WLAN-Traffic erfassen

Durch das Aufzeichnen von WLAN-Paketen kannst du Details und Interaktionen sehen, die ansonsten maskiert sind, bevor sie Software auf einem Gerät erreichen. Dadurch sind diese Daten ein wichtiges Tool bei einigen Programmfehlern.

Die wichtigsten Schritte:

  1. Den richtigen Kanal finden
  2. Zugriffe erfassen
  3. Teilen Sie die Aufnahme und einen Hash Ihres WLAN-Passworts.

1. Den richtigen Kanal und die richtige Breite bestimmen

WLAN-Netzwerke funktionieren mit:

  • ein Channel, normalerweise mit einer Zahl bezeichnet. 1–13 steht für 2,4-GHz-Kanäle, 36–200 für 5-GHz-Kanäle.
  • mit einer bestimmten Breite (entweder 20 MHz, 40 MHz, 80 MHz, 160 MHz)

Jeder Zugangspunkt (z. B. Router, Mesh-Knoten) in Ihrem Netzwerk hat in der Regel einen eindeutigen 2,4-GHz-Kanal und einen 5-GHz-Kanal. Sie müssen herausfinden, mit welchem Kanal das Gerät verbunden ist. Dafür gibt es mehrere Möglichkeiten:

Über das Steuerfeld des Routers

Wenn du Nest WiFi verwendest, überspringe diese Option – die Informationen werden nicht angezeigt.

Die meisten Router haben eine Liste der verbundenen Geräte sowie deren Kanal und Breite.

  1. Ermitteln Sie die IP-Adresse Ihres Routers mithilfe dieser Anleitung.
  2. Rufen Sie im Webbrowser die Adresse Ihres Routers auf, z. B. http://192.168.1.1.
  3. Melde dich an. Sie kennen Ihr Passwort nicht? Suchen Sie auf Ihrem Router nach einem Tag oder verwenden Sie Routerpasswörter.

  4. Suchen Sie nach einer Seite mit Namen wie „Clients“ oder „angehängte Geräte“. Eine Netgear-Routerseite könnte beispielsweise wie folgt oder für Eero-Geräte aussehen.

    Netgear Client-Ansicht

  5. Möglicherweise müssen Sie an anderer Stelle in den Einstellungen nachsehen, um die Informationen aus Schritt 4 einem bestimmten Kanal und einer bestimmten Bandbreite zuzuordnen. Beispiel für einen Netgear-Router:

    Netgear-Kanalansicht

Verwende deinen Mac, wenn er bereits mit demselben Kanal verbunden ist.

Halten Sie die Wahltaste auf der Tastatur gedrückt und klicken Sie rechts oben in der Statusleiste Ihres Mac auf das WLAN-Symbol. Das reguläre WLAN-Menü mit einigen weiteren Optionen und Informationen sollte angezeigt werden. Sieh dir die nicht verfügbaren Menüpunkte an und suche nach dem Menü, in dem „Kanal“ erwähnt wird:

`Channel 60 (DFS, 5GHz, 40MHz)`

Mac-WLAN

Kanal und Breite wurden nicht gefunden

Wenn die anderen Methoden nicht funktionieren, versuchen Sie Folgendes:

  1. Listen Sie alle Kanäle auf, die Ihre ZPs verwenden (in der Regel zwei für jeden Zugangspunkt oder Mesh-Zugangspunkt).

    a. Empfohlen: Mit einem Android-Smartphone können Sie eine App wie Wifiman oder Aruba Utilities verwenden.

    a. Auf einem Mac können Sie /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s verwenden, um Optionen aufzulisten.

  2. Führen Sie anhand der folgenden Anleitung eine kurze Aufnahme (zum Beispiel 15 Sekunden aus) für jeden dieser Kanäle durch.

  3. Installieren Sie Wireshark. Informationen hierzu finden Sie unter Wireshark installieren.

  4. Öffnen Sie jede der Aufnahmen mit Wireshark, wenden Sie den Anzeigefilter wlan.addr == YOUR_DEVICE'S_MAC an und prüfen Sie, ob Pakete angezeigt werden.

2. Aufnahme starten

Wichtig: Vier-Wege-Handshake erfassen

Wenn die Sicherheit für WLAN aktiviert ist, müssen Sie die Verschlüsselungsschlüssel zum Entschlüsseln der erfassten Pakete kennen. Verschlüsselungsschlüssel werden aus einem Vier-Wege-Handshake abgeleitet, der stattfindet, wenn das Gerät mit dem Netzwerk verbunden wird. Sie sind für jede Verbindung zwischen einem Gerät und dem ZP eindeutig.

Aus diesem Grund MÜSSEN Sie den 4-Wege-Handshake erfassen, um WLAN-Nutzlasten zu entschlüsseln. Wenn das Gerät beim Start der Erfassung bereits mit dem Netzwerk verbunden ist, trennen Sie die Verbindung zum Gerät und verbinden Sie es wieder (oder starten Sie es neu), sobald die Erkennung gestartet wird.

