Ghi lại lưu lượng truy cập WLAN

Việc ghi lại các gói Wi-Fi cho phép bạn xem thông tin chi tiết và các hoạt động tương tác nếu không sẽ bị che giấu trước khi chúng đến được phần mềm đang chạy trên thiết bị. Nhờ đó, việc ghi lại này trở thành một công cụ quan trọng đối với một số loại lỗi.

Các bước chính liên quan là:

  1. Tìm kênh phù hợp để theo dõi.
  2. Ghi lại lưu lượng truy cập.
  3. Chia sẻ thông tin chụp và một hàm băm của mật khẩu WLAN.

1. Xác định kênh và chiều rộng phù hợp

Mạng WLAN hoạt động trên:

  • một kênh, thường được gọi bằng một con số. 1-13 là dành cho các kênh 2,4 GHz, 36-200 là dành cho các kênh 5 GHz
  • với một chiều rộng cụ thể (20Mhz, 40Mhz, 80Mhz, 160MHz)

Mỗi điểm truy cập (ví dụ: bộ định tuyến, nút mạng dạng lưới) trong mạng của bạn thường có một kênh 2,4 GHz và một kênh 5 GHz riêng biệt.Bạn cần tìm xem thiết bị đang kết nối với kênh nào. Có nhiều tùy chọn:

Sử dụng bảng điều khiển của bộ định tuyến

Nếu bạn sử dụng Nest WiFi, hãy bỏ qua lựa chọn này vì thông tin sẽ không được hiển thị.

Hầu hết các bộ định tuyến đều có danh sách các thiết bị đã kết nối, cũng như kênh và băng thông mà các thiết bị đó đang sử dụng.

  1. Tìm địa chỉ IP của bộ định tuyến theo hướng dẫn này.
  2. Truy cập vào địa chỉ của bộ định tuyến trong trình duyệt web, ví dụ: http://192.168.1.1.
  3. Đăng nhập. Bạn không nhớ mật khẩu? Tìm nhãn trên bộ định tuyến hoặc sử dụng Router Passwords (Mật khẩu bộ định tuyến).

  4. Tìm một trang có tên như "clients" (máy khách) hoặc "attached devices" (thiết bị được đính kèm). Ví dụ: trang bộ định tuyến Netgear có thể trông như sau hoặc đối với thiết bị Eero.

    Chế độ xem Netgear Client

  5. Bạn có thể phải tìm ở nơi khác trong phần cài đặt để liên kết thông tin từ bước 4 với một kênh và băng thông cụ thể. Ví dụ: Bộ định tuyến Netgear:

    Chế độ xem Kênh của Netgear

Sử dụng máy Mac nếu máy này đã kết nối với cùng một kênh

Nhấn giữ phím Option trên bàn phím, sau đó nhấp vào biểu tượng WLAN ở góc trên cùng bên phải trong thanh trạng thái của máy Mac. Bạn sẽ thấy trình đơn WLAN thông thường với một số lựa chọn và thông tin khác. Hãy xem các mục không có trong trình đơn và tìm mục có đề cập đến Kênh:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN trên máy Mac

Không tìm thấy kênh và chiều rộng

Nếu các phương thức khác không hiệu quả, bạn có thể thử:

  1. Liệt kê tất cả các kênh mà AP đang sử dụng (thường là 2 kênh cho mỗi AP hoặc điểm truy cập mạng lưới).

    a. Đề xuất Bạn có thể dùng điện thoại Android và một ứng dụng như Wifiman hoặc Aruba Utilities.

    a. Trên máy Mac, bạn có thể dùng /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s để liệt kê các lựa chọn.

  2. Ghi hình ngắn (thậm chí 15 giây là đủ) trên mỗi kênh đó, theo hướng dẫn bên dưới

  3. Cài đặt Wireshark (để được trợ giúp, hãy xem phần Cài đặt Wireshark).

  4. Mở từng bản ghi bằng Wireshark, áp dụng bộ lọc hiển thị wlan.addr == YOUR_DEVICE'S_MAC và xem có gói nào xuất hiện hay không.

2. Bắt đầu chụp

Lưu ý quan trọng: Ghi lại quy trình bắt tay 4 chiều

Nếu bật chế độ bảo mật cho Wi-Fi, bạn cần biết khoá mã hoá để giải mã các gói đã thu thập. Khoá mã hoá được lấy từ một quy trình bắt tay 4 chiều diễn ra khi thiết bị kết nối với mạng và là duy nhất cho mỗi kết nối giữa thiết bị và AP.

Do đó, bạn PHẢI nắm bắt quy trình bắt tay 4 chiều để giải mã tải trọng Wi-Fi. Nếu thiết bị đã kết nối với mạng khi bạn bắt đầu quá trình ghi lại, hãy ngắt kết nối rồi kết nối lại thiết bị (hoặc khởi động lại thiết bị) sau khi quá trình theo dõi bắt đầu.

Chụp ảnh trên máy Mac

Trong khi giữ phím Option trên bàn phím, hãy nhấp vào biểu tượng WLAN rồi chọn "Open Wireless Diagnostics…" (Mở Trình chẩn đoán không dây):

Tính năng chụp WLAN trên máy Mac

Trên thanh trình đơn của Wireless Diagnostics (Chẩn đoán không dây), hãy chọn Window > Sniffer (Cửa sổ > Trình theo dõi):

Mac WLAN Sniffer

Đặt kênh và độ rộng thành các giá trị mà bạn đã truy xuất trước đó (Ví dụ về ảnh chụp màn hình là cho Kênh 60 và Độ rộng 40 MHz):

Kênh và băng thông WLAN trên máy Mac

Nhấn nút Start rồi nhập mật khẩu. Bây giờ, hãy thử tái hiện vấn đề. Đảm bảo bạn ghi lại quy trình bắt tay 4 chiều từ một kết nối như đã lưu ý trong phần Ghi lại quy trình bắt tay 4 chiều.

Sau khi hoàn tất, hãy nhấn vào Stop. Bạn có thể tìm thấy tệp *.pcap mới trong /var/tmp. Tệp này chứa tất cả lưu lượng truy cập. Ví dụ về tên tệp: (null)_ch100_2018-11-06_10.52.01.pcap.

Chụp ảnh trên Linux

  1. Tắt Wi-Fi. Bạn có thể thực hiện việc này bằng cách:

    • Sử dụng GUI (nên dùng)
    • Sử dụng Network Manager CLI để yêu cầu công cụ này ngừng quản lý giao diện WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Nếu bạn đang sử dụng một trình quản lý mạng thay thế, hãy điều chỉnh cho phù hợp.

  2. Lưu tập lệnh này. Thay thế <wlan-ifname> bằng tên giao diện Wi-Fi. Tài liệu này giả định tên tập lệnh là setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Thực thi tập lệnh trước đó và truyền vào kênh cũng như băng thông cao nhất để phát hiện, ví dụ: kênh 153 có băng thông 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Mở Wireshark, giờ đây bạn có thể ghi lại các gói trên giao diện wlan.

3. Chia sẻ ảnh chụp

  1. Sử dụng Trình tạo khoá chia sẻ được xác thực bằng WPA (Khoá thô) để tạo hàm băm cho mật khẩu của bạn. Điều này cho phép bạn giải mã dữ liệu đã chụp mà không cần biết mật khẩu văn bản thuần tuý.

  2. Bạn cũng cần chia sẻ PSK đã tạo để người khác có thể giải mã dữ liệu đã ghi lại.

Phụ lục

Cài đặt Wireshark

Bạn có thể cài đặt Wireshark bằng lệnh apt install wireshark trên Linux hoặc tải Wireshark xuống trực tuyến từ trang web của Wireshark.

Thiết lập Wireshark để giải mã lưu lượng truy cập

Bạn không cần làm việc này để chia sẻ tệp chụp, chỉ làm nếu bạn muốn tự kiểm tra lưu lượng truy cập đã giải mã trong Wireshark.

Với chế độ bảo mật WPA2 trên Wi-Fi, WPA2-PSK không được dùng trực tiếp để mã hoá và giải mã lưu lượng truy cập. Khoá này được dùng trong bắt tay 4 chiều mà bạn cần nắm bắt để giải mã các gói. Tuy nhiên, nếu bạn chỉ muốn ghi lại các vấn đề về việc kết nối với Wi-Fi hoặc mất kết nối (có thể thu thập được từ các khung quản lý Wi-Fi), thì bạn không cần ghi lại quy trình bắt tay 4 chiều. Trong cả hai trường hợp, việc ghi lại thông tin này cũng không gây hại.

Mở Wireshark rồi mở trang Preferences (Tuỳ chọn) (Trình đơn Wireshark > Preferences (Tuỳ chọn) hoặc **Cmd + , **).

  1. Tìm mục "IEEE 802.11" trong danh mục "Protocols" (Giao thức) và đảm bảo bạn đã đánh dấu vào mục "Enable decryption" (Bật tính năng giải mã):

    Mac Wireshark Prefs

  2. Nhấp vào nút Chỉnh sửa bên cạnh nhãn Khoá giải mã.

  3. Nhấp vào nút "+" ở góc dưới cùng bên trái rồi chọn mục "wpa-pwd".

    WPA và mật khẩu Wireshark trên máy Mac

  4. Nhấp vào cột khoá của hàng mới tạo (ngay bên cạnh chuỗi wpa-pwd), nhập PSK và SSID WPA2 theo định dạng <password>:<ssid>. Ví dụ: nếu tên mạng của bạn là MyHomeNetwork và khoá chia sẻ trước WPA2 là myp4ssword, hãy nhập myp4ssword:MyHomeNetwork.

    SSID Wireshark trên máy Mac

  5. Nhấp vào OK để xác nhận

Để biết thêm thông tin, hãy xem hướng dẫn chính thức của Wireshark (có ảnh chụp màn hình) tại Cách giải mã 802.11.

Nếu sử dụng tshark, hãy truyền các đối số sau:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Tô màu dữ liệu 802.11 của Wireshark

Có một hồ sơ màu 802.11 tiện dụng trên metageek.com: Hồ sơ cấu hình Wireshark.