Как перехватить все пакеты в локальной сети Wi-Fi с помощью настроек Wireshark -
Я пытаюсь воспроизвести настройку "wifi cafe" в домашней лаборатории. Я хотел бы продемонстрировать, что незашифрованный (не HTTPS) сетевой трафик в сети Wi-Fi может просматриваться другими беспроводными устройствами. Я видел это в действии (аля firesheep) в проводной сети.
У меня есть Wireshark, настроенный правильно для захвата на беспроводном интерфейсе. Я также могу видеть и захватывать пакеты 802.11, используя режим монитора, но я не могу видеть их содержимое.
Какие настройки мне не хватает, или мне нужно декодировать пароль WPA2 для просмотра данных?
Если мне нужна фраза-пароль, она у меня есть (учитывая, что это моя лабораторная сеть). Если это так, существует ли программное обеспечение для дешифрования данных после их записи?
Обновление для контекста и дополнительная информация для @Leo:
Когда я начал этот процесс, я использовал беспорядочный режим на интерфейсе en0 (беспроводной) на MacBook Air. Мне удалось обнаружить сетевой трафик с моего локального компьютера по соответствующему URL-адресу, но при просмотре того же URL-адреса с другого устройства я не смог увидеть трафик этого устройства.
Это имело смысл, так как я следил за локальным интерфейсом, а трафик с целевого устройства не проходил через мой интерфейс на macbook. (Это имеет смысл, несмотря на то, что я находился в случайном режиме, трафик был между точкой доступа (точкой доступа) и целевым беспроводным клиентом.)
Я также наблюдал в режиме Ethernet.
Затем я переключился в режим мониторинга для этого интерфейса (см. Скриншот № 3), и все, что я мог видеть, это радио-трафик, а не IP-адрес в этом радио-трафике. Было предупреждение о том, что некоторые сетевые карты будут разъединяться в режиме мониторинга, что имеет смысл.
Однако, если я могу видеть радио-трафик, я бы ожидал увидеть весь радио-трафик, который, таким образом, содержал бы весь IP, даже если он был зашифрован. Таким образом, я бы посчитал возможным расшифровать радиопакеты между целевым клиентом и точкой доступа, учитывая правильную беспроводную фразу-пароль (что опять же у меня есть). Возможно, мне что-то не хватает в моем понимании потока данных здесь?...
1 ответ
Хорошо. После ваших комментариев и обновлений я постараюсь ответить, хотя я все еще не уверен, что правильно понял вопрос.
Я предполагаю, что у вас есть 2 устройства WiFi, давайте назовем "host" законное сетевое устройство, подключенное к точке доступа / маршрутизатору, и "sniffer", которое пытается захватить трафик.
Если сеть Wi-Fi была открыта (как, например, без шифрования), то вы могли бы просто "услышать" с помощью сниффера в режиме монитора / случайного.
Увы, сеть Wi-Fi зашифрована, поэтому вам, как правило, потребуется сначала отслеживать трафик, чтобы взломать это шифрование (WEP или WPA2, последний является стандартом де-факто в наши дни, а первый абсолютно бесполезен, оба уязвимы). Сниффер попытается использовать один из методов взлома, чтобы получить ключ.
Итак, когда у вас есть ключ для зашифрованной сети, достаточно просто ввести его в конфигурацию для Wireshark, чтобы он расшифровывался перед обработкой:
Edit -> Preferences -> Protocols -> IEEE 802.11
Здесь вы должны включить флажок Enable Decryption и ввести свой PSK, нажав New, выбирая wpa-pwd если вы хотите ввести PSK в виде открытого текста, и wpa-psk если вы хотите получить ключевую фразу 256-битного ключа.
Теперь вы сможете увидеть трафик, который был зашифрован из-за WPA2. Если есть какой-либо простой HTTP-трафик, вы тоже должны его увидеть.
Вы можете прочитать больше в этом (очень хорошем) уроке, в котором также есть скриншоты.