Процесс анализа беспроводного трафика может быть очень полезен при судебных расследованиях или во время устранения неполадок, и, конечно, это отличный способ самостоятельного изучения (просто чтобы узнать, как приложения и протоколы взаимодействуют друг с другом). Чтобы анализ трафика был возможен, во-первых, этот трафик нужно каким-то образом собирать, и этот процесс известен как анализ трафика. Наиболее часто используемые инструменты для отслеживания трафика — Kismet и Wireshark. Обе эти программы предоставляют версию для Windows, а также для сред Linux.
Для тестирования на проникновение и взлома беспроводных сетей тип данных, которые необходимо собирать, — это BSSID, WEP IV, TKIP IV, CCMP IV, обмен 4-сторонним рукопожатием EAP, кадры беспроводных маяков, MAC-адреса взаимодействующих сторон. и т . д. В дампе беспроводного трафика вам доступно гораздо больше. Большая часть информации, которую вы получите, будет использоваться во всех атаках, представленных в предыдущей главе. Они могут (например) использоваться в качестве входных данных для офлайн-атак, чтобы сломать модели шифрования и аутентификации, используемые при развертывании WLAN.
Использование Wireshark в Windows и Linux очень интуитивно понятно — обе среды предоставляют графический интерфейс, который выглядит одинаково для обеих систем. Когда программа запускается, вам нужно только указать физический интерфейс, который будет использоваться для отслеживания трафика (вы можете выбрать любой интерфейс, как проводной, так и беспроводной), а затем продолжить анализ трафика. Пример беспроводных пакетов, собранных беспроводной картой, показан на следующем снимке экрана.
Схема вывода всегда одинакова — если идти сверху, у вас есть —
-
Поле фильтра — Wireshark оснащен очень хорошим фильтрующим инструментом, который позволяет ограничить вывод трафика в режиме реального времени. Это чрезвычайно полезно, когда вам нужно извлечь определенные потоки (между определенными MAC-адресами или между определенными IP-адресами) из сотен пакетов, приходящих каждую секунду со всех беспроводных клиентов в окружении.
-
Вывод трафика — в этом разделе вы можете видеть все пакеты, которые были обнаружены на беспроводном интерфейсе, один за другим. В этой части вывода вы можете видеть только основную сводку характеристик трафика, таких как — MAC-адреса SRC / DST, протокол (в данном случае Wi-Fi 802.11) и краткую информацию о пакете.
-
Декодированные параметры данных — в этом разделе перечислены все поля, существующие в кадре (все заголовки + данные). Используя пример дампа, мы видим, что некоторый набор информации находится в форме нечитаемых данных (возможно, зашифрованных), и в заголовке 802.11 вы можете найти информацию CCMP (это подтверждает, что трафик зашифрован AES), поэтому это должен быть WPA2. Сеть Wi-Fi.
-
Шестнадцатеричный дамп — шестнадцатеричный дамп — это та же информация, что и у вас выше в «декодированных параметрах данных», но в шестнадцатеричном формате. Причиной этого является то, что шестнадцатеричное представление является оригинальным способом, которым пакет выглядит, но Wireshark имеет тысячи «шаблонов трафика», которые используются для сопоставления определенных значений HEX с известным полем протокола. Например, в заголовке 802.11 байты с 5 по 11 всегда являются источником MAC-адреса беспроводного кадра, используя одно и то же сопоставление с шаблоном, Wireshark (и другие снифферы) может реконструировать и декодировать статический (и хорошо известный) поля протокола.
Поле фильтра — Wireshark оснащен очень хорошим фильтрующим инструментом, который позволяет ограничить вывод трафика в режиме реального времени. Это чрезвычайно полезно, когда вам нужно извлечь определенные потоки (между определенными MAC-адресами или между определенными IP-адресами) из сотен пакетов, приходящих каждую секунду со всех беспроводных клиентов в окружении.
Вывод трафика — в этом разделе вы можете видеть все пакеты, которые были обнаружены на беспроводном интерфейсе, один за другим. В этой части вывода вы можете видеть только основную сводку характеристик трафика, таких как — MAC-адреса SRC / DST, протокол (в данном случае Wi-Fi 802.11) и краткую информацию о пакете.
Декодированные параметры данных — в этом разделе перечислены все поля, существующие в кадре (все заголовки + данные). Используя пример дампа, мы видим, что некоторый набор информации находится в форме нечитаемых данных (возможно, зашифрованных), и в заголовке 802.11 вы можете найти информацию CCMP (это подтверждает, что трафик зашифрован AES), поэтому это должен быть WPA2. Сеть Wi-Fi.
Шестнадцатеричный дамп — шестнадцатеричный дамп — это та же информация, что и у вас выше в «декодированных параметрах данных», но в шестнадцатеричном формате. Причиной этого является то, что шестнадцатеричное представление является оригинальным способом, которым пакет выглядит, но Wireshark имеет тысячи «шаблонов трафика», которые используются для сопоставления определенных значений HEX с известным полем протокола. Например, в заголовке 802.11 байты с 5 по 11 всегда являются источником MAC-адреса беспроводного кадра, используя одно и то же сопоставление с шаблоном, Wireshark (и другие снифферы) может реконструировать и декодировать статический (и хорошо известный) поля протокола.
Вы можете сохранить все свои дампы трафика, используя общий формат .pcap , который впоследствии можно будет использовать в качестве входных данных, например, для сценариев Python, которые выполняют некоторые расширенные операции с собранным трафиком (например, взламывая модели шифрования).
Другой инструмент, о котором вы должны знать, это Kismet . Как только вы запустите инструмент Kismet и укажете интерфейс mon0 , он перечислит все SSID, обнаруженные в вашей среде.
Во время работы Kismet все беспроводные пакеты собираются и сохраняются в файлах .pcap . Когда вы выходите из программы, вы получаете сообщение, что все дампы беспроводных пакетов были сохранены, и вы можете получить к ним доступ позже.
В представленном выше примере все дампы пакетов были сохранены в двоичных файлах (они не в удобочитаемом формате, когда вы открываете эти файлы с помощью «more», «vi» или «nano» и т. Д.).
Чтобы открыть их правильно, вы должны использовать Wireshark (снова!).