/u/12038/crop5a51514a4dec1_cropped.png?f=community)
Waarom packet capture?
Netwerkverkeer werkt op verschillende lagen. Die worden vaak benoemd volgens het OSI model. Lees vooral de Wiki voor meer info daarover - de lagen passen niet 100% met 'echte' protocollen, maar geven toch een goed model voor hoe netwerken communiceren. Clou is dat in de regel elke laag onafhankelijk kan werken van lagen erboven en eronder. Je kunt dus prima IP (layer 3) gebruiken met verschillende netwerkprotocollen eronder als Ethernet en WiFi (beide op layer 1 en 2), en je kunt ook zowel UDP als TCP gebruiken bovenop je IP (layer 4), en 1001 applicaties (layer 7).
Nu, als je applicatie niet doet wat het moet doen, wil je onder de motorkap kijken waar het fout gaat. In de regel begin je onderop en werk je naar boven.
Layer 1 is de fysieke link. Zit de kabel erin? (Ethernet) Kun je het netwerk überhaupt in de lucht zien (WiFi). Dieper hierin gaan vergt speciale apparatuur. Bij Ethernet heb je kabeltesters, bij WiFi heb je spectrum analyzers. Nuttig, maar dergelijke apparatuur is duur en gebruik is hier out of scope. Overigens ben ik een 2.4GHz WiFi spectrum analyzer voor minder dan EUR 10 op het spoor, komt vast ook een topic over als ik het binnen heb, tenminste als het werkt zoals gehoopt.
Layer 2 is bij Ethernet niet bijzonder interessant, maar bij WiFi gebeurt hier erg veel. Je ziet welke netwerken er in de lucht hangen, je kunt hun capabilities zien (en controleren of je netwerk daadwerkelijk doet wat je ingesteld hebt!), je kunt volgen hoe apparaten aan- en afmelden, je kunt zien hoe druk het verkeer in een kanaal is, en je kunt stiekem alsnog behoorlijk veel over layer 1 te weten komen, zoals signaalsterkte, data rates en datacorruptie.
Hier zie je bijvoorbeeld hoe ik met mijn telefoon aanmeld op m'n WiFi:
/f/image/dw6nLC6d0uVSxgfBvkzvCNhW.png?f=fotoalbum_large)
Uitdaging is alleen: hoe krijg je die layer 2 informatie binnen?
Voor WiFi is het minder eenvoudig. Je kunt de gratis tool Wireshark gebruiken, maar voordat Wireshark iets zinnigs kan tonen moet je de hard- en software op orde hebben. Concreet moet je je WiFi-adapter in "monitor mode" Daar gaat dit topic in eerste instantie over. Nu, wat (on)mogelijk is hangt af van je besturingssyteem:
Hoogover:
Windows
Drama. Standaard drivermodel voor Windows ondersteunt geen monitor mode. Om monitor mode te gebruiken moet je custom drivers gebruiken. Gevolg is dat er een erg beperkte selectie apparaten is waar die drivers voor beschikbaar zijn. Naar verluid zouden NPCAP drivers van Acrylic WiFi dat moeten kunnen, maar die heb ik in ieder geval nog nooit aan de praat gekregen Jou wel gelukt? Post dan welke hw je hebt en hoe je het deed
Gespecialiseerde vendors als Savvius hebben voor hun eigen dongel drivers, maar daar moet je voor betalen. Savvius' Omnipeek is waarschijnlijk wel de beste packetsniffer voor WiFi, veel gebruiksvriendelijker dan Wireshark. Maar je moet zeer fors de portemonnaie trekken ervoor (EUR 3k... 
) Kortom, ik ga hier verder niet op Windows in - maar gelukkig leven we in 2021 en is virtualizatie een ding, dus je kunt prima vanuit je Windows install werken, zij het via een omweg 
Mogelijk kun je hier met specifieke adapters alsnog iets gratis doen, via de trial versie van Metageek EyePA. Daar zouden o.a. voor RTL8812AU-chips packet capture drivers bij moeten zitten. To-do uitzoeken of en zo ja hoe dat werkt- zodra ik zo'n adapter bemachtig.
MacOS
Vroeger: perfect. Download Wireshark, selecteer bij Wireless adapter "Monitor Mode" en klaar. Makkelijker kan het niet.
Sinds upgrade naar Catalina:
Linux
Goed nieuws: alles wat native Linux support heeft zou in monitor mode gezet moeten kunnen worden.
Minder goed nieuws: helaas is dat lang niet alles, zeker niet qua USB dongels.
Uitdaging is ook dat mensen geen zin hebben om Linux als hoofd-OS te draaien. Maar dankzij virtualizatie maakt dat tegenwoordig niet uit. Je draait gewoon je hostOS naar voorkeur (Windows, MacOS, Linux, wat dan ook) en installeert een virtual machine. Welke mag je helemaal zelf weten, eis is dat het USB passthrough biedt, dus de mogelijkheid om een USB device zonder tussenkomst van hostOS naar guestOS door te sluizen.
Stappenplan
Installatie Kali Linux
Dus wil je Linux installeren. Omdat het hier een dedicated VM voor packet capture gaat zijn, kun je je helemaal toespitsen, en dan ligt Kali Linux voor de hand, een distributie die voor ethical hacking en pentesting bedoeld is. