Durch das Aufzeichnen von WLAN-Paketen kannst du Details und Interaktionen sehen, die ansonsten maskiert sind, bevor sie Software auf einem Gerät erreichen. Dadurch sind diese Daten ein wichtiges Tool bei einigen Programmfehlern.
Die wichtigsten Schritte:
- Den richtigen Kanal finden
- Zugriffe erfassen
- Teilen Sie die Aufnahme und einen Hash Ihres WLAN-Passworts.
1. Den richtigen Kanal und die richtige Breite bestimmen
WLAN-Netzwerke funktionieren mit:
- ein Channel, normalerweise mit einer Zahl bezeichnet. 1–13 steht für 2,4-GHz-Kanäle, 36–200 für 5-GHz-Kanäle.
- mit einer bestimmten Breite (entweder 20 MHz, 40 MHz, 80 MHz, 160 MHz)
Jeder Zugangspunkt (z. B. Router, Mesh-Knoten) in Ihrem Netzwerk hat in der Regel einen eindeutigen 2,4-GHz-Kanal und einen 5-GHz-Kanal. Sie müssen herausfinden, mit welchem Kanal das Gerät verbunden ist. Dafür gibt es mehrere Möglichkeiten:
Über das Steuerfeld des Routers
Wenn du Nest WiFi verwendest, überspringe diese Option – die Informationen werden nicht angezeigt.
Die meisten Router haben eine Liste der verbundenen Geräte sowie deren Kanal und Breite.
- Ermitteln Sie die IP-Adresse Ihres Routers mithilfe dieser Anleitung.
- Rufen Sie im Webbrowser die Adresse Ihres Routers auf, z. B. http://192.168.1.1.
- Melde dich an. Sie kennen Ihr Passwort nicht? Suchen Sie auf Ihrem Router nach einem Tag oder verwenden Sie Routerpasswörter.
Suchen Sie nach einer Seite mit Namen wie „Clients“ oder „angehängte Geräte“. Eine Netgear-Routerseite könnte beispielsweise wie folgt oder für Eero-Geräte aussehen.
Möglicherweise müssen Sie an anderer Stelle in den Einstellungen nachsehen, um die Informationen aus Schritt 4 einem bestimmten Kanal und einer bestimmten Bandbreite zuzuordnen. Beispiel für einen Netgear-Router:
Verwende deinen Mac, wenn er bereits mit demselben Kanal verbunden ist.
Halten Sie die Wahltaste auf der Tastatur gedrückt und klicken Sie rechts oben in der Statusleiste Ihres Mac auf das WLAN-Symbol. Das reguläre WLAN-Menü mit einigen weiteren Optionen und Informationen sollte angezeigt werden. Sieh dir die nicht verfügbaren Menüpunkte an und suche nach dem Menü, in dem „Kanal“ erwähnt wird:
`Channel 60 (DFS, 5GHz, 40MHz)`
Kanal und Breite wurden nicht gefunden
Wenn die anderen Methoden nicht funktionieren, versuchen Sie Folgendes:
Listen Sie alle Kanäle auf, die Ihre ZPs verwenden (in der Regel zwei für jeden Zugangspunkt oder Mesh-Zugangspunkt).
a. Empfohlen: Mit einem Android-Smartphone können Sie eine App wie Wifiman oder Aruba Utilities verwenden.
a. Auf einem Mac können Sie
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
verwenden, um Optionen aufzulisten.Führen Sie anhand der folgenden Anleitung eine kurze Aufnahme (zum Beispiel 15 Sekunden aus) für jeden dieser Kanäle durch.
Installieren Sie Wireshark. Informationen hierzu finden Sie unter Wireshark installieren.
Öffnen Sie jede der Aufnahmen mit Wireshark, wenden Sie den Anzeigefilter
wlan.addr == YOUR_DEVICE'S_MAC
an und prüfen Sie, ob Pakete angezeigt werden.
2. Aufnahme starten
Wichtig: Vier-Wege-Handshake erfassen
Wenn die Sicherheit für WLAN aktiviert ist, müssen Sie die Verschlüsselungsschlüssel zum Entschlüsseln der erfassten Pakete kennen. Verschlüsselungsschlüssel werden aus einem Vier-Wege-Handshake abgeleitet, der stattfindet, wenn das Gerät mit dem Netzwerk verbunden wird. Sie sind für jede Verbindung zwischen einem Gerät und dem ZP eindeutig.
Aus diesem Grund MÜSSEN Sie den 4-Wege-Handshake erfassen, um WLAN-Nutzlasten zu entschlüsseln. Wenn das Gerät beim Start der Erfassung bereits mit dem Netzwerk verbunden ist, trennen Sie die Verbindung zum Gerät und verbinden Sie es wieder (oder starten Sie es neu), sobald die Erkennung gestartet wird.
