Przechwytywanie pakietów Wi-Fi pozwala zobaczyć szczegóły i interakcje, które w inny sposób są zamaskowane, zanim trafią do oprogramowania działającego na urządzeniu. Dzięki temu są one ważne w przypadku niektórych rodzajów błędów.
Najważniejsze z nich:
- Znajdź właściwy kanał, żeby go wciągnąć.
- Przechwytuj ruch
- Udostępnij zapis i skrót hasła do sieci WLAN.
1. Wybieranie odpowiedniego kanału i właściwej szerokości
Sieci WLAN działają na:
- kanału, zwykle oznaczany cyfrą. 1–13 oznacza kanały 2,4 GHz, 36–200 w przypadku kanałów 5 GHz
- o określonej szerokości (20 MHz, 40 MHz, 80 MHz, 160 MHz).
Każdy punkt dostępu (na przykład router czy węzeł sieci typu mesh) w Twojej sieci ma zwykle unikalny kanał 2,4 GHz i 5 GHz.Musisz się dowiedzieć, z którym z nich połączone jest urządzenie. Jest kilka możliwości:
Użyj panelu sterowania routera
Jeśli używasz usługi Nest WiFi, pomiń tę opcję – informacje nie będą widoczne.
Większość routerów ma listę połączonych urządzeń oraz używanych przez nie kanałów i szerokości.
- Znajdź adres IP routera, korzystając z tego przewodnika.
- Otwórz adres routera w przeglądarce, na przykład http://192.168.1.1.
- Zaloguj się. Nie pamiętasz swojego hasła? Poszukaj tagu na routerze lub użyj haseł do routera.
Poszukaj strony o nazwie np. „klienty” lub „podłączone urządzenia”. Na przykład strona routera Netgear może wyglądać tak jak poniżej lub w przypadku urządzeń Eero.
Konieczne może być znalezienie w innych ustawieniach ustawień, aby zmapować informacje z kroku 4 na konkretny kanał i przepustowość. Na przykład router Netgear:
Użyj Maca, jeśli jest już podłączony do tego samego kanału.
Przytrzymaj Option na klawiaturze, a następnie kliknij ikonę WLAN w prawym górnym rogu paska stanu Maca. Powinno pojawić się zwykłe menu WLAN z kilkoma opcjami i informacjami. Spójrz na niedostępne pozycje w menu i poszukaj tej, która wspomina o kanale:
`Channel 60 (DFS, 5GHz, 40MHz)`
Nie udało się znaleźć kanału ani szerokości
Jeśli inne metody nie zadziałają, możesz spróbować:
Wymień wszystkie kanały, z których korzystają Twoi punkt dostępu (zwykle 2 dla każdego punktu AP lub sieci typu mesh).
a. Zalecane na telefonie z Androidem możesz korzystać z aplikacji takich jak Wifiman czy Aruba Utilities.
a. Na Macu możesz użyć
/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s
, aby wyświetlić listę opcji.Zrób krótki filmik (nawet 15 sekund) na każdym z tych kanałów, postępując zgodnie z instrukcjami poniżej.
Zainstaluj Wireshark (pomoc znajdziesz w artykule Instalowanie Wireshark).
Otwórz każdy zapis w programie Wireshark, zastosuj filtr wyświetlania
wlan.addr == YOUR_DEVICE'S_MAC
i sprawdź, czy się pojawiły.
2. Rozpocznij przechwytywanie
Ważne: przechwytywanie procesu uzgadniania połączenia 4-kierunkowego
Jeśli zabezpieczenia Wi-Fi są włączone, musisz znać klucze szyfrowania, aby odszyfrować przechwycone pakiety. Klucze szyfrowania powstają w wyniku 4-kierunkowego uzgadniania połączenia, które ma miejsce, gdy urządzenie łączy się z siecią, i są unikalne dla każdego połączenia między urządzeniem a punktem dostępu.
Z tego powodu MUSISZ przechwycić procedurę „4-way handshake”, aby odszyfrować ładunki Wi-Fi. Jeśli w momencie rozpoczęcia przechwytywania urządzenie jest już połączone z siecią, odłącz i podłącz je ponownie (lub zrestartuj) po rozpoczęciu nasłuchiwania.
Zrób zdjęcie na Macu
Przytrzymując klawisz Option na klawiaturze, kliknij ikonę WLAN, a następnie wybierz „Otwórz diagnostykę sieci bezprzewodowej...”:
Na pasku menu Diagnostyka bezprzewodowa wybierz Okno > Sniffer:
Ustaw kanał i szerokość na wcześniej odczytywane wartości (przykład ze zrzutem ekranu dotyczy kanału 60 i szerokości 40 MHz):
Naciśnij Start
i wpisz hasło. Teraz spróbuj odtworzyć problem.
Upewnij się, że przechwycono procedurę 4-way handshake, zgodnie z opisem w sekcji Rejestrowanie 4-way handshake.
Gdy skończysz, naciśnij Stop
. W interfejsie /var/tmp
znajdziesz nowy plik *.pcap
zawierający cały ruch. Przykładowa nazwa pliku: (null)_ch100_2018-11-06_10.52.01.pcap
.
Robienie zdjęć w systemie Linux
Wyłącz Wi-Fi. Aby to zrobić:
- Korzystanie z GUI (zalecane)
- Używanie interfejsu wiersza poleceń sieci menedżera w celu zakończenia zarządzania interfejsem WLAN:
sudo nmcli dev set <wlan-ifname> managed on
- Jeśli używasz innego menedżera sieci, odpowiednio dostosuj ustawienia.
Zapisz ten skrypt. Zastąp
<wlan-ifname>
nazwą interfejsu Wi-Fi. W tym dokumencie założono, że nazwa skryptu tosetup-wifi-capture
.#!/usr/bin/env bash sudo ifconfig <wlan-ifname> down sudo rfkill unblock wifi sudo iwconfig <wlan-ifname> mode monitor sudo ifconfig <wlan-ifname> up sudo iw dev <wlan-ifname> set channel $@
Wykonaj poprzedni skrypt i przekaż go w kanale o największej przepustowości na potrzeby wędkowania, np. na kanale 153 z pasmem 80 MHz:
./setup-wifi-capture chan 153 80 MHz
Otwórz program Wireshark. Przechwytywanie pakietów powinno być teraz możliwe w interfejsie Wlan.
3. Udostępnij zapis
Użyj generatora WPA PSK (nieprzetworzonego klucza), aby wygenerować hasz hasła. Dzięki temu możesz odszyfrować zapis bez znajomości hasła zapisanego w postaci zwykłego tekstu.
Musisz też udostępnić wygenerowany klucz PSK, aby inne osoby mogły go odszyfrować.
Dodatek
Instalowanie Wiresharka
Możesz zainstalować program Wireshark za pomocą polecenia apt Zainstaluj Wireshark w systemie Linux lub pobrać go online z witryny Wireshark.
Skonfiguruj Wireshark do odszyfrowywania ruchu
Nie jest to konieczne do udostępniania plików przechwytywania. Zrób to tylko wtedy, gdy chcesz samodzielnie zbadać odszyfrowany ruch w Wireshark.
Dzięki zabezpieczeniom WPA2 w sieci Wi-Fi standard WPA2-PSK nie jest bezpośrednio używany do szyfrowania i odszyfrowywania ruchu. Jest on używany w ramach uzgadniania połączenia 4-kierunkowego, które trzeba przechwycić, aby odszyfrować pakiety. Jeśli jednak próbujesz zarejestrować tylko problemy z połączeniem z Wi-Fi lub spadkiem połączenia, które można odczytać za pomocą ramek zarządzania Wi-Fi, nie musisz rejestrować 4-kierunkowego uzgadniania połączenia. W obu przypadkach zarejestrowanie i tak nie zaszkodzi.
Otwórz Wireshark i otwórz stronę Preferencje (menu Wireshark > Preferencje lub **Cmd + , **).
Znajdź sekcję „IEEE 802.11” w kategorii „Protokoły” i upewnij się, że jest zaznaczona opcja „Włącz odszyfrowywanie”:
Kliknij przycisk Edytuj obok etykiety Klucze odszyfrowywania.
Kliknij przycisk „+” w lewym dolnym rogu i wybierz opcję „wpa-pwd”.
Kliknij kolumnę klucza nowo utworzonego wiersza (tuż obok ciągu wpa-pwd) i wpisz swój klucz WPA2 PSK i identyfikator SSID w formacie
<password>:<ssid>
. Jeśli na przykład nazwa sieci toMyHomeNetwork
, a stan WPA2 PSK tomyp4ssword
, wpiszmyp4ssword:MyHomeNetwork
.Kliknij OK, aby potwierdzić.
Więcej informacji znajdziesz w oficjalnym przewodniku Wiresharka (ze zrzutami ekranu) w artykule Jak odszyfrować 802.11.
Jeśli używasz funkcji tshark
, przekaż te argumenty:
tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'
Dane Colorize Wireshark 802.11
Na stronie metageek.com dostępny jest przydatny profil kolorów 802.11: profil konfiguracji Wireshark.