Wenn Sie WLAN-Pakete erfassen, können Sie Details und Interaktionen sehen, die sonst ausgeblendet werden, bevor sie die auf einem Gerät laufende Software erreichen. Diese Erfassungen sind daher ein wichtiges Tool für einige Arten von Fehlern.
Die wichtigsten Schritte sind:
- Den richtigen Kanal zum Auswerten finden
- Erfassen Sie die Zugriffe.
- Teilen Sie die Aufzeichnung und einen Hashwert Ihres WLAN-Passworts.
1. Kanal und Breite festlegen
WLAN-Netzwerke betreiben:
- ein Channel, in der Regel mit einer Zahl bezeichnet. 1–13 für 2,4‑GHz-Kanäle, 36–200 für 5‑GHz-Kanäle
- mit einer bestimmten Breite (20 MHz, 40 MHz, 80 MHz oder 160 MHz)
Jeder Zugangspunkt (z. B. Router, Mesh-Knoten) in Ihrem Netzwerk hat in der Regel einen eindeutigen 2,4‑GHz- und einen 5‑GHz-Kanal. Sie müssen herausfinden, mit welchem das Gerät verbunden ist. Dafür gibt es mehrere Möglichkeiten:
Steuerfeld des Routers verwenden
Wenn Sie Nest WiFi verwenden, überspringen Sie diese Option. Die Informationen werden nicht angezeigt.
Die meisten Router haben eine Liste verbundener Geräte mit dem verwendeten Kanal und der Breite.
- In dieser Anleitung erfährst du, wie du die IP-Adresse deines Routers findest.
- Rufen Sie in Ihrem Webbrowser die Adresse Ihres Routers auf, z. B. http://192.168.1.1.
- Anmelden. Sie kennen Ihr Passwort nicht? Suchen Sie auf Ihrem Router nach einem Tag oder verwenden Sie Router-Passwörter.
Suchen Sie nach einer Seite mit einem Namen wie „Clients“ oder „Angehängte Geräte“. Die Seite eines Netgear-Routers könnte beispielsweise so aussehen, oder die Seite eines Eero-Geräts.
Möglicherweise müssen Sie an anderer Stelle in den Einstellungen nachsehen, um die Informationen aus Schritt 4 einem bestimmten Kanal und einer bestimmten Bandbreite zuzuordnen. Beispiel für einen Netgear-Router:
Verwende deinen Mac, wenn er bereits mit demselben Kanal verbunden ist.
Halten Sie die Taste Option auf der Tastatur gedrückt und klicken Sie dann oben rechts in der Statusleiste Ihres Macs auf das WLAN-Symbol. Das normale WLAN-Menü mit einigen weiteren Optionen und Informationen sollte angezeigt werden. Suche unter den nicht verfügbaren Menüpunkten nach dem Menüpunkt, in dem der Channel erwähnt wird:
`Channel 60 (DFS, 5GHz, 40MHz)`
Kanal und Breite nicht gefunden
Wenn die anderen Methoden nicht funktionieren, können Sie Folgendes versuchen:
Geben Sie alle Kanäle an, die von Ihren ZP verwendet werden (in der Regel zwei für jeden ZP oder Mesh-Punkt).
a. Empfohlen: Mit einem Android-Smartphone können Sie eine App wie Wifiman oder Aruba Utilities verwenden.
a. Auf einem Mac können Sie die Optionen mit
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-saufrufen.Führe anhand der folgenden Anleitung eine kurze Aufnahme (15 Sekunden reichen) auf jedem dieser Kanäle aus.
Installieren Sie Wireshark. Weitere Informationen dazu finden Sie unter Wireshark installieren.
Öffnen Sie jede der Aufnahmen mit Wireshark, wenden Sie den Anzeigefilter
wlan.addr == YOUR_DEVICE'S_MACan und prüfen Sie, ob Pakete angezeigt werden.
2. Aufnahme starten
Wichtig: Vier-Wege-Handshake erfassen
Wenn die Sicherheit für WLAN aktiviert ist, müssen Sie die Verschlüsselungsschlüssel zum Entschlüsseln der erfassten Pakete kennen. Verschlüsselungsschlüssel werden aus einem Vier-Wege-Handshake abgeleitet, der beim Verbinden des Geräts mit dem Netzwerk auftritt. Sie sind für jede Verbindung zwischen einem Gerät und dem Zugangspunkt eindeutig.
Aus diesem Grund MÜSSEN Sie den Vier-Wege-Handshake erfassen, um WLAN-Nutzlast zu entschlüsseln. Wenn das Gerät bereits mit dem Netzwerk verbunden ist, wenn Sie die Erfassung starten, trennen Sie die Verbindung und verbinden Sie das Gerät wieder (oder starten Sie es neu), sobald das Sniffen beginnt.
