Controlla i BSSID

Quando ricevi una cattura il cui traffico principale è Wifi utilizzando WireShark, puoi iniziare a investigare tutti gli SSID della cattura con Wireless --> WLAN Traffic:

Forza Bruta

Una delle colonne di quella schermata indica se è stata trovata qualche autenticazione all'interno del pcap. In tal caso, puoi provare a forzare la password utilizzando aircrack-ng:

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

Dati nei Beacons / Canale Laterale

Se sospetti che i dati stiano trapelando nei beacon di una rete Wifi, puoi controllare i beacon della rete utilizzando un filtro come il seguente: wlan contains <NOMEdellaRETE>, o wlan.ssid == "NOMEdellaRETE" cerca nei pacchetti filtrati stringhe sospette.

Trovare Indirizzi MAC Sconosciuti in una Rete Wifi

Il seguente link sarà utile per trovare le macchine che inviano dati all'interno di una Rete Wifi:

• ((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

Se conosci già gli indirizzi MAC puoi rimuoverli dall'output aggiungendo controlli come questo: && !(wlan.addr==5c:51:88:31:a0:3b)

Una volta individuati gli indirizzi MAC sconosciuti che comunicano all'interno della rete, puoi utilizzare filtri come il seguente: wlan.addr==<indirizzo MAC> && (ftp || http || ssh || telnet) per filtrare il traffico. Nota che i filtri ftp/http/ssh/telnet sono utili se hai decifrato il traffico.

Decifrare il Traffico

Modifica --> Preferenze --> Protocolli --> IEEE 802.11--> Modifica