Capture für Mac

Halten Sie die Optionstaste auf der Tastatur gedrückt, klicken Sie auf das WLAN-Symbol und wählen Sie dann "WLAN-Diagnose öffnen":

Mac WLAN Capture

Wählen Sie in der Menüleiste „WLAN-Diagnose“ die Option Fenster > Sniffer aus:

Mac WLAN-Sniffer

Legen Sie für Kanal und Breite die zuvor abgerufenen Werte fest (Screenshot-Beispiel gilt für Kanal 60 und Breite 40 MHz):

Mac-WLAN-Kanal und -Breite

Drücken Sie Start und geben Sie Ihr Passwort ein. Versuchen Sie nun, das Problem zu reproduzieren. Achten Sie darauf, dass Sie den 4-Wege-Handshake aus einer Verbindung erfassen, wie unter 4-Wege-Handshake erfassen beschrieben.

Wenn Sie fertig sind, drücken Sie Stop. Unter /var/tmp befindet sich eine neue *.pcap-Datei, die den gesamten Traffic enthält. Ein Beispieldateiname ist: (null)_ch100_2018-11-06_10.52.01.pcap.

Aufnehmen unter Linux

  1. Deaktivieren Sie WLAN. Dazu haben Sie folgende Möglichkeiten:

    • GUI verwenden (empfohlen)
    • Über die Network Manager CLI, um die Verwaltung der WLAN-Schnittstelle zu beenden: sudo nmcli dev set <wlan-ifname> managed on
    • Wenn Sie einen anderen Netzwerkmanager verwenden, passen Sie die Einstellungen entsprechend an.

  2. Speichern Sie dieses Skript. Ersetzen Sie <wlan-ifname> durch den Namen Ihrer WLAN-Schnittstelle. In diesem Dokument wird davon ausgegangen, dass der Skriptname setup-wifi-capture ist.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Führen Sie das vorherige Skript aus und übergeben Sie den Kanal und die höchste Bandbreite zum Erkennen, z. B. Kanal 153 mit einer Bandbreite von 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Wenn Sie Wireshark öffnen, sollten Sie jetzt Pakete über die VLAN-Schnittstelle erfassen können.

3. Aufnahme teilen

  1. Verwenden Sie den WPA PSK (Raw Key) Generator, um einen Hash-Wert Ihres Passworts zu generieren. So können Sie die Aufnahme entschlüsseln, ohne Ihr Nur-Text-Passwort zu kennen.

  2. Sie müssen auch den generierten PSK freigeben, damit andere die Aufnahme entschlüsseln können.

Anhang

Wireshark installieren

Sie können Wireshark mit apt install Wireshark unter Linux installieren oder online von der Wireshark-Website herunterladen.

Wireshark zum Entschlüsseln von Traffic einrichten

Dies ist für die Freigabe Ihrer Erfassungsdateien nicht erforderlich. Sie sollten dies jedoch nur tun, wenn Sie den entschlüsselten Traffic selbst in Wireshark untersuchen möchten.

Mit WPA2-Sicherheit bei WLAN wird der WPA2-PSK nicht direkt für die Ver- und Entschlüsselung von Traffic verwendet. Er wird in einem 4-Wege-Handshake verwendet, den Sie zum Entschlüsseln von Paketen erfassen müssen. Wenn Sie jedoch nur Probleme mit der WLAN-Verbindung oder Verbindungsabbrüche, die aus WLAN-Verwaltungsframes stammen können, suchen, müssen Sie den Vier-Wege-Handshake nicht erfassen. Es schadet in jedem Fall nicht, es aufzunehmen.

Öffnen Sie Wireshark und die Seite „Einstellungen“ (Wireshark-Menü > Einstellungen oder **Cmd + , **).

  1. Suchen Sie den Abschnitt „IEEE 802.11“ in der Kategorie „Protokolle“ und prüfen Sie, ob „Entschlüsselung aktivieren“ ausgewählt ist:

    Mac-Wireshark-Einstellungen

  2. Klicken Sie neben dem Label Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten.

  3. Klicken Sie links unten auf die Schaltfläche „+“ und wählen Sie die Option „wpa-pwd“ aus.

    WPA und Passwort von Mac Wireshark

  4. Klicken Sie auf die Schlüsselspalte der neu erstellten Zeile (direkt neben dem String „wpa-pwd“) und geben Sie Ihren WPA2-PSK und die SSID im Format <password>:<ssid> ein. Wenn Ihr Netzwerkname beispielsweise MyHomeNetwork und Ihr WPA2-PSK myp4ssword ist, geben Sie myp4ssword:MyHomeNetwork ein.

    Wireshark-SSID für Mac

  5. Klicken Sie zum Bestätigen auf „OK“.

Weitere Informationen finden Sie im offiziellen Leitfaden von Wireshark (mit Screenshots) unter How to Decrypt 802.11 (Entschlüsselung von 802.11).

Wenn Sie tshark verwenden, übergeben Sie die folgenden Argumente:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Wireshark 802.11-Daten kolorieren

Auf metageek.com finden Sie ein praktisches 802.11-Farbprofil: Wireshark-Konfigurationsprofil.