תיעוד תנועה ב-WLAN

כשמתעדים חבילות Wi-Fi, אפשר לראות פרטים ואינטראקציות שאחרת עברו אנונימיזציה לפני שהן מגיעות לתוכנות שפועלות במכשיר. לכן, חבילות ה-Wi-Fi האלה הן כלי חשוב לסוגים מסוימים של באגים.

השלבים העיקריים הם:

1. מצאו את הערוץ הנכון לצפייה.
2. לתעד את התנועה.
3. יש לשתף את ההקלטה ו-hash של סיסמת רשת ה-WLAN.

1. קביעת הערוץ והרוחב הנכונים

רשתות WLAN פועלות ב:

• ערוץ, שבדרך כלל מזכירים בו מספר. 1-13 הוא עבור 2.4GHz channels, 36-200 עבור 5GHz channels
• עם רוחב ספציפי (20Mhz, 40Mhz, 80Mhz, 160MHz)

לכל נקודת גישה (לדוגמה, נתב, צומת רשת) ברשת יש בדרך כלל ערוץ 2.4GHz ייחודי וערוץ 5GHz, וצריך לבדוק לאיזה מהם המכשיר מחובר. קיימות מספר אפשרויות:

שימוש בלוח הבקרה של הנתב

אם משתמשים ב-Nest WiFi, אפשר לדלג על האפשרות הזו – המידע לא חשוף.

לרוב הנתבים יש רשימה של מכשירים מחוברים וערוצים ורוחב שבהם הם משתמשים.

1. תוכלו להיעזר במדריך הזה כדי למצוא את כתובת ה-IP של הנתב.
2. עוברים לכתובת של הנתב בדפדפן האינטרנט, לדוגמה http://192.168.1.1.
3. מתחברים לחשבון. לא יודע מה הסיסמה שלך? אפשר לחפש תג בנתב או להשתמש בסיסמאות לנתב.

4. מחפשים דף בשם כמו 'לקוחות' או 'מכשירים מחוברים'. לדוגמה, דף של נתב Netgear עשוי להיראות כך או כך עבור מכשירי Eero.

   

5. ייתכן שתצטרכו לחפש מקום אחר בהגדרות כדי למפות את המידע משלב 4 לערוץ ולרוחב פס מסוימים. לדוגמה, נתב Netgear:

   

יש להשתמש ב-Mac, אם הוא כבר מחובר לאותו ערוץ

לוחצים לחיצה ארוכה על Option במקלדת ואז לוחצים על סמל ה-WLAN בפינה השמאלית העליונה בשורת הסטטוס של Mac. אתם אמורים לראות את תפריט WLAN הרגיל עם עוד כמה אפשרויות ומידע. נסו לראות את האפשרויות בתפריט שאינן זמינות ולחפש את הפריט שמזכיר את 'ערוץ':

`Channel 60 (DFS, 5GHz, 40MHz)`

לא ניתן למצוא את הערוץ והרוחב

אם השיטות האחרות לא עובדות, אתם יכולים לנסות:

1. צריך לרשום את כל הערוצים שמשמשים את נקודות הגישה (בדרך כלל 2 לכל נקודת AP או רשת).

   a. מומלץ בטלפון Android, אפשר להשתמש באפליקציות כמו Wifiman או Aruba Utilities.

   a. ב-Mac, אפשר להשתמש ב-/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s כדי להציג אפשרויות.

2. בצעו צילום קצר (אפילו 15 שניות) בכל אחד מהערוצים האלה, לפי ההוראות הבאות

3. מתקינים את Wireshark (לקבלת עזרה, ראו התקנת Wireshark).

4. פותחים כל אחת מההקלטה באמצעות Wireshark, מחילים מסנן תצוגה של wlan.addr == YOUR_DEVICE'S_MAC ובודקים אם מופיעות חבילות.

2. התחלת הצילום

חשוב: צילום של לחיצת היד בעלת 4 הכיוונים

אם הפעלתם את האבטחה ב-Wi-Fi, עליכם לדעת את מפתחות ההצפנה כדי לפענח את החבילות שתועדו. מפתחות ההצפנה נובעים מלחיצת יד דו-כיוונית שמתרחשת כשהמכשיר מתחבר לרשת, והם ייחודיים לכל חיבור בין המכשיר ל-AP.

לכן חובה לצלם את לחיצת היד בעלת 4 הכיוונים כדי לפענח מטענים ייעודיים של Wi-Fi. אם המכשיר כבר מחובר לרשת כשהתחלתם את הצילום, מנתקים אותו ומחברים אותו מחדש (או מפעילים אותו מחדש) כשהרנש יתחיל.

