Wifi Pcap Analysis
Controlla i BSSID
Quando ricevi una cattura il cui traffico principale è Wifi utilizzando WireShark, puoi iniziare a investigare tutti gli SSID della cattura con Wireless --> WLAN Traffic:
Forza Bruta
Una delle colonne di quella schermata indica se è stata trovata qualche autenticazione all'interno del pcap. In tal caso, puoi provare a forzare la password utilizzando aircrack-ng
:
Dati nei Beacons / Canale Laterale
Se sospetti che i dati stiano trapelando nei beacon di una rete Wifi, puoi controllare i beacon della rete utilizzando un filtro come il seguente: wlan contains <NOMEdellaRETE>
, o wlan.ssid == "NOMEdellaRETE"
cerca nei pacchetti filtrati stringhe sospette.
Trovare Indirizzi MAC Sconosciuti in una Rete Wifi
Il seguente link sarà utile per trovare le macchine che inviano dati all'interno di una Rete Wifi:
((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2
Se conosci già gli indirizzi MAC puoi rimuoverli dall'output aggiungendo controlli come questo: && !(wlan.addr==5c:51:88:31:a0:3b)
Una volta individuati gli indirizzi MAC sconosciuti che comunicano all'interno della rete, puoi utilizzare filtri come il seguente: wlan.addr==<indirizzo MAC> && (ftp || http || ssh || telnet)
per filtrare il traffico. Nota che i filtri ftp/http/ssh/telnet sono utili se hai decifrato il traffico.
Decifrare il Traffico
Modifica --> Preferenze --> Protocolli --> IEEE 802.11--> Modifica
Last updated