Auf einem Mac
Klicken Sie während Sie die Taste „Option“ auf Ihrer Tastatur gedrückt halten, auf das WLAN-Symbol und wählen Sie „Wireless-Diagnose öffnen…“ aus:
Wählen Sie in der Menüleiste „Wireless Diagnostics“ (Drahtlose Diagnose) die Option Window > Sniffer (Fenster > Sniffer) aus:
Setzen Sie den Kanal und die Breite auf die zuvor abgerufenen Werte (Screenshot zeigt für Kanal 60 und Breite 40 MHz):
Drücken Sie Start und geben Sie Ihr Passwort ein. Versuchen Sie jetzt, das Problem zu reproduzieren.
Erfassen Sie den Vier-Wege-Handshake über eine Verbindung, wie unter Vier-Wege-Handshake erfassen beschrieben.
Drücken Sie dann die Taste Stop. Eine neue *.pcap-Datei befindet sich in /var/tmp, die den gesamten Traffic enthält. Ein Beispiel für einen Dateinamen ist (null)_ch100_2018-11-06_10.52.01.pcap.
Capture unter Linux
Deaktivieren Sie WLAN. Dazu haben Sie folgende Möglichkeiten:
- Über die Benutzeroberfläche (empfohlen)
- Über die Network Manager-Befehlszeile angeben, dass die WLAN-Schnittstelle nicht mehr verwaltet werden soll:
sudo nmcli dev set <wlan-ifname> managed on - Wenn Sie einen anderen Netzwerkmanager verwenden, passen Sie die Einstellungen entsprechend an.
Speichern Sie dieses Script. Ersetzen Sie
<wlan-ifname>durch den Namen Ihrer WLAN-Schnittstelle. In diesem Dokument wird davon ausgegangen, dass der Skriptnamesetup-wifi-captureist.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@Führen Sie das vorherige Skript aus und übergeben Sie zum Sniff den Kanal und die höchste Bandbreite, z. B. Kanal 153 mit einer Bandbreite von 80 MHz:
./setup-wifi-capture chan 153 80 MHzÖffnen Sie Wireshark. Sie sollten jetzt Pakete auf der WLAN-Schnittstelle erfassen können.
3. Aufnahme teilen
Verwenden Sie den WPA PSK (Raw Key) Generator, um einen Hashwert für Ihr Passwort zu generieren. So können Sie die Aufzeichnung entschlüsseln, ohne Ihr Klartextpasswort zu kennen.
Sie müssen auch das generierte PSK freigeben, damit andere die Aufzeichnung entschlüsseln können.
Anhang
Wireshark installieren
Sie können Wireshark mit apt install Wireshark unter Linux installieren oder online von der Wireshark-Website herunterladen.
Wireshark zum Entschlüsseln von Traffic einrichten
Dies ist für die Freigabe Ihrer Erfassungsdateien nicht erforderlich, aber nur, wenn Sie entschlüsselten Traffic selbst in Wireshark untersuchen möchten.
Bei der WPA2-Sicherheit im WLAN wird WPA2-PSK nicht direkt für die Verschlüsselung und Entschlüsselung von Traffic verwendet. Es wird in einem Vier-Wege-Handshake verwendet, den Sie zum Entschlüsseln von Paketen erfassen müssen. Wenn Sie jedoch nur Probleme mit der WLAN-Verbindung oder Verbindungsabbrüche erfassen möchten, die aus WLAN-Verwaltungsframes ersichtlich sind, müssen Sie den Vier-Wege-Handshake nicht erfassen. In jedem Fall ist es hilfreich, sie aufzuzeichnen.
Öffnen Sie Wireshark und die Seite „Einstellungen“ (Wireshark-Menü > Einstellungen oder **Cmd + , **).
Suchen Sie in der Kategorie „Protokolle“ den Abschnitt „IEEE 802.11“ und achten Sie darauf, dass die Option „Entschlüsselung aktivieren“ aktiviert ist:
Klicken Sie neben dem Label Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten.
Klicken Sie links unten auf die Schaltfläche „+“ und wählen Sie die Option „wpa-pwd“ aus.
Klicken Sie in der neu erstellten Zeile auf die Schlüsselspalte (direkt neben dem String „wpa-pwd“) und geben Sie den WPA2-PSK und die SSID im Format
<password>:<ssid>ein. Wenn Ihr Netzwerkname beispielsweiseMyHomeNetworkund Ihr WPA2-PSKmyp4sswordlautet, geben Siemyp4ssword:MyHomeNetworkein.
Klicken Sie zum Bestätigen auf OK
Weitere Informationen finden Sie im offiziellen Leitfaden von Wireshark (mit Screenshots) unter How to Decrypt 802.11.
Wenn Sie tshark verwenden, geben Sie die folgenden Argumente ein:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Wireshark-802.11-Daten färben
Auf metageek.com finden Sie ein praktisches 802.11-Farbprofil: Wireshark-Konfigurationsprofil.