צילום ב-Mac

החזקת המקש Option במקלדת, לוחצים על סמל ה-WLAN ובוחרים באפשרות "Open Wireless אבחון...":

בסרגל התפריטים 'אבחון אלחוטי', בוחרים באפשרות חלון > Sniffer:

מגדירים את הערוץ והרוחב לערכים שאחזרתם קודם (דוגמה לצילום מסך היא של ערוץ 60 ורוחב 40 מגה-הרץ):

לוחצים על Start ומזינים את הסיסמה. כעת, נסה לשחזר את הבעיה. ודאו שאתם מצלמים את לחיצת היד בעלת 4 הכיוונים מהחיבור, כמו שמוסבר במאמר איך מצלמים את לחיצת היד בעלת 4 הכיוונים.

בסיום, מקישים על Stop. ניתן למצוא קובץ *.pcap חדש ב-/var/tmp שמכיל את כל התנועה. שם קובץ לדוגמה: (null)_ch100_2018-11-06_10.52.01.pcap.

צילום ב-Linux

1. מכבים את ה-Wi-Fi. כדי לעשות זאת, אתם יכולים לבחור אחת מהאפשרויות הבאות:

   • שימוש ב-GUI (מומלץ)
   • שימוש ב-CLI של מנהל הרשת כדי להפסיק לנהל את ממשק ה-WLAN: sudo nmcli dev set <wlan-ifname> managed on
   • אם משתמשים במנהל רשת חלופי, משנים את ההגדרה בהתאם.

2. שמור סקריפט זה. מחליפים את <wlan-ifname> בשם של ממשק ה-Wi-Fi. במסמך הזה ההנחה היא ששם הסקריפט הוא setup-wifi-capture.

   #!/usr/bin/env bash
   sudo ifconfig <wlan-ifname>  down
   sudo rfkill unblock wifi
   sudo iwconfig <wlan-ifname>  mode monitor
   sudo ifconfig <wlan-ifname>  up
   sudo iw dev <wlan-ifname> set channel $@
   

3. מריצים את הסקריפט הקודם ומעבירים בערוץ וברוחב הפס הגבוה ביותר כדי להרחיק, לדוגמה ערוץ 153 עם רוחב פס של 80 מגה-הרץ:

   ./setup-wifi-capture chan 153 80 MHz
   

4. לאחר פתיחת Wireshark, אמורה להיות אפשרות לתעד חבילות בממשק wlan.

3. שיתוף התמונה

1. משתמשים במחולל WPA PSK (Raw Key) כדי ליצור גיבוב של הסיסמה. כך תוכלו לפענח את ההקלטה בלי לדעת את הסיסמה בפורמט טקסט פשוט.

2. עליך לשתף גם את ה-PSK שנוצר כדי שאנשים אחרים יוכלו לפענח את הצילום.

נספח

התקנת Wireshark

אתם יכולים להתקין את Wireshark באמצעות apt Install Wireshark ב-Linux, או להוריד אותו באינטרנט מהאתר של Wireshark.

הגדרה של Wireshark לפענוח תעבורת הנתונים

הפעולה הזו לא הכרחית כדי לשתף את קובצי הצילום, אלא רק אם אתם רוצים לבדוק בעצמכם תנועה מפוענחת ב-Wireshark.

כשנעשה שימוש באבטחת WPA2 ב-Wi-Fi, WPA2-PSK לא משמש להצפנה ולפענוח של תעבורת נתונים באופן ישיר. משתמשים בה בלחיצת יד בעלת 4 כיוונים, שצריך לצלם כדי לפענח חבילות. עם זאת, אם כל מה שאתם מנסים לתעד הוא בעיות בהתחברות ל-Wi-Fi או בירידה בקישוריות, שאפשר להסיק מהפריימים של ניהול ה-Wi-Fi, לא צריך לצלם את לחיצת היד בעלת 4 הכיוונים. בכל מקרה, לא מזיק לצלם אותו בכל מקרה.

פותחים את Wireshark ופותחים את דף ההעדפות (תפריט Wireshark > העדפות או **Cmd + , **).

1. חפשו את הקטע IEEE 802.11 בקטגוריה 'פרוטוקולים' וודאו שהאפשרות 'הפעלת פענוח' מסומנת:

   

2. לוחצים על הלחצן עריכה לצד התווית מפתחות פענוח.

3. לוחצים על הלחצן '+' בפינה הימנית התחתונה ובוחרים באפשרות wpa-pwd.

   

4. לוחצים על עמודת המפתח בשורה החדשה שנוצרה (ליד המחרוזת wpa-pwd), מקלידים את ה-WPA2 PSK ואת ה-SSID בפורמט <password>:<ssid>. לדוגמה, אם שם הרשת היה MyHomeNetwork וה-WPA2 PSK היה myp4ssword, מקלידים myp4ssword:MyHomeNetwork.

   

5. צריך ללחוץ על 'אישור' כדי לאשר

למידע נוסף, קראו את המדריך הרשמי של Wireshark (עם צילומי מסך) במאמר How to Decrypt 802.11 (הוראות לפענוח 802.11).

אם משתמשים בפונקציה tshark, צריך להעביר את הארגומנטים הבאים:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

צבע נתונים של Wireshark 802.11

אפשר למצוא פרופיל צבעים שימושי בפורמט 802.11 בכתובת meetageek.com: פרופיל התצורה של Wireshark.