Доброго времени суток! Как и сказано в шапке, речь пойдет о перехвате трафика Wi-Fi сети. Для перехвата будем использовать утилиту Wireshark которя является абсолютно бесплатной и довльно удобной в использовании, так же стоит сказать что Windows не подходит для работы с Wireshark ибо это тот еще гемор. Рекомендую использовать такие ОС как Linux, Kali Linux, Parrot Security, кстати в Parrot Security и Kali Linux Wireshark предустановлен. Не будем тянуть, преступим. Первый шаг Для начала нам стоит включить режим мониторинга Wi-Fi адаптера. Этот режим нужен для того чтобы видеть весь трафик. Ниже предоставлены спойлеры, в которых описаны команды активации мониторинга для следующих ОС: Parrot Security В Parrot Security команда будет выглядеть так: $sudo airmon-ng start wlan0 Code $sudo airmon-ng start wlan0 Вводим пароль (или нет, получаем такое окошко, готово Kali Linux Для Kali Linux команда активации режима мониторинга выглядит следующим образом: root@kali:~#ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up Code root@kali:~#ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up Далее проверяем переключилась ли карта в режим мониторинга с помощью команды: root@kali:~#iwconfig Code root@kali:~#iwconfig Получаем такое сообщение: Первый запуск и настройка Wireshark При запуске утилиты мы видим следующее: Выбираем нужный нам режим захвата, в нашем случае кликаем на wlan0mon После запуска сразу же начнеться захват пакетов, пока остановим нажав на красный квадрат в левом верхем углу. В целом интерфейс программы интуитивно понятен, сразу приступим к необходимым настройкам. Для большего удобства использования утилиты добавим несколько столбцов для этого перейдем в Edit -> Preferences -> Appearance -> Columns, далее нажимаем на плюс, в разделе Title пишем Channel, Type Custom, Fields wlan.radio.channel, Теперь в отдельной колонке нам будет показывать канал, в котором перехвачен пакет. Создадим еще 1 колонку, Title Signal Stranght, Type Custom, Fields wlan_radio.signal_dbm. Эта колонка будет показывать мощность сигнала в канале в момент перехвата пакета. Начало работы Не секрет что пакеты приходят зашифрованными, и для удобной роботы с ними требуеться выполнить 3 пункта: Расшифровать Преоброзавать в понятный для вас вид Проанализировать полученные данные Для расшифроки нам понадобиться перехватить "четырёхэтапное рукопожатие". Смотрим спойлеры ниже Рукопожатие Parrot Security Зная канал выбранной точки доступа прописываем команду: $sudo airodump-ng wlan0mon --channel 11 --write cheklist Code $sudo airodump-ng wlan0mon --channel 11 --write cheklist где write, это указание на файл в который будет сохранятся захваченый трафик. После требуется переподключение выбранной точки доступа для захвата рукопожатий, ждать мы не будем, инициируем переподключение вручную с помощью следующей команды: $sudo aireplay-ng --deauth 100 -a 20:25:64:16:58:8C wlan0mon Code $sudo aireplay-ng --deauth 100 -a 20:25:64:16:58:8C wlan0mon где deauth, это количество отправленных пакетов, -a 20:25:64:16:58:8C это MAC-адрес целевой точки доступа. После вышеперечисленных действий, при успешном захвате рукопожатий мы получим надпись WPA handshake: 20:25:64:16:58:8C. Рукопожатие Kali Linux Вводим команду для просмотра точек доступа: airodump-ng wlan0mon Code airodump-ng wlan0mon Далее смотрим канал и прописываем соответствующую команду: airodump-ng wlan0mon --channel 1 -w cap2 Code airodump-ng wlan0mon --channel 1 -w cap2 После ключа -w идёт префикс файла cap2 (это имя без расширения). В этот файл будет записано захваченное рукопожатие. Далее для перехвата трафика нужно ждать переподключения к сети выбранного устройства, но мы ждать не любим поэтому мы поможем ему переподключиться с помощью команды aireplay-ng -0 5 -a 20:25:64:16:58:8C wlan0mon Code aireplay-ng -0 5 -a 20:25:64:16:58:8C wlan0mon Здесь -0 означает деаутентификация, 5 означает количество отправленных пакетов, -a 20:25:64:16:58:8C это MAC-адрес целевой точки доступа. После вышеперечисленных действий, при успешном захвате рукопожатий мы получим надпись WPA handshake: 20:25:64:16:58:8C. Рукопожатия захвачены После успешного захвата рукопожатий проверяем все ли в порядке, открываем Wireshark и в tool-bar прописываем eapol После чего вы должны увидеть следующее: Когда мы убедилисись что рукопожатия у нас, стоит сделать следующее перейдем в Edit -> Preferences -> Protocols -> IEEE 802.11. После чего стоит убедиться что стоит галочка в поле Enable decryption. Далее нажимаем Edit в поле Decryption keys, в появившемся окне нажимаем на плюс, выбираем wpa-pwd и в колонке Key прописываем пароль от Wi-Fi сети. После этих действий захваченый трафик преобретает более понятный вид, и с этими данными уже можно работать. Все вышесказанное на примере скриншотов в программе: Завершение роботы После того как вы перехватили достаточное для вас количество трафика, останавливаете захват нажимаете file -> save, если вы нажимали это несколько раз то стоит объединить файлы с трафиком в один для удобства, чтобы это сделать нажимаем file ->Merge Вывод: Таким образом, я показал на практике, использование утилиты Wireshark на примере двух ОС. Выше я описал азы работы с программой, так же если будет интерес к этой теме дополню пунктом "ключевые слова/команды" для поиска конкретной информации. Всем спасибо! P. S. извеняюсь за качество изображений