anda perlu menemukan channel yang terhubung ke perangkat. Ada beberapa opsi:

Menggunakan panel kontrol router

Jika Anda menggunakan Nest WiFi, lewati opsi ini – info tidak akan ditampilkan.

Sebagian besar router memiliki daftar perangkat terhubung serta saluran dan lebar yang digunakan.

  1. Temukan alamat IP router Anda menggunakan panduan ini.
  2. Buka alamat router di browser web Anda, misalnya http://192.168.1.1.
  3. Login. Tidak tahu sandi Anda? Cari tag di router Anda, atau gunakan Sandi Router.

  4. Cari halaman yang bernama "klien" atau "perangkat terhubung". Misalnya, halaman router Netgear mungkin terlihat seperti berikut, atau untuk perangkat Eero.

    Tampilan Klien Netgear

  5. Anda mungkin harus mencari di tempat lain dalam setelan untuk memetakan info dari langkah 4 ke channel dan bandwidth tertentu. Misalnya, router Netgear:

    Tampilan Netgear Channels

Gunakan Mac Anda, jika sudah terhubung ke channel yang sama

Tahan Option di keyboard, lalu klik ikon WLAN di sudut kanan atas pada status bar Mac Anda. Anda akan melihat menu WLAN biasa dengan beberapa opsi dan informasi lainnya. Lihat item menu yang tidak tersedia dan cari item yang menyebutkan Channel:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Tidak dapat menemukan channel dan lebar

Jika metode lain tidak berhasil, Anda dapat mencoba:

  1. Mencantumkan semua channel yang digunakan AP Anda (biasanya 2 untuk setiap AP atau titik mesh).

    a. Direkomendasikan Dengan ponsel Android, Anda dapat menggunakan aplikasi seperti Wifiman atau Aruba Utilities.

    a. Di Mac, Anda dapat menggunakan /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s untuk mencantumkan opsi.

  2. Lakukan perekaman singkat (bahkan 15 detik sudah cukup) di setiap saluran tersebut, menggunakan petunjuk di bawah

  3. Instal Wireshark (untuk mendapatkan bantuan, lihat Menginstal Wireshark).

  4. Buka setiap rekaman menggunakan Wireshark, terapkan filter tampilan wlan.addr == YOUR_DEVICE'S_MAC, dan lihat apakah ada paket yang muncul.

2. Mulai pengambilan gambar

Penting: Merekam 4-way handshake

Jika keamanan diaktifkan untuk Wi-Fi, Anda harus mengetahui kunci enkripsi untuk mendekripsi paket yang diambil. Kunci enkripsi berasal dari handshake 4 arah yang terjadi saat perangkat terhubung ke jaringan, dan bersifat unik untuk setiap koneksi antara perangkat dan AP.

Oleh karena itu, Anda HARUS merekam handshake 4 arah untuk mendekripsi payload Wi-Fi. Jika perangkat sudah terhubung ke jaringan saat Anda memulai pengambilan, putuskan koneksi dan hubungkan kembali perangkat (atau mulai ulang perangkat) setelah sniffing dimulai.

Merekam di Mac

Sambil menahan tombol Option di keyboard, klik ikon WLAN, lalu pilih "Open Wireless Diagnostics…":

Perekaman WLAN Mac

Dari panel menu Diagnostik Nirkabel, pilih Window > Sniffer:

Sniffer WLAN Mac

Tetapkan saluran dan lebar ke nilai yang Anda ambil sebelumnya (Contoh screenshot adalah untuk Saluran 60 dan Lebar 40 MHz):

Saluran dan Lebar WLAN Mac

Tekan Start dan masukkan sandi Anda. Sekarang, coba reproduksi masalah. Pastikan Anda merekam 4-way handshake dari koneksi seperti yang dijelaskan dalam Merekam 4-way handshake.

Setelah selesai, tekan Stop. File *.pcap baru dapat ditemukan di /var/tmp yang berisi semua traffic. Contoh nama file adalah: (null)_ch100_2018-11-06_10.52.01.pcap.

Merekam di Linux

  1. Nonaktifkan Wi-Fi. Hal ini dapat dilakukan dengan:

    • Menggunakan GUI (direkomendasikan)
    • Menggunakan Network Manager CLI untuk menghentikan pengelolaan antarmuka WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Jika menggunakan pengelola jaringan alternatif, sesuaikan dengan tepat.

  2. Simpan skrip ini. Ganti <wlan-ifname> dengan nama antarmuka Wi-Fi Anda. Dokumen ini mengasumsikan nama skrip adalah setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Jalankan skrip sebelumnya dan teruskan channel dan bandwidth tertinggi untuk mengendus, misalnya channel 153 dengan bandwidth 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Buka Wireshark, dan sekarang Anda dapat merekam paket di antarmuka wlan.

3. Membagikan hasil pengambilan gambar

  1. Gunakan WPA PSK (Raw Key) Generator untuk membuat hash sandi Anda. Hal ini memungkinkan Anda mendekripsi rekaman tanpa mengetahui sandi teks biasa Anda.

  2. Anda juga perlu membagikan PSK yang dihasilkan agar orang lain dapat mendekripsi rekaman.

Lampiran

Instal Wireshark

Anda dapat menginstal Wireshark menggunakan apt install wireshark di Linux atau mendownloadnya secara online dari situs Wireshark.

Menyiapkan Wireshark untuk mendekripsi traffic

Hal ini tidak diperlukan untuk membagikan file rekaman, lakukan hanya jika Anda ingin memeriksa sendiri traffic yang didekripsi di Wireshark.

Dengan keamanan WPA2 di Wi-Fi, WPA2-PSK tidak digunakan secara langsung untuk mengenkripsi dan mendekripsi traffic. WPA2-PSK digunakan dalam handshake 4 arah, yang perlu Anda ambil untuk mendekripsi paket. Namun, jika yang Anda coba ambil hanyalah masalah terkait koneksi ke Wi-Fi atau penurunan konektivitas, yang dapat diperoleh dari frame pengelolaan Wi-Fi, Anda tidak perlu mengambil handshake 4 arah. Dalam kedua kasus tersebut, tidak ada salahnya untuk tetap mengambilnya.

Buka Wireshark dan buka halaman Preferences (Wireshark menu > Preferences atau **Cmd + , **).

  1. Temukan bagian "IEEE 802.11" di kategori "Protokol" dan pastikan "Aktifkan dekripsi" dicentang:

    Preferensi Wireshark Mac

  2. Klik tombol Edit di samping label Kunci Dekripsi.

  3. Klik tombol '+' di pojok kiri bawah, lalu pilih opsi "wpa-pwd".

    Sandi dan WPA Wireshark Mac

  4. Klik kolom kunci pada baris yang baru dibuat (tepat di samping string wpa-pwd), ketik PSK dan SSID WPA2 Anda dalam format <password>:<ssid>. Misalnya, jika nama jaringan Anda adalah MyHomeNetwork dan PSK WPA2 Anda adalah myp4ssword, ketik myp4ssword:MyHomeNetwork.

    SSID Wireshark Mac

  5. Klik Oke untuk mengonfirmasi

Untuk mengetahui informasi lebih lanjut, lihat panduan resmi Wireshark (dengan screenshot) di Cara Mendekripsi 802.11.

Jika menggunakan tshark, teruskan argumen berikut:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Mewarnai Data 802.11 Wireshark

Ada profil warna 802.11 praktis yang terletak di metageek.com: Wireshark Configuration Profile.