Ανάλυση πακέτων με το Wireshark

Το Wireshark προσφέρει πολλές χρήσιμες λειτουργίες για την ανάλυση της ασύρματης κυκλοφορίας του δικτύου, συμπεριλαμβανομένων των λεπτομερών του πρωτοκόλλου, των φίλτρων της οθόνης και γενικά της ασύρματης κίνησης.

Το αίτημα για τον έλεγχο της ταυτότητας μπορεί να αποσταλεί είτε με το aireplay-ng είτε με εργαλείο mdk3. Πρέπει να βεβαιωθείτε ότι η κάρτα σας ακούει στο ίδιο κανάλι με το AP που λειτουργεί.

Για Deauthentication με Aireplay-ng, η εντολή είναι:

Εντολή: aireplay-ng -00 -a <BSSID> wlan0mon

Όπου,

• -0 καθορίζει τον αριθμό των φορών που η επίθεση πρέπει να επαναλάβει και -00 σημαίνει ότι δεν υπάρχει όριο που θα κάνει flood το AP και το σταθμό με deauth frames.
• -α είναι το BSSID του στόχου.
• Το wlan0mon είναι το monitor interface σας.

Έναρξη του Wireshark

Ξεκινήστε το Wireshark τρέχοντάς το χωρίς ορίσματα της γραμμής εντολών ως root user και ξεκινήστε μια νέα δέσμη πακέτων πατώντας  Capture | Options. Αυτό θα ανοίξει το πλαίσιο διαλόγου “Wireshark Capture“. Επιλέξτε την ασύρματη διεπαφή που είναι wlan0mon (στην περίπτωσή μας), που έχει τοποθετηθεί σε λειτουργία monitoring, επιλέγοντας το αναπτυσσόμενο πλαίσιο με την ένδειξη “Interface:” και στη συνέχεια, καθορίστε τις επιθυμητές επιλογές λήψης.

Στη συνέχεια, κάντε κλικ στο κουμπί Έναρξη για να ξεκινήσει η δέσμευση των πακέτων. Σε αυτό το σημείο, έχετε ρυθμίσει το σύστημά σας για να καταγράφει ασύρματη κίνηση σε λειτουργία monitoring. Το επόμενο βήμα είναι να χρησιμοποιήσετε τις πληροφορίες που περιέχονται στα πακέτα που συλλαμβάνετε. Ευτυχώς, το Wireshark διαθέτει εξελιγμένους μηχανισμούς ανάλυσης που μπορούν να χρησιμοποιηθούν και για την ανάλυση της ασύρματης κυκλοφορίας.

Χρησιμοποιώντας display filters, μπορείτε να εξαιρέσετε την επισκεψιμότητα που σας ενδιαφέρει για να αποκαλύψετε χρήσιμες πληροφορίες ή να αναζητήσετε μια μεγάλη δέσμη πακέτων για ένα συγκεκριμένο σύνολο πληροφοριών.

Για Filtering Deauthentication Frames, το φίλτρο είναι:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 0x0c)
Ή
(wlan.fc.type eq 0) && (wlan.fc.type_subtype eq 0x0c)
Ή
(wlan.fc.type eq 0) ) && (wlan.fc.type_subtype eq 12)

Εδώ, ο τύπος πεδίου του πλαισίου deauth έχει τιμή 0  ενώ ο “υποτύπος” έχει την τιμή 0x0c (12).

Το πεδίο Type περιλαμβάνεται στην κεφαλίδα ελέγχου wlan.fc.type του πλαισίου και καθορίζει τον τύπο πλαισίου (δεδομένα, διαχείριση ή έλεγχο), ενώ η τιμή πεδίου Type / Subtype περιλαμβάνεται ως μηχανισμός για τον μοναδικό προσδιορισμό του συνδυασμού τύπου και subtype που περιλαμβάνεται στην κεφαλίδα αυτού του frame. Αυτό το πεδίο χρησιμοποιείται συνήθως σε display filters.

Κατά την αξιολόγηση μιας ασύρματης λήψης πακέτων με το Wireshark, είναι σύνηθες να εφαρμόζετε display filters για αναζήτηση ή εξαίρεση συγκεκριμένων πλαισίων, με βάση τα πεδία τύπου του πλαισίου και subtype fields IEEE 802.11 .

Εάν προσπαθείτε να εξαιρέσετε frames από μια καταγραφή, είναι εύκολο να προσδιορίσετε τα πεδία “Type” και “Subtype”, μεταβαίνοντας στο παράθυρο Packet Details και χρησιμοποιώντας τις τιμές για το φίλτρο που σας ενδιαφέρει. Αν ψάχνετε για έναν συγκεκριμένο τύπο frame, θα πρέπει να θυμάστε είτε τις Frame Type και  Subtype values είτε την τιμή συνδυαστικά Type/Subtype που έχει εκχωρηθεί από το Wireshark.

Αντί να απομνημονεύσετε τις τιμές (35+) για διαφορετικούς τύπους frames, σας τους παραθέτουμε εδώ για μεγαλύτερη ευκολία.