Wifi Pcap Analysis
检查 BSSID
当你收到一个主要流量为 Wifi 的捕获文件时,使用 WireShark 你可以开始调查捕获中的所有 SSID,方法是选择 Wireless --> WLAN Traffic:
暴力破解
该屏幕的其中一列指示是否在 pcap 中发现了 任何身份验证。如果是这种情况,你可以尝试使用 aircrack-ng
进行暴力破解:
例如,它将检索保护PSK(预共享密钥)的WPA密码短语,这将在稍后解密流量时需要。
信标中的数据 / 侧信道
如果您怀疑数据在Wifi网络的信标中泄露,可以使用以下过滤器检查网络的信标:wlan contains <NAMEofNETWORK>
,或wlan.ssid == "NAMEofNETWORK"
,在过滤后的数据包中搜索可疑字符串。
在Wifi网络中查找未知MAC地址
以下链接将有助于查找在Wifi网络中发送数据的机器:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
如果您已经知道MAC地址,可以通过添加检查将其从输出中移除,例如:&& !(wlan.addr==5c:51:88:31:a0:3b)
一旦您检测到在网络中通信的未知MAC地址,可以使用过滤器,例如:wlan.addr==<MAC address> && (ftp || http || ssh || telnet)
来过滤其流量。请注意,ftp/http/ssh/telnet过滤器在您解密流量后非常有用。
解密流量
编辑 --> 首选项 --> 协议 --> IEEE 802.11--> 编辑
Last updated