L'acquisizione di pacchetti Wi-Fi ti consente di vedere dettagli e interazioni che altrimenti mascherano prima che raggiungano il software in esecuzione su un dispositivo, rendendoli uno strumento importante per alcuni tipi di bug.
I passaggi principali sono:
- Trova il canale giusto da fiutare.
- Cattura il traffico.
- Condividi l'acquisizione e un hash della tua password WLAN.
1. Determinare il canale e la larghezza giusti
Le reti WLAN funzionano su:
- un canale, solitamente indicato con un numero. da 1 a 13 per i canali a 2,4 GHz, 36-200 per i canali da 5 GHz
- con larghezza specifica (20 Mhz, 40 Mhz, 80 Mhz, 160 MHz)
Ogni punto di accesso (ad esempio router, nodo mesh) nella tua rete ha in genere un canale univoco da 2,4 GHz e uno da 5 GHz e devi sapere a quale è connesso il dispositivo. Esistono varie opzioni:
Utilizza il pannello di controllo del router
Se usi Nest WiFi, ignora questa opzione perché le informazioni non vengono compromesse.
La maggior parte dei router ha un elenco di dispositivi connessi, con il canale e la larghezza utilizzati.
- Trova l'indirizzo IP del tuo router utilizzando questa guida.
- Vai all'indirizzo del router nel browser web, ad esempio http://192.168.1.1.
- Accedi. Non conosci la tua password? Cerca un tag sul router o usa le password del router.
Cerca una pagina con un nome simile a "client" o "dispositivi collegati". Ad esempio, una pagina del router Netgear potrebbe essere simile alla seguente, o per i dispositivi Eero.
Potresti dover cercare altrove nelle impostazioni per mappare le informazioni del passaggio 4 a un canale e a una larghezza di banda specifici. Ad esempio, un router Netgear:
Usa il tuo Mac, se è già connesso allo stesso canale
Tieni premuto Opzione sulla tastiera, quindi fai clic sull'icona WLAN nell'angolo in alto a destra della barra di stato del Mac. Dovresti vedere il normale menu WLAN con alcune opzioni e informazioni aggiuntive. Dai un'occhiata alle voci di menu non disponibili e cerca quella che menziona il canale:
`Channel 60 (DFS, 5GHz, 40MHz)`
Impossibile trovare canale e larghezza
Se gli altri metodi non funzionano, puoi provare:
Elenca tutti i canali utilizzati dai tuoi punti di accesso (in genere due per ogni punto di accesso o punto mesh).
a. Consigliato Con un telefono Android, puoi utilizzare un'app come Wifiman o Aruba Utilities.
a. Su un Mac, puoi utilizzare
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
per elencare le opzioni.Esegui un'acquisizione breve (anche 15 secondi) su ciascuno di questi canali, seguendo le istruzioni riportate di seguito
Installa Wireshark (per assistenza, vedi Installare Wireshark).
Apri ciascuna acquisizione utilizzando Wireshark, applica un filtro di visualizzazione
wlan.addr == YOUR_DEVICE'S_MAC
e controlla se vengono visualizzati pacchetti.
2. Avvia l'acquisizione
Importante: acquisizione del 4-way handshake
Se la sicurezza è attiva per il Wi-Fi, devi conoscere le chiavi di crittografia per decriptare i pacchetti acquisiti. Le chiavi di crittografia sono ricavate da un handshake a 4 vie che si verifica quando il dispositivo si connette alla rete e sono univoche per ogni connessione tra un dispositivo e il punto di accesso.
Per questo motivo, DEVI acquisire il 4-way handshake per decriptare i payload Wi-Fi. Se il dispositivo è già connesso alla rete quando avvii l'acquisizione, scollegalo e ricollegalo (o riavvialo) quando inizia lo sniffing.
Acquisisci su Mac
Tenendo premuto il tasto Opzione sulla tastiera, fai clic sull'icona WLAN, quindi seleziona "Apri diagnostica wireless...":
Nella barra dei menu Diagnostica wireless, seleziona Finestra > Sniffer.