Capture für Mac
Halten Sie die Optionstaste auf der Tastatur gedrückt, klicken Sie auf das WLAN-Symbol und wählen Sie dann "WLAN-Diagnose öffnen":
Wählen Sie in der Menüleiste „WLAN-Diagnose“ die Option Fenster > Sniffer aus:
Legen Sie für Kanal und Breite die zuvor abgerufenen Werte fest (Screenshot-Beispiel gilt für Kanal 60 und Breite 40 MHz):
Drücken Sie Start
und geben Sie Ihr Passwort ein. Versuchen Sie nun, das Problem zu reproduzieren.
Achten Sie darauf, dass Sie den 4-Wege-Handshake aus einer Verbindung erfassen, wie unter 4-Wege-Handshake erfassen beschrieben.
Wenn Sie fertig sind, drücken Sie Stop
. Unter /var/tmp
befindet sich eine neue *.pcap
-Datei, die den gesamten Traffic enthält. Ein Beispieldateiname ist: (null)_ch100_2018-11-06_10.52.01.pcap
.
Aufnehmen unter Linux
Deaktivieren Sie WLAN. Dazu haben Sie folgende Möglichkeiten:
- GUI verwenden (empfohlen)
- Über die Network Manager CLI, um die Verwaltung der WLAN-Schnittstelle zu beenden:
sudo nmcli dev set <wlan-ifname> managed on
- Wenn Sie einen anderen Netzwerkmanager verwenden, passen Sie die Einstellungen entsprechend an.
Speichern Sie dieses Skript. Ersetzen Sie
<wlan-ifname>
durch den Namen Ihrer WLAN-Schnittstelle. In diesem Dokument wird davon ausgegangen, dass der Skriptnamesetup-wifi-capture
ist.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Führen Sie das vorherige Skript aus und übergeben Sie den Kanal und die höchste Bandbreite zum Erkennen, z. B. Kanal 153 mit einer Bandbreite von 80 MHz:
./setup-wifi-capture chan 153 80 MHz
Wenn Sie Wireshark öffnen, sollten Sie jetzt Pakete über die VLAN-Schnittstelle erfassen können.
3. Aufnahme teilen
Verwenden Sie den WPA PSK (Raw Key) Generator, um einen Hash-Wert Ihres Passworts zu generieren. So können Sie die Aufnahme entschlüsseln, ohne Ihr Nur-Text-Passwort zu kennen.
Sie müssen auch den generierten PSK freigeben, damit andere die Aufnahme entschlüsseln können.
Anhang
Wireshark installieren
Sie können Wireshark mit apt install Wireshark unter Linux installieren oder online von der Wireshark-Website herunterladen.
Wireshark zum Entschlüsseln von Traffic einrichten
Dies ist für die Freigabe Ihrer Erfassungsdateien nicht erforderlich. Sie sollten dies jedoch nur tun, wenn Sie den entschlüsselten Traffic selbst in Wireshark untersuchen möchten.
Mit WPA2-Sicherheit bei WLAN wird der WPA2-PSK nicht direkt für die Ver- und Entschlüsselung von Traffic verwendet. Er wird in einem 4-Wege-Handshake verwendet, den Sie zum Entschlüsseln von Paketen erfassen müssen. Wenn Sie jedoch nur Probleme mit der WLAN-Verbindung oder Verbindungsabbrüche, die aus WLAN-Verwaltungsframes stammen können, suchen, müssen Sie den Vier-Wege-Handshake nicht erfassen. Es schadet in jedem Fall nicht, es aufzunehmen.
Öffnen Sie Wireshark und die Seite „Einstellungen“ (Wireshark-Menü > Einstellungen oder **Cmd + , **).
Suchen Sie den Abschnitt „IEEE 802.11“ in der Kategorie „Protokolle“ und prüfen Sie, ob „Entschlüsselung aktivieren“ ausgewählt ist:
Klicken Sie neben dem Label Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten.
Klicken Sie links unten auf die Schaltfläche „+“ und wählen Sie die Option „wpa-pwd“ aus.
Klicken Sie auf die Schlüsselspalte der neu erstellten Zeile (direkt neben dem String „wpa-pwd“) und geben Sie Ihren WPA2-PSK und die SSID im Format
<password>:<ssid>
ein. Wenn Ihr Netzwerkname beispielsweiseMyHomeNetwork
und Ihr WPA2-PSKmyp4ssword
ist, geben Siemyp4ssword:MyHomeNetwork
ein.Klicken Sie zum Bestätigen auf „OK“.
Weitere Informationen finden Sie im offiziellen Leitfaden von Wireshark (mit Screenshots) unter How to Decrypt 802.11 (Entschlüsselung von 802.11).
Wenn Sie tshark
verwenden, übergeben Sie die folgenden Argumente:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Wireshark 802.11-Daten kolorieren
Auf metageek.com finden Sie ein praktisches 802.11-Farbprofil: Wireshark-Konfigurationsprofil.