Wifi Pcap Analysis
检查 BSSIDs
当您收到一个主要流量为 Wifi 的捕获时,可以使用 WireShark 开始调查捕获中的所有 SSID,路径为 Wireless --> WLAN Traffic:
暴力破解
该屏幕的一列指示在 pcap 中是否找到任何身份验证。如果是这种情况,您可以尝试使用 aircrack-ng
进行暴力破解:
在信标/侧通道中的数据
如果你怀疑数据正在Wifi网络的信标中泄露,你可以使用类似以下过滤器来检查网络的信标:wlan contains <NETWORK名称>
,或者 wlan.ssid == "NETWORK名称"
,在过滤后的数据包中搜索可疑字符串。
在Wifi网络中查找未知的MAC地址
以下链接将有助于找到在Wifi网络中发送数据的设备:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
如果你已经知道MAC地址,你可以从输出中删除它们,添加类似这样的检查:&& !(wlan.addr==5c:51:88:31:a0:3b)
一旦你发现了在网络中通信的未知MAC地址,你可以使用类似以下的过滤器:wlan.addr==<MAC地址> && (ftp || http || ssh || telnet)
来过滤其流量。请注意,ftp/http/ssh/telnet 过滤器在你解密了流量后会很有用。
解密流量
编辑 --> 首选项 --> 协议 --> IEEE 802.11--> 编辑
最后更新于