Imposta il canale e la larghezza sui valori recuperati in precedenza (esempio di screenshot per canale 60 e larghezza 40 MHz):
Premi Start
e inserisci la password. Ora prova a riprodurre il problema.
Assicurati di acquisire l'handshake a 4 vie da una connessione, come indicato in
Acquisizione dell'handshake a 4 vie.
Al termine, premi Stop
. Un nuovo file *.pcap
sarà disponibile in /var/tmp
, che
contiene tutto il traffico. Un nome file di esempio è:
(null)_ch100_2018-11-06_10.52.01.pcap
.
Acquisisci su Linux
Disattiva il Wi-Fi. A questo scopo, puoi:
- Utilizzare la GUI (consigliato)
- Utilizzo dell'interfaccia a riga di comando di Network Manager per indicare di interrompere la gestione dell'interfaccia WLAN:
sudo nmcli dev set <wlan-ifname> managed on
- Se utilizzi un altro gestore di rete, apporta le modifiche necessarie.
Salva questo script. Sostituisci
<wlan-ifname>
con il nome della tua interfaccia Wi-Fi. Questo documento presuppone che il nome dello script siasetup-wifi-capture
.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Esegui lo script precedente e passa il canale e la larghezza di banda massima per annusare, ad esempio il canale 153 con una larghezza di banda di 80 MHz:
./setup-wifi-capture chan 153 80 MHz
Apri Wireshark e ora dovresti essere in grado di acquisire i pacchetti sull'interfaccia wlan.
3. Condividi lo screenshot o il video clip
Utilizza WPA PSK (Raw Key) Generator per generare un hash della password. In questo modo puoi decriptare l'acquisizione senza conoscere la tua password di solo testo.
Devi condividere anche il PSK generato in modo che altri possano decriptare l'acquisizione.
Appendice
Installazione di Wireshark
Puoi installare Wireshark utilizzando apt install Wireshark su Linux o scaricarla online dal sito web di Wireshark.
Configura Wireshark per decriptare il traffico
Questa operazione non è necessaria per la condivisione dei file di acquisizione. Esegui questa operazione solo se vuoi esaminare autonomamente il traffico decriptato in Wireshark.
Con la sicurezza WPA2 sul Wi-Fi, WPA2-PSK non viene utilizzato direttamente per la crittografia e la decriptazione del traffico. Viene utilizzato in un handshake a 4 vie, che devi acquisire per decriptare i pacchetti. Tuttavia, se stai cercando di acquisire soltanto problemi di connessione alla rete Wi-Fi o cali di connettività, che possono essere estratti dai frame di gestione Wi-Fi, non è necessario acquisire l'handshake a 4 vie. In entrambi i casi, non fa male a riprenderlo.
Apri Wireshark e la pagina Preferenze (menu Wireshark > Preferenze o **Cmd+ , **).
Trova la sezione "IEEE 802.11" nella categoria "Protocolli" e assicurati che l'opzione "Abilita decrittografia" sia selezionata:
Fai clic sul pulsante Modifica accanto all'etichetta Chiavi di decrittografia.
Fai clic sul pulsante "+" nell'angolo in basso a sinistra e seleziona l'opzione "wpa-pwd".
Fai clic sulla colonna della chiave della riga appena creata (accanto alla stringa wpa-pwd), digita i valori WPA2 PSK e SSID nel formato
<password>:<ssid>
. Ad esempio, se il nome della tua rete eraMyHomeNetwork
e la tua WPA2 PSK eramyp4ssword
, digitamyp4ssword:MyHomeNetwork
.Fai clic su OK per confermare
Per ulteriori informazioni, consulta la guida ufficiale di Wireshark (con screenshot) all'indirizzo Come decriptare 802.11.
Se utilizzi tshark
, trasmetti i seguenti argomenti:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Colorizza dati Wireshark 802.11
Su metageek.com è disponibile un pratico profilo colore 802.11: Wireshark Configuration Profile.