Το Wireshark προσφέρει πολλές χρήσιμες λειτουργίες για την ανάλυση της ασύρματης κυκλοφορίας του δικτύου, συμπεριλαμβανομένων των λεπτομερών του πρωτοκόλλου, των φίλτρων της οθόνης και γενικά της ασύρματης κίνησης.
Το αίτημα για τον έλεγχο της ταυτότητας μπορεί να αποσταλεί είτε με το aireplay-ng είτε με εργαλείο mdk3. Πρέπει να βεβαιωθείτε ότι η κάρτα σας ακούει στο ίδιο κανάλι με το AP που λειτουργεί.
Για Deauthentication με Aireplay-ng, η εντολή είναι:
Εντολή: aireplay-ng -00 -a <BSSID> wlan0mon
Όπου,
- -0 καθορίζει τον αριθμό των φορών που η επίθεση πρέπει να επαναλάβει και -00 σημαίνει ότι δεν υπάρχει όριο που θα κάνει flood το AP και το σταθμό με deauth frames.
- -α είναι το BSSID του στόχου.
- Το wlan0mon είναι το monitor interface σας.
Έναρξη του Wireshark
Ξεκινήστε το Wireshark τρέχοντάς το χωρίς ορίσματα της γραμμής εντολών ως root user και ξεκινήστε μια νέα δέσμη πακέτων πατώντας Capture | Options. Αυτό θα ανοίξει το πλαίσιο διαλόγου “Wireshark Capture“. Επιλέξτε την ασύρματη διεπαφή που είναι wlan0mon (στην περίπτωσή μας), που έχει τοποθετηθεί σε λειτουργία monitoring, επιλέγοντας το αναπτυσσόμενο πλαίσιο με την ένδειξη “Interface:” και στη συνέχεια, καθορίστε τις επιθυμητές επιλογές λήψης.
Στη συνέχεια, κάντε κλικ στο κουμπί Έναρξη για να ξεκινήσει η δέσμευση των πακέτων. Σε αυτό το σημείο, έχετε ρυθμίσει το σύστημά σας για να καταγράφει ασύρματη κίνηση σε λειτουργία monitoring. Το επόμενο βήμα είναι να χρησιμοποιήσετε τις πληροφορίες που περιέχονται στα πακέτα που συλλαμβάνετε. Ευτυχώς, το Wireshark διαθέτει εξελιγμένους μηχανισμούς ανάλυσης που μπορούν να χρησιμοποιηθούν και για την ανάλυση της ασύρματης κυκλοφορίας.
Χρησιμοποιώντας display filters, μπορείτε να εξαιρέσετε την επισκεψιμότητα που σας ενδιαφέρει για να αποκαλύψετε χρήσιμες πληροφορίες ή να αναζητήσετε μια μεγάλη δέσμη πακέτων για ένα συγκεκριμένο σύνολο πληροφοριών.
Για Filtering Deauthentication Frames, το φίλτρο είναι:
(wlan.fc.type == 0) && (wlan.fc.type_subtype == 0x0c)
Ή
(wlan.fc.type eq 0) && (wlan.fc.type_subtype eq 0x0c)
Ή
(wlan.fc.type eq 0) ) && (wlan.fc.type_subtype eq 12)
Εδώ, ο τύπος πεδίου του πλαισίου deauth έχει τιμή 0 ενώ ο “υποτύπος” έχει την τιμή 0x0c (12).
Το πεδίο Type περιλαμβάνεται στην κεφαλίδα ελέγχου wlan.fc.type του πλαισίου και καθορίζει τον τύπο πλαισίου (δεδομένα, διαχείριση ή έλεγχο), ενώ η τιμή πεδίου Type / Subtype περιλαμβάνεται ως μηχανισμός για τον μοναδικό προσδιορισμό του συνδυασμού τύπου και subtype που περιλαμβάνεται στην κεφαλίδα αυτού του frame. Αυτό το πεδίο χρησιμοποιείται συνήθως σε display filters.
