Wifi Pcap Analysis
Check BSSIDs
Όταν λάβετε μια καταγραφή της οποίας η κύρια κίνηση είναι Wifi χρησιμοποιώντας το WireShark, μπορείτε να αρχίσετε να ερευνάτε όλα τα SSIDs της καταγραφής με το Wireless --> WLAN Traffic:
Brute Force
Μία από τις στήλες της οθόνης αυτής υποδεικνύει αν βρέθηκε οποιαδήποτε αυθεντικοποίηση μέσα στο pcap. Αν αυτό ισχύει, μπορείτε να προσπαθήσετε να το σπάσετε χρησιμοποιώντας το aircrack-ng
:
Για παράδειγμα, θα ανακτήσει το WPA passphrase που προστατεύει ένα PSK (προκαθορισμένο κλειδί), το οποίο θα απαιτηθεί για να αποκρυπτογραφήσετε την κίνηση αργότερα.
Δεδομένα σε Beacons / Παράπλευρη Διάσταση
Εάν υποψιάζεστε ότι δεδομένα διαρρέουν μέσα σε beacons ενός Wifi δικτύου, μπορείτε να ελέγξετε τα beacons του δικτύου χρησιμοποιώντας ένα φίλτρο όπως το παρακάτω: wlan contains <NAMEofNETWORK>
, ή wlan.ssid == "NAMEofNETWORK"
αναζητώντας μέσα στα φιλτραρισμένα πακέτα για ύποπτες αλυσίδες.
Βρείτε Άγνωστες Διευθύνσεις MAC σε Ένα Wifi Δίκτυο
Ο παρακάτω σύνδεσμος θα είναι χρήσιμος για να βρείτε τις μηχανές που στέλνουν δεδομένα μέσα σε ένα Wifi Δίκτυο:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
Εάν ήδη γνωρίζετε διευθύνσεις MAC μπορείτε να τις αφαιρέσετε από την έξοδο προσθέτοντας ελέγχους όπως αυτόν: && !(wlan.addr==5c:51:88:31:a0:3b)
Μόλις εντοπίσετε άγνωστες διευθύνσεις MAC που επικοινωνούν μέσα στο δίκτυο, μπορείτε να χρησιμοποιήσετε φίλτρα όπως το παρακάτω: wlan.addr==<MAC address> && (ftp || http || ssh || telnet)
για να φιλτράρετε την κίνησή τους. Σημειώστε ότι τα φίλτρα ftp/http/ssh/telnet είναι χρήσιμα εάν έχετε αποκρυπτογραφήσει την κίνηση.
Αποκρυπτογράφηση Κίνησης
Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit
Last updated