Kablosuz Güvenlik - Trafik Analizi
Kablosuz trafik analizi süreci, adli araştırmalarda veya sorun giderme sırasında çok yardımcı olabilir ve elbette bu, kendi kendine çalışmanın harika bir yoludur (sadece uygulamaların ve protokollerin birbirleriyle nasıl iletişim kurduğunu öğrenmek için). Trafik analizinin yapılabilmesi için öncelikle bu trafiğin bir şekilde toplanması gerekir ve bu işlem trafik koklama olarak bilinir. Trafik koklamak için en yaygın kullanılan araçlar Kismet ve Wireshark'tır. Her iki program da Windows ve Linux ortamları için bir sürüm sağlar.
Kablosuz ağların sızma testi ve hacklenmesi amacıyla, toplanması değerli olan veri türleri şunlardır: BSSID, WEP IV, TKIP IV, CCMP IV, EAP 4-way handshake exchange, wireless beacon frames, MAC addresses of communicating parties, etc. Kablosuz trafiğin çöplüğünde sizin için çok daha fazlası var. Elde edeceğiniz bilgilerin çoğu, son bölümde sunulan tüm saldırılarda kullanılacaktır. WLAN dağıtımında kullanılan şifreleme ve kimlik doğrulama modellerini kırmak için (örneğin) çevrimdışı kaba kuvvet saldırılarına girdi olarak kullanılabilirler.
Wireshark'ın hem Windows hem de Linux'ta kullanımı çok sezgiseldir - her iki ortam da her iki sistem için de aynı görünen bir GUI sağlar. Program başladığında, yalnızca trafik koklama için kullanılacak fiziksel arayüzü belirtmeniz (kablolu veya kablosuz olan herhangi bir arabirimi seçebilirsiniz) ve ardından trafik koklamaya devam etmeniz gerekir. Bir kablosuz kart tarafından toplanan kablosuz paket örnekleri aşağıdaki ekran görüntüsünde gösterilmektedir.
Çıktının düzeni her zaman aynıdır - üstten başlayarak, sizde -
Filter Field- Wireshark, gerçek zamanlı trafik çıktısını sınırlandırmaya izin veren çok iyi bir filtreleme aracı ile donatılmıştır. Her saniye çevredeki tüm kablosuz istemcilerden gelen yüzlerce paketten belirli akışları (belirli bir MAC adresleri arasında veya belirli IP adresleri arasında) çıkarmanız gerektiğinde son derece kullanışlıdır.
Traffic Output- Bu bölümde, kablosuz arayüzde koklanan tüm paketleri tek tek görebilirsiniz. Çıktının bu bölümünde, aşağıdaki gibi trafik özelliklerinin yalnızca temel bir özetini görebilirsiniz:SRC/DST MAC Addresses, Protocol (Wi-Fi 802.11 in this case) ve bir paket hakkında kısa bir bilgi.
Decoded Parameters of the Data- Bu bölüm, bir çerçevede bulunan tüm alanları (tüm başlıklar + veriler) listeler. Örnek bir döküm kullanarak, bazı bilgi kümelerinin okunamayan veriler (muhtemelen şifrelenmiş) biçiminde olduğunu ve 802.11 başlığında CCMP bilgilerini bulabileceğinizi görebiliriz (trafiğin AES şifreli olduğunu doğrular), bu nedenle WPA2 olması gerekir Wi-Fi ağı.
Hex Dump- Onaltılık Dökümü, yukarıda "verilerin kodu çözülmüş parametrelerinde" sahip olduğunuz bilgiyle tamamen aynıdır, ancak onaltılık bir formattadır. Bunun nedeni, onaltılık gösterim paketin orijinal şeklidir, ancak Wireshark, belirli HEX değerlerini bilinen bir protokol alanına eşlemek için kullanılan binlerce "trafik şablonuna" sahiptir. Örneğin, bir 802.11 başlığında 5'ten 11'e kadar baytlar her zaman kablosuz çerçevenin MAC adresinin kaynağıdır, aynı desen eşlemesini kullanarak Wireshark (ve diğer algılayıcılar) statik (ve iyi bilinen) yeniden oluşturabilir ve kodunu çözebilir. protokol alanları.
Ortak kullanarak tüm trafik dökümlerinizi kaydedebilirsiniz. .pcap Daha sonra, örneğin toplanan trafik üzerinde bazı gelişmiş işlemleri gerçekleştiren python komut dosyalarına girdi olarak kullanılabilecek biçim (örneğin, şifreleme modellerini kırmak).
Bilmeniz gereken diğer araç ise Kismet. Kısmet aracınızı başlatır başlatmaz vemon0 arabirim, ortamınızda tespit edilen tüm SSID'leri listeleyecektir.
Kısmet'in çalıştığı süre boyunca, tüm kablosuz paketler toplanır ve .pcapDosyalar. Bir programdan çıktığınızda, tüm kablosuz paket dökümlerinin kaydedildiğini ve daha sonra bunlara erişebileceğinizi belirten bir mesaj alırsınız.
Yukarıda sunulan örnekte, tüm paket dökümleri ikili dosyalarda saklanmıştır (bu dosyaları "daha fazla" veya "vi" veya "nano" vb. İle açtığınızda okunabilir bir formatta değildirler).
Bunları doğru bir şekilde açmak için Wireshark'ı (tekrar!) Kullanmanız gerekir.