Ανάλυση πακέτων με το Wireshark


Το Wireshark προσφέρει πολλές χρήσιμες λειτουργίες για την ανάλυση της ασύρματης κυκλοφορίας του δικτύου, συμπεριλαμβανομένων των λεπτομερών του πρωτοκόλλου, των φίλτρων της οθόνης και γενικά της ασύρματης κίνησης.

Το αίτημα για τον έλεγχο της ταυτότητας μπορεί να αποσταλεί είτε με το aireplay-ng είτε με εργαλείο mdk3. Πρέπει να βεβαιωθείτε ότι η κάρτα σας ακούει στο ίδιο κανάλι με το AP που λειτουργεί.

Για Deauthentication με Aireplay-ng, η εντολή είναι:

Εντολή: aireplay-ng -00 -a <BSSID> wlan0mon

Όπου,

  • -0 καθορίζει τον αριθμό των φορών που η επίθεση πρέπει να επαναλάβει και -00 σημαίνει ότι δεν υπάρχει όριο που θα κάνει flood το AP και το σταθμό με deauth frames.
  • -α είναι το BSSID του στόχου.
  • Το wlan0mon είναι το monitor interface σας.

Έναρξη του Wireshark

Ξεκινήστε το Wireshark τρέχοντάς το χωρίς ορίσματα της γραμμής εντολών ως root user και ξεκινήστε μια νέα δέσμη πακέτων πατώντας  Capture | Options. Αυτό θα ανοίξει το πλαίσιο διαλόγου “Wireshark Capture“. Επιλέξτε την ασύρματη διεπαφή που είναι wlan0mon (στην περίπτωσή μας), που έχει τοποθετηθεί σε λειτουργία monitoring, επιλέγοντας το αναπτυσσόμενο πλαίσιο με την ένδειξη “Interface:” και στη συνέχεια, καθορίστε τις επιθυμητές επιλογές λήψης.

Στη συνέχεια, κάντε κλικ στο κουμπί Έναρξη για να ξεκινήσει η δέσμευση των πακέτων. Σε αυτό το σημείο, έχετε ρυθμίσει το σύστημά σας για να καταγράφει ασύρματη κίνηση σε λειτουργία monitoring. Το επόμενο βήμα είναι να χρησιμοποιήσετε τις πληροφορίες που περιέχονται στα πακέτα που συλλαμβάνετε. Ευτυχώς, το Wireshark διαθέτει εξελιγμένους μηχανισμούς ανάλυσης που μπορούν να χρησιμοποιηθούν και για την ανάλυση της ασύρματης κυκλοφορίας.

Χρησιμοποιώντας display filters, μπορείτε να εξαιρέσετε την επισκεψιμότητα που σας ενδιαφέρει για να αποκαλύψετε χρήσιμες πληροφορίες ή να αναζητήσετε μια μεγάλη δέσμη πακέτων για ένα συγκεκριμένο σύνολο πληροφοριών.

Για Filtering Deauthentication Frames, το φίλτρο είναι:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 0x0c)
Ή
(wlan.fc.type eq 0) && (wlan.fc.type_subtype eq 0x0c)
Ή
(wlan.fc.type eq 0) ) && (wlan.fc.type_subtype eq 12)

Εδώ, ο τύπος πεδίου του πλαισίου deauth έχει τιμή 0  ενώ ο “υποτύπος” έχει την τιμή 0x0c (12).

Το πεδίο Type περιλαμβάνεται στην κεφαλίδα ελέγχου wlan.fc.type του πλαισίου και καθορίζει τον τύπο πλαισίου (δεδομένα, διαχείριση ή έλεγχο), ενώ η τιμή πεδίου Type / Subtype περιλαμβάνεται ως μηχανισμός για τον μοναδικό προσδιορισμό του συνδυασμού τύπου και subtype που περιλαμβάνεται στην κεφαλίδα αυτού του frame. Αυτό το πεδίο χρησιμοποιείται συνήθως σε display filters.

Κατά την αξιολόγηση μιας ασύρματης λήψης πακέτων με το Wireshark, είναι σύνηθες να εφαρμόζετε display filters για αναζήτηση ή εξαίρεση συγκεκριμένων πλαισίων, με βάση τα πεδία τύπου του πλαισίου και subtype fields IEEE 802.11 .

Εάν προσπαθείτε να εξαιρέσετε frames από μια καταγραφή, είναι εύκολο να προσδιορίσετε τα πεδία “Type” και “Subtype”, μεταβαίνοντας στο παράθυρο Packet Details και χρησιμοποιώντας τις τιμές για το φίλτρο που σας ενδιαφέρει. Αν ψάχνετε για έναν συγκεκριμένο τύπο frame, θα πρέπει να θυμάστε είτε τις Frame Type και  Subtype values είτε την τιμή συνδυαστικά Type/Subtype που έχει εκχωρηθεί από το Wireshark.

Αντί να απομνημονεύσετε τις τιμές (35+) για διαφορετικούς τύπους frames, σας τους παραθέτουμε εδώ για μεγαλύτερη ευκολία.

Frame Type/SubtypeFilter
Management Frameswlan.fc.type eq 0
Control Frameswlan.fc.type eq 1
Data Frameswlan.fc.type eq 2
Association Requestwlan.fc.type_subtype eq 0
Association responsewlan.fc.type_subtype eq 1
Reassociation Requestwlan.fc.type_subtype eq 2
Reassociation Responsewlan.fc.type_subtype eq 3
Probe Requestwlan.fc.type_subtype eq 4
Probe Responsewlan.fc.type_subtype eq 5
Beaconwlan.fc.type_subtype eq 8
Announcement Traffic Indication MAP (ATIM)wlan.fc.type_subtype eq 9
Disassociatewlan.fc.type_subtype eq 10
Authenticationwlan.fc.type_subtype eq 11
Deauthenticationwlan.fc.type_subtype eq 12
Action Frameswlan.fc.type_subtype eq 13
Block Acknowledgement (ACK) Requestwlan.fc.type_subtype eq 24
Block ACKwlan.fc.type_subtype eq 25
Power-Save Pollwlan.fc.type_subtype eq 26
Request to Sendwlan.fc.type_subtype eq 27
Clear to Sendwlan.fc.type_subtype eq 28
ACKwlan.fc.type_subtype eq 29
Contention Free Period Endwlan.fc.type_subtype eq 30
Contention Free Period End ACKwlan.fc.type_subtype eq 31
Data + Contention Free ACKwlan.fc.type_subtype eq 33
Data + Contention Free Pollwlan.fc.type_subtype eq 34
Data + Contention Free ACK + Contention Free Pollwlan.fc.type_subtype eq 35
NULL Datawlan.fc.type_subtype eq 36
NULL Data + Contention Free ACKwlan.fc.type_subtype eq 37
NULL Data + Contention Free Pollwlan.fc.type_subtype eq 38
NULL Data + Contention Free ACK + Contention Free Pollwlan.fc.type_subtype eq 39
QoS Datawlan.fc.type_subtype eq 40
QoS Data + Contention Free ACKwlan.fc.type_subtype eq 41
QoS Data + Contention Free Pollwlan.fc.type_subtype eq 42
QoS Data + Contention Free ACK + Contention Free Pollwlan.fc.type_subtype eq 43
NULL QoS Datawlan.fc.type_subtype eq 44
NULL QoS Data + Contention Free Pollwlan.fc.type_subtype eq 46
NULL QoS Data + Contention Free ACK + Contention Free Pollwlan.fc.type_subtype eq 47

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news