Κατά την αξιολόγηση μιας ασύρματης λήψης πακέτων με το Wireshark, είναι σύνηθες να εφαρμόζετε display filters για αναζήτηση ή εξαίρεση συγκεκριμένων πλαισίων, με βάση τα πεδία τύπου του πλαισίου και subtype fields IEEE 802.11 .
Εάν προσπαθείτε να εξαιρέσετε frames από μια καταγραφή, είναι εύκολο να προσδιορίσετε τα πεδία “Type” και “Subtype”, μεταβαίνοντας στο παράθυρο Packet Details και χρησιμοποιώντας τις τιμές για το φίλτρο που σας ενδιαφέρει. Αν ψάχνετε για έναν συγκεκριμένο τύπο frame, θα πρέπει να θυμάστε είτε τις Frame Type και Subtype values είτε την τιμή συνδυαστικά Type/Subtype που έχει εκχωρηθεί από το Wireshark.
Αντί να απομνημονεύσετε τις τιμές (35+) για διαφορετικούς τύπους frames, σας τους παραθέτουμε εδώ για μεγαλύτερη ευκολία.
Frame Type/Subtype | Filter |
Management Frames | wlan.fc.type eq 0 |
Control Frames | wlan.fc.type eq 1 |
Data Frames | wlan.fc.type eq 2 |
Association Request | wlan.fc.type_subtype eq 0 |
Association response | wlan.fc.type_subtype eq 1 |
Reassociation Request | wlan.fc.type_subtype eq 2 |
Reassociation Response | wlan.fc.type_subtype eq 3 |
Probe Request | wlan.fc.type_subtype eq 4 |
Probe Response | wlan.fc.type_subtype eq 5 |
Beacon | wlan.fc.type_subtype eq 8 |
Announcement Traffic Indication MAP (ATIM) | wlan.fc.type_subtype eq 9 |
Disassociate | wlan.fc.type_subtype eq 10 |
Authentication | wlan.fc.type_subtype eq 11 |
Deauthentication | wlan.fc.type_subtype eq 12 |
Action Frames | wlan.fc.type_subtype eq 13 |
Block Acknowledgement (ACK) Request | wlan.fc.type_subtype eq 24 |
Block ACK | wlan.fc.type_subtype eq 25 |
Power-Save Poll | wlan.fc.type_subtype eq 26 |
Request to Send | wlan.fc.type_subtype eq 27 |
Clear to Send | wlan.fc.type_subtype eq 28 |
ACK | wlan.fc.type_subtype eq 29 |
Contention Free Period End | wlan.fc.type_subtype eq 30 |
Contention Free Period End ACK | wlan.fc.type_subtype eq 31 |
Data + Contention Free ACK | wlan.fc.type_subtype eq 33 |
Data + Contention Free Poll | wlan.fc.type_subtype eq 34 |
Data + Contention Free ACK + Contention Free Poll | wlan.fc.type_subtype eq 35 |
NULL Data | wlan.fc.type_subtype eq 36 |
NULL Data + Contention Free ACK | wlan.fc.type_subtype eq 37 |
NULL Data + Contention Free Poll | wlan.fc.type_subtype eq 38 |
NULL Data + Contention Free ACK + Contention Free Poll | wlan.fc.type_subtype eq 39 |
QoS Data | wlan.fc.type_subtype eq 40 |
QoS Data + Contention Free ACK | wlan.fc.type_subtype eq 41 |
QoS Data + Contention Free Poll | wlan.fc.type_subtype eq 42 |
QoS Data + Contention Free ACK + Contention Free Poll | wlan.fc.type_subtype eq 43 |
NULL QoS Data | wlan.fc.type_subtype eq 44 |
NULL QoS Data + Contention Free Poll | wlan.fc.type_subtype eq 46 |
NULL QoS Data + Contention Free ACK + Contention Free Poll | wlan.fc.type_subtype eq 47 |