Ghi lại lưu lượng truy cập WLAN

Việc chụp gói Wi-Fi cho phép bạn xem các chi tiết và hoạt động tương tác bị che khuất trước khi chúng đến phần mềm chạy trên thiết bị, khiến các gói chụp này trở thành một công cụ quan trọng đối với một số loại lỗi.

Các bước chính bao gồm:

  1. Tìm kênh phù hợp để đánh hơi.
  2. Ghi lại lưu lượng truy cập.
  3. Chia sẻ bản ghi và hàm băm của mật khẩu WLAN.

1. Xác định kênh và chiều rộng phù hợp

Mạng WLAN hoạt động trên:

  • một kênh, thường được gọi bằng một con số. 1-13 dành cho kênh 2,4 GHz, 36-200 dành cho kênh 5 GHz
  • có chiều rộng cụ thể (20Mhz, 40Mhz, 80Mhz, 160MHz)

Mỗi điểm truy cập (ví dụ: bộ định tuyến, nút lưới) trong mạng của bạn thường có một kênh 2,4 GHz và một kênh 5 GHz riêng biệt.Bạn cần tìm xem thiết bị đang kết nối với kênh nào. Có nhiều tùy chọn:

Sử dụng bảng điều khiển của bộ định tuyến

Nếu bạn sử dụng Nest WiFi, hãy bỏ qua tuỳ chọn này – thông tin sẽ không hiển thị.

Hầu hết các bộ định tuyến đều có danh sách các thiết bị đã kết nối và kênh cũng như băng thông mà các thiết bị đó đang sử dụng.

  1. Tìm địa chỉ IP của bộ định tuyến bằng hướng dẫn này.
  2. Truy cập vào địa chỉ của bộ định tuyến trong trình duyệt web, ví dụ: http://192.168.1.1.
  3. Đăng nhập. Bạn không nhớ mật khẩu của mình? Tìm thẻ trên bộ định tuyến hoặc sử dụng Mật khẩu bộ định tuyến.

  4. Tìm trang có tên như "ứng dụng" hoặc "thiết bị đính kèm". Ví dụ: trang bộ định tuyến Netgear có thể có dạng như sau hoặc cho thiết bị Eero.

    Chế độ xem ứng dụng Netgear

  5. Bạn có thể phải tìm ở nơi khác trong phần cài đặt để liên kết thông tin từ bước 4 với một kênh và băng thông cụ thể. Ví dụ: bộ định tuyến Netgear:

    Chế độ xem Netgear Channels

Sử dụng máy Mac nếu máy đã kết nối với cùng một kênh

Giữ phím Option trên bàn phím, sau đó nhấp vào biểu tượng WLAN ở góc trên cùng bên phải trong thanh trạng thái của máy Mac. Bạn sẽ thấy trình đơn WLAN thông thường với một vài tuỳ chọn và thông tin khác. Hãy xem các mục trong trình đơn không hoạt động và tìm mục đề cập đến Kênh:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN trên máy Mac

Không tìm thấy kênh và chiều rộng

Nếu các phương thức khác không hiệu quả, bạn có thể thử:

  1. Liệt kê tất cả các kênh mà AP của bạn đang sử dụng (thường là 2 kênh cho mỗi AP hoặc điểm mắt lưới).

    a. Đề xuất Với điện thoại Android, bạn có thể sử dụng một ứng dụng như Wifiman hoặc Aruba Utilities.

    a. Trên máy Mac, bạn có thể sử dụng /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s để liệt kê các tuỳ chọn.

  2. Thực hiện quay video ngắn (thậm chí chỉ cần 15 giây) trên từng kênh đó theo hướng dẫn bên dưới

  3. Cài đặt Wireshark (để được trợ giúp, hãy xem phần Cài đặt Wireshark).

  4. Mở từng bản ghi bằng Wireshark, áp dụng bộ lọc hiển thị là wlan.addr == YOUR_DEVICE'S_MAC và xem có gói nào xuất hiện hay không.

2. Bắt đầu chụp

Lưu ý quan trọng: Ghi lại quy trình bắt tay 4 bước

Nếu tính năng bảo mật được bật cho Wi-Fi, bạn cần biết các khoá mã hoá để giải mã các gói đã thu được. Khoá mã hoá được lấy từ một quy trình bắt tay 4 chiều xảy ra khi thiết bị kết nối với mạng và là duy nhất cho mỗi kết nối giữa thiết bị và AP.

Do đó, bạn PHẢI ghi lại quy trình bắt tay 4 chiều để giải mã tải trọng Wi-Fi. Nếu thiết bị đã kết nối với mạng khi bạn bắt đầu quá trình thu thập, hãy ngắt kết nối rồi kết nối lại thiết bị (hoặc khởi động lại thiết bị) sau khi quá trình đánh hơi bắt đầu.

Ghi lại trên máy Mac

Trong khi giữ phím Option trên bàn phím, hãy nhấp vào biểu tượng WLAN rồi chọn "Mở Wireless Diagnostics…" (Mở công cụ chẩn đoán mạng không dây):

Tính năng chụp WLAN trên máy Mac

Trên thanh trình đơn Wireless Diagnostics (Chẩn đoán không dây), hãy chọn Window (Cửa sổ) > Sniffer (Trình quan sát):

Trình quan sát WLAN trên máy Mac

Đặt kênh và chiều rộng thành các giá trị mà bạn đã truy xuất trước đó (Ví dụ về ảnh chụp màn hình là cho Kênh 60 và Chiều rộng 40 MHz):

Chiều rộng và kênh WLAN của máy Mac

Nhấn Start rồi nhập mật khẩu của bạn. Bây giờ, hãy thử tái hiện vấn đề. Đảm bảo bạn chụp được bắt tay 4 chiều từ một kết nối như đã lưu ý trong phần Chụp bắt tay 4 chiều.

Khi hoàn tất, hãy nhấn phím Stop. Bạn có thể tìm thấy tệp *.pcap mới trong /var/tmp chứa tất cả lưu lượng truy cập. Tên tệp mẫu là: (null)_ch100_2018-11-06_10.52.01.pcap.

Quay video trên Linux

  1. Tắt Wi-Fi. Bạn có thể thực hiện việc này bằng cách:

    • Sử dụng giao diện người dùng đồ hoạ (nên dùng)
    • Sử dụng CLI của Trình quản lý mạng để yêu cầu ngừng quản lý giao diện WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Nếu bạn sử dụng trình quản lý mạng thay thế, hãy điều chỉnh cho phù hợp.

  2. Lưu tập lệnh này. Thay thế <wlan-ifname> bằng tên giao diện Wi-Fi. Tài liệu này giả định tên tập lệnh là setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Thực thi tập lệnh trước đó và truyền vào kênh và băng thông cao nhất để sniff, ví dụ: kênh 153 có băng thông 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Mở Wireshark và giờ đây, bạn có thể ghi lại các gói trên giao diện wlan.

3. Chia sẻ ảnh chụp

  1. Sử dụng Trình tạo WPA PSK (khoá thô) để tạo hàm băm mật khẩu của bạn. Điều này cho phép bạn giải mã bản ghi mà không cần biết mật khẩu ở dạng văn bản thuần tuý.

  2. Bạn cũng cần chia sẻ PSK đã tạo để người khác có thể giải mã bản ghi.

Phụ lục

Cài đặt Wireshark

Bạn có thể cài đặt Wireshark bằng cách sử dụng apt install wireshark trên Linux hoặc tải xuống trực tuyến từ trang web Wireshark.

Thiết lập Wireshark để giải mã lưu lượng truy cập

Bạn không cần phải làm việc này để chia sẻ tệp ghi lại, chỉ cần làm việc này nếu bạn muốn tự kiểm tra lưu lượng truy cập đã giải mã trong Wireshark.

Với tính năng bảo mật WPA2 trên Wi-Fi, WPA2-PSK không được dùng trực tiếp để mã hoá và giải mã lưu lượng truy cập. Phương thức này được dùng trong giao thức bắt tay 4 chiều mà bạn cần ghi lại để giải mã các gói. Tuy nhiên, nếu tất cả những gì bạn đang cố gắng ghi lại là các vấn đề về việc kết nối với Wi-Fi hoặc sự cố mất kết nối (có thể được thu thập từ các khung quản lý Wi-Fi), thì bạn không cần phải ghi lại thao tác bắt tay 4 chiều. Trong cả hai trường hợp, bạn vẫn nên chụp lại.

Mở Wireshark rồi mở trang Preferences (Tuỳ chọn) (Wireshark menu > Preferences (Trình đơn Wireshark > Tuỳ chọn) hoặc **Cmd + , **).

  1. Tìm mục "IEEE 802.11" trong danh mục "Giao thức" và đảm bảo bạn đã đánh dấu vào mục "Bật giải mã":

    Lựa chọn ưu tiên của Wireshark trên máy Mac

  2. Nhấp vào nút Chỉnh sửa bên cạnh nhãn Khoá giải mã.

  3. Nhấp vào nút "+" ở góc dưới cùng bên trái rồi chọn tuỳ chọn "wpa-pwd".

    WPA và mật khẩu của Wireshark trên máy Mac

  4. Nhấp vào cột khoá của hàng mới tạo (ngay bên cạnh chuỗi wpa-pwd), nhập WPA2 PSK và SSID theo định dạng <password>:<ssid>. Ví dụ: nếu tên mạng của bạn là MyHomeNetwork và WPA2 PSK là myp4ssword, hãy nhập myp4ssword:MyHomeNetwork.

    SSID Wireshark trên máy Mac

  5. Nhấp vào OK để xác nhận

Để biết thêm thông tin, hãy xem hướng dẫn chính thức của Wireshark (có ảnh chụp màn hình) tại Cách giải mã 802.11.

Nếu sử dụng tshark, hãy truyền các đối số sau:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Tô màu dữ liệu Wireshark 802.11

Có một hồ sơ màu 802.11 tiện dụng trên metageek.com: Hồ sơ cấu hình Wireshark.