Ανάλυση πακέτων με το Wireshark

Το Wireshark προσφέρει πολλές χρήσιμες λειτουργίες για την ανάλυση της ασύρματης κυκλοφορίας του δικτύου, συμπεριλαμβανομένων των λεπτομερών του πρωτοκόλλου, των φίλτρων της οθόνης και γενικά της ασύρματης κίνησης.

Το αίτημα για τον έλεγχο της ταυτότητας μπορεί να αποσταλεί είτε με το aireplay-ng είτε με εργαλείο mdk3. Πρέπει να βεβαιωθείτε ότι η κάρτα σας ακούει στο ίδιο κανάλι με το AP που λειτουργεί.

Για Deauthentication με Aireplay-ng, η εντολή είναι:

Εντολή: aireplay-ng -00 -a <BSSID> wlan0mon

Όπου,

  • -0 καθορίζει τον αριθμό των φορών που η επίθεση πρέπει να επαναλάβει και -00 σημαίνει ότι δεν υπάρχει όριο που θα κάνει flood το AP και το σταθμό με deauth frames.
  • -α είναι το BSSID του στόχου.
  • Το wlan0mon είναι το monitor interface σας.

Έναρξη του Wireshark

Ξεκινήστε το Wireshark τρέχοντάς το χωρίς ορίσματα της γραμμής εντολών ως root user και ξεκινήστε μια νέα δέσμη πακέτων πατώντας  Capture | Options. Αυτό θα ανοίξει το πλαίσιο διαλόγου “Wireshark Capture“. Επιλέξτε την ασύρματη διεπαφή που είναι wlan0mon (στην περίπτωσή μας), που έχει τοποθετηθεί σε λειτουργία monitoring, επιλέγοντας το αναπτυσσόμενο πλαίσιο με την ένδειξη “Interface:” και στη συνέχεια, καθορίστε τις επιθυμητές επιλογές λήψης.

Στη συνέχεια, κάντε κλικ στο κουμπί Έναρξη για να ξεκινήσει η δέσμευση των πακέτων. Σε αυτό το σημείο, έχετε ρυθμίσει το σύστημά σας για να καταγράφει ασύρματη κίνηση σε λειτουργία monitoring. Το επόμενο βήμα είναι να χρησιμοποιήσετε τις πληροφορίες που περιέχονται στα πακέτα που συλλαμβάνετε. Ευτυχώς, το Wireshark διαθέτει εξελιγμένους μηχανισμούς ανάλυσης που μπορούν να χρησιμοποιηθούν και για την ανάλυση της ασύρματης κυκλοφορίας.

  Wireshark 3.6.3: αναλυτής πρωτοκόλλων δικτύου

Χρησιμοποιώντας display filters, μπορείτε να εξαιρέσετε την επισκεψιμότητα που σας ενδιαφέρει για να αποκαλύψετε χρήσιμες πληροφορίες ή να αναζητήσετε μια μεγάλη δέσμη πακέτων για ένα συγκεκριμένο σύνολο πληροφοριών.

Για Filtering Deauthentication Frames, το φίλτρο είναι:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 0x0c)
Ή
(wlan.fc.type eq 0) && (wlan.fc.type_subtype eq 0x0c)
Ή
(wlan.fc.type eq 0) ) && (wlan.fc.type_subtype eq 12)

Εδώ, ο τύπος πεδίου του πλαισίου deauth έχει τιμή   ενώ ο “υποτύπος” έχει την τιμή 0x0c (12).

Το πεδίο Type περιλαμβάνεται στην κεφαλίδα ελέγχου wlan.fc.type του πλαισίου και καθορίζει τον τύπο πλαισίου (δεδομένα, διαχείριση ή έλεγχο), ενώ η τιμή πεδίου Type / Subtype περιλαμβάνεται ως μηχανισμός για τον μοναδικό προσδιορισμό του συνδυασμού τύπου και subtype που περιλαμβάνεται στην κεφαλίδα αυτού του frame. Αυτό το πεδίο χρησιμοποιείται συνήθως σε display filters.

Κατά την αξιολόγηση μιας ασύρματης λήψης πακέτων με το Wireshark, είναι σύνηθες να εφαρμόζετε display filters για αναζήτηση ή εξαίρεση συγκεκριμένων πλαισίων, με βάση τα πεδία τύπου του πλαισίου και subtype fields IEEE 802.11 .

Εάν προσπαθείτε να εξαιρέσετε frames από μια καταγραφή, είναι εύκολο να προσδιορίσετε τα πεδία “Type” και “Subtype”, μεταβαίνοντας στο παράθυρο Packet Details και χρησιμοποιώντας τις τιμές για το φίλτρο που σας ενδιαφέρει. Αν ψάχνετε για έναν συγκεκριμένο τύπο frame, θα πρέπει να θυμάστε είτε τις Frame Type και  Subtype values είτε την τιμή συνδυαστικά Type/Subtype που έχει εκχωρηθεί από το Wireshark.

Αντί να απομνημονεύσετε τις τιμές (35+) για διαφορετικούς τύπους frames, σας τους παραθέτουμε εδώ για μεγαλύτερη ευκολία.

  Wireshark 2.2.5: ο καλύτερος αναλυτής πρωτοκόλλων δικτύου
Frame Type/Subtype Filter
Management Frames wlan.fc.type eq 0
Control Frames wlan.fc.type eq 1
Data Frames wlan.fc.type eq 2
Association Request wlan.fc.type_subtype eq 0
Association response wlan.fc.type_subtype eq 1
Reassociation Request wlan.fc.type_subtype eq 2
Reassociation Response wlan.fc.type_subtype eq 3
Probe Request wlan.fc.type_subtype eq 4
Probe Response wlan.fc.type_subtype eq 5
Beacon wlan.fc.type_subtype eq 8
Announcement Traffic Indication MAP (ATIM) wlan.fc.type_subtype eq 9
Disassociate wlan.fc.type_subtype eq 10
Authentication wlan.fc.type_subtype eq 11
Deauthentication wlan.fc.type_subtype eq 12
Action Frames wlan.fc.type_subtype eq 13
Block Acknowledgement (ACK) Request wlan.fc.type_subtype eq 24
Block ACK wlan.fc.type_subtype eq 25
Power-Save Poll wlan.fc.type_subtype eq 26
Request to Send wlan.fc.type_subtype eq 27
Clear to Send wlan.fc.type_subtype eq 28
ACK wlan.fc.type_subtype eq 29
Contention Free Period End wlan.fc.type_subtype eq 30
Contention Free Period End ACK wlan.fc.type_subtype eq 31
Data + Contention Free ACK wlan.fc.type_subtype eq 33
Data + Contention Free Poll wlan.fc.type_subtype eq 34
Data + Contention Free ACK + Contention Free Poll wlan.fc.type_subtype eq 35
NULL Data wlan.fc.type_subtype eq 36
NULL Data + Contention Free ACK wlan.fc.type_subtype eq 37
NULL Data + Contention Free Poll wlan.fc.type_subtype eq 38
NULL Data + Contention Free ACK + Contention Free Poll wlan.fc.type_subtype eq 39
QoS Data wlan.fc.type_subtype eq 40
QoS Data + Contention Free ACK wlan.fc.type_subtype eq 41
QoS Data + Contention Free Poll wlan.fc.type_subtype eq 42
QoS Data + Contention Free ACK + Contention Free Poll wlan.fc.type_subtype eq 43
NULL QoS Data wlan.fc.type_subtype eq 44
NULL QoS Data + Contention Free Poll wlan.fc.type_subtype eq 46
NULL QoS Data + Contention Free ACK + Contention Free Poll wlan.fc.type_subtype eq 47

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


4  +  2  =