Merekam traffic WLAN

Menangkap paket Wi-Fi memungkinkan Anda melihat detail dan interaksi yang sebelumnya disembunyikan sebelum mencapai software yang berjalan di perangkat, sehingga menangkap alat penting untuk beberapa jenis bug.

Langkah-langkah utama yang diperlukan adalah:

  1. Temukan saluran yang tepat untuk dipantau.
  2. Catat traffic.
  3. Bagikan hasil rekaman dan hash sandi WLAN Anda.

1. Menentukan saluran dan lebar yang tepat

Jaringan WLAN beroperasi di:

  • saluran, yang biasanya disebut dengan angka. 1-13 adalah untuk saluran 2,4 GHz, 36-200 untuk saluran 5 GHz
  • dengan lebar tertentu (20Mhz, 40Mhz, 80Mhz, 160MHz)

Setiap titik akses (misalnya router, node mesh) di jaringan Anda biasanya memiliki saluran 2,4 GHz dan saluran 5 GHz yang unik, sehingga Anda harus menentukan saluran mana yang terhubung dengan perangkat. Ada beberapa opsi:

Gunakan panel kontrol router Anda

Jika Anda menggunakan Nest WiFi, lewati opsi ini – info tidak akan ditampilkan.

Sebagian besar router memiliki daftar perangkat yang terhubung serta saluran dan lebar yang digunakan.

  1. Temukan alamat IP router Anda menggunakan panduan ini.
  2. Buka alamat router di browser web, misalnya http://192.168.1.1.
  3. Login. Tidak tahu kata sandi Anda? Cari tag di router Anda, atau gunakan Sandi Router.

  4. Cari halaman yang bernama seperti "klien" atau "perangkat terpasang". Misalnya, halaman router Netgear mungkin terlihat seperti berikut, atau untuk perangkat Eero.

    Tampilan Netgear Client

  5. Anda mungkin harus melihat di tempat lain dalam setelan untuk memetakan info dari langkah 4 ke saluran dan bandwidth tertentu. Misalnya, router Netgear:

    Tampilan Netgear Channels

Gunakan Mac, jika sudah terhubung ke saluran yang sama

Tahan Option di keyboard, lalu klik ikon WLAN di pojok kanan atas status bar Mac Anda. Anda akan melihat menu WLAN reguler dengan beberapa opsi dan informasi lainnya. Lihat item menu yang tidak tersedia dan cari item yang menyebutkan Saluran:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN Mac

Tidak dapat menemukan saluran dan lebar

Jika metode lain tidak berhasil, Anda dapat mencoba:

  1. Cantumkan semua saluran yang digunakan AP Anda (biasanya 2 untuk setiap AP atau titik mesh).

    a. Direkomendasikan Dengan ponsel Android, Anda dapat menggunakan aplikasi seperti Wifiman atau Aruba Utilitas.

    a. Di Mac, Anda dapat menggunakan /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s untuk membuat daftar opsi.

  2. Lakukan pengambilan gambar singkat (bahkan 15 detik saja sudah cukup) di setiap saluran tersebut, menggunakan petunjuk di bawah ini

  3. Instal Wireshark (untuk mendapatkan bantuan, lihat Menginstal Wireshark).

  4. Buka setiap tangkapan menggunakan Wireshark, terapkan filter tampilan wlan.addr == YOUR_DEVICE'S_MAC, dan lihat apakah ada paket yang muncul.

2. Memulai pengambilan gambar

Penting: Mendeteksi handshake 4 arah

Jika keamanan diaktifkan untuk Wi-Fi, Anda perlu mengetahui kunci enkripsi untuk mendekripsi paket yang ditangkap. Kunci enkripsi berasal dari handshake 4 arah yang terjadi saat perangkat terhubung ke jaringan, dan bersifat unik untuk setiap koneksi antara perangkat dan AP.

Oleh karena itu, Anda HARUS merekam handshake 4 arah untuk mendekripsi payload Wi-Fi. Jika perangkat telah terhubung ke jaringan saat Anda memulai pengambilan, putuskan sambungan dan hubungkan kembali perangkat (atau mulai ulang) setelah sniffing dimulai.

Mengambil di Mac

Sambil menahan tombol Option di keyboard, klik ikon WLAN lalu pilih "Buka Diagnostik Nirkabel...":

Perekaman WLAN Mac

Dari panel menu Diagnostik Nirkabel, pilih Window > Sniffer:

Sniffer WLAN Mac

Setel saluran dan lebar ke nilai yang Anda ambil sebelumnya (Contoh screenshot untuk Channel 60 dan Lebar 40 MHz):

Saluran dan Lebar WLAN Mac

Tekan Start dan masukkan sandi. Sekarang, coba rekonstruksi masalahnya. Pastikan Anda merekam handshake 4 arah dari koneksi seperti yang dijelaskan dalam Merekam handshake 4 arah.

Setelah selesai, tekan Stop. File *.pcap baru dapat ditemukan di /var/tmp yang berisi semua traffic. Contoh nama filenya adalah: (null)_ch100_2018-11-06_10.52.01.pcap.

Mengambil di Linux

  1. Nonaktifkan Wi-Fi. Hal ini dapat dilakukan dengan:

    • Menggunakan GUI (direkomendasikan)
    • Menggunakan CLI Network Manager untuk memintanya berhenti mengelola antarmuka WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Jika menggunakan pengelola jaringan alternatif, sesuaikan.

  2. Simpan skrip ini. Ganti <wlan-ifname> dengan nama antarmuka Wi-Fi Anda. Dokumen ini mengasumsikan nama skrip menjadi setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Jalankan skrip sebelumnya dan teruskan saluran serta bandwidth tertinggi untuk dideteksi, misalnya saluran 153 dengan bandwidth 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Buka Wireshark, dan Anda akan dapat menangkap paket di antarmuka wlan.

3. Bagikan hasil rekaman

  1. Gunakan WPA PSK (Raw Key) Generator untuk membuat hash sandi Anda. Hal ini memungkinkan Anda mendekripsi tangkapan tanpa mengetahui {i>password<i} teks biasa Anda.

  2. Anda juga perlu membagikan PSK yang dihasilkan sehingga orang lain dapat mendekripsi tangkapan tersebut.

Lampiran

Instal Wireshark

Anda dapat menginstal Wireshark menggunakan apt install Wireshark di Linux atau mendownloadnya secara online dari situs Wireshark.

Menyiapkan Wireshark untuk mendekripsi traffic

Hal ini tidak diperlukan untuk membagikan file tangkapan Anda, hanya lakukan ini jika Anda ingin memeriksa sendiri traffic yang didekripsi di Wireshark.

Dengan keamanan WPA2 di Wi-Fi, WPA2-PSK tidak digunakan langsung untuk enkripsi dan dekripsi traffic. Alat ini digunakan dalam handshake 4 arah, yang perlu Anda tangkap untuk mendekripsi paket. Namun, jika semua yang Anda coba tangkap adalah masalah saat menghubungkan ke Wi-Fi atau konektivitas terputus, yang dapat diambil dari frame pengelolaan Wi-Fi, Anda tidak perlu merekam jabat tangan 4 arah. Dalam kedua kasus tersebut, tidak ada salahnya untuk tetap menangkapnya.

Buka Wireshark dan buka halaman Preferences (menu Wireshark > Preferences atau **Cmd + , **).

  1. Temukan bagian "IEEE 802.11" pada kategori "Protocols" dan pastikan "Enable decryption" dicentang:

    Preferensi Mac Wireshark

  2. Klik tombol Edit di samping label Decryption Keys.

  3. Klik tombol '+' di sudut kiri bawah, lalu pilih opsi "wpa-pwd".

    WPA dan Sandi Mac Wireshark

  4. Klik kolom kunci dari baris yang baru dibuat (tepat di samping string wpa-pwd), ketik WPA2 PSK dan SSID dalam format <password>:<ssid>. Misalnya, jika nama jaringan Anda adalah MyHomeNetwork dan WPA2 PSK Anda adalah myp4ssword, ketik myp4ssword:MyHomeNetwork.

    SSID Mac Wireshark

  5. Klik Oke untuk mengonfirmasi

Untuk informasi selengkapnya, lihat panduan resmi Wireshark (dengan screenshot) di Cara Mendekripsi 802.11.

Jika menggunakan tshark, teruskan argumen berikut:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Mewarnai Data Wireshark 802.11

Ada profil warna 802.11 praktis yang terletak di metageek.com: Wireshark Configuration Profile.