Capturar paquetes de Wi-Fi te permite ver los detalles y las interacciones que, de otro modo, se enmascararían antes de alcanzar el software que se ejecuta en un dispositivo, lo que hace que sean una herramienta importante para algunos tipos de errores.
Estos son los pasos principales que debes seguir:
- Encuentra el canal adecuado para disfrutar.
- Captura el tráfico.
- Comparte la captura y un hash de tu contraseña de WLAN.
1. Cómo determinar el canal y el ancho correctos
Las redes WLAN funcionan en:
- un canal, al que se suele hacer referencia con un número De 1 a 13 corresponde a canales de 2.4 GHz, 36 a 200 para canales de 5 GHz
- con un ancho específico (ya sea 20 MHz, 40 MHz, 80 MHz o 160 MHz)
Por lo general, cada punto de acceso (por ejemplo, router o nodo en malla) en la red tiene un canal único de 2.4 GHz y uno de 5 GHz, y debes descubrir a cuál está conectado el dispositivo. Tienes las siguientes opciones:
Usa el panel de control del router
Si usas Nest WiFi, omite esta opción, ya que la información no se expone.
La mayoría de los routers tienen una lista de dispositivos conectados y qué canal y ancho usan.
- Encuentra la dirección IP de tu router con esta guía.
- Ve a la dirección del router en el navegador web, por ejemplo, http://192.168.1.1.
- Accede. ¿No sabes tu contraseña? Busca una etiqueta en tu router o usa las contraseñas del router.
Busca una página con el nombre "clientes" o "dispositivos conectados". Por ejemplo, una página del router de Netgear podría tener el siguiente aspecto o de los dispositivos Eero.
Es posible que debas consultar en otra parte de la configuración para asignar la información del paso 4 a un canal y un ancho de banda específicos. Por ejemplo, con un router Netgear:
Utiliza tu Mac si ya está conectada al mismo canal.
Mantén presionada la Opción del teclado y haz clic en el ícono de WLAN en la esquina superior derecha de la barra de estado de tu Mac. Deberías ver el menú WLAN normal con algunas opciones más e información. Revisa los elementos de menú no disponibles y busca el que menciona el canal:
`Channel 60 (DFS, 5GHz, 40MHz)`
No puedo encontrar el canal y el ancho
Si los otros métodos no funcionan, puedes intentar lo siguiente:
Enumera todos los canales que usan tus PA (por lo general, 2 para cada PA o punto de malla).
a. Recomendación: Con un teléfono Android, puedes usar una app como Wifiman o Aruba Utilities.
a. En una Mac, puedes usar
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
para mostrar las opciones.Realiza una captura corta (incluso 15 segundos es suficiente) en cada uno de esos canales; para ello, sigue las instrucciones que aparecen a continuación.
Instala Wireshark (para obtener asistencia, consulta Cómo instalar Wireshark).
Abre cada una de las capturas con Wireshark, aplica un filtro de visualización de
wlan.addr == YOUR_DEVICE'S_MAC
y observa si aparece algún paquete.
2. Inicia la captura
Importante: Captura el protocolo de enlace de 4 vías
Si la seguridad está activada para Wi-Fi, debes conocer las claves de encriptación a fin de desencriptar los paquetes capturados. Las claves de encriptación derivan de un protocolo de enlace de 4 vías que se produce cuando el dispositivo se conecta a la red y son únicas de cada conexión entre un dispositivo y el AP.
Debido a esto, DEBES capturar el protocolo de enlace de 4 vías para desencriptar las cargas útiles de Wi-Fi. Si el dispositivo ya está conectado a la red cuando comiences la captura, desconéctalo y vuelve a conectarlo (o reinícialo) cuando comience el detector.
Capturar en Mac
Mientras mantienes presionada la tecla Option del teclado, haz clic en el ícono de WLAN y selecciona "Open Wireless Diagnostics...":
En la barra de menú Wireless Diagnostics, selecciona Window > Sniffer:
Establece el canal y el ancho en los valores que recuperaste antes (el ejemplo de captura de pantalla es para el canal 60 y el ancho 40 MHz):
Presiona Start
y, luego, ingresa tu contraseña. Ahora, intenta reproducir el problema.
Asegúrate de capturar el protocolo de enlace de 4 vías desde una conexión como se indica en Cómo capturar el protocolo de enlace de 4 vías.
Cuando termines, presiona Stop
. Se puede encontrar un archivo *.pcap
nuevo en /var/tmp
que contenga todo el tráfico. Un nombre de archivo de ejemplo es: (null)_ch100_2018-11-06_10.52.01.pcap
.
Cómo capturar en Linux
Desactiva el Wi-Fi. Esto se puede hacer de las siguientes maneras:
- Uso de la GUI (recomendado)
- Uso de la CLI de Network Manager para indicarle que deje de administrar la interfaz WLAN:
sudo nmcli dev set <wlan-ifname> managed on
- Si usas un administrador de red alternativo, realiza los ajustes necesarios.
Guarda esta secuencia de comandos. Reemplaza
<wlan-ifname>
por el nombre de tu interfaz de Wi-Fi. En este documento, se asume que el nombre de la secuencia de comandos essetup-wifi-capture
.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Ejecuta la secuencia de comandos anterior y pasa el canal y el ancho de banda más alto al sniff, por ejemplo, el canal 153 con un ancho de banda de 80 MHz:
./setup-wifi-capture chan 153 80 MHz
Abre Wireshark. Ahora deberías poder capturar paquetes en la interfaz wlan.
3. Compartir la captura
Usa el Generador de WPA PSK (clave sin procesar) para generar un hash de tu contraseña. Esto te permite desencriptar la captura sin conocer tu contraseña de texto sin formato.
También debes compartir la PSK generada para que otros puedan desencriptar la captura.
Apéndice
Instala Wireshark
Puedes instalar Wireshark con el comando apt install cableshark en Linux o descargarlo en línea desde el sitio web de Wireshark.
Configura Wireshark para desencriptar tráfico
No es necesario para compartir tus archivos de captura. Solo debes hacerlo si deseas examinar por tu cuenta el tráfico desencriptado en Wireshark.
Con la seguridad WPA2 en la red Wi-Fi, el WPA2-PSK no se usa directamente para la encriptación y desencriptación del tráfico. Se usa en un protocolo de enlace de 4 vías, que debes capturar para desencriptar paquetes. Sin embargo, si todo lo que intentas capturar son problemas de conexión a Wi-Fi o pérdidas de conectividad, que se pueden obtener de los marcos de administración de Wi-Fi, no es necesario que captures el protocolo de enlace de 4 vías. En cualquier caso, capturarlo de todos modos puede ser útil.
Abre Wireshark y la página Preferences (menú de Wireshark > Preferences o **Cmd + , **).
Busca la sección “IEEE 802.11” en la categoría “Protocolos” y asegúrate de que la opción “Habilitar desencriptación” esté marcada:
Haz clic en el botón Editar junto a la etiqueta Claves de desencriptación.
Haz clic en el botón “+” en la esquina inferior izquierda y selecciona la opción “wpa-pwd”.
Haz clic en la columna de claves de la fila recién creada (justo junto a la string wpa-pwd) y escribe la PSK y el SSID de WPA2 con el formato
<password>:<ssid>
. Por ejemplo, si el nombre de tu red eraMyHomeNetwork
y tu PSK de WPA2 eramyp4ssword
, escribemyp4ssword:MyHomeNetwork
.Haz clic en Aceptar para confirmar
Para obtener más información, consulta la guía oficial de Wireshark (con capturas de pantalla) en Cómo desencriptar 802.11.
Si usas tshark
, pasa los siguientes argumentos:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Colorize Wireshark 802.11 Data
Hay un práctico perfil de color 802.11 en metageek.com: Wireshark Configuration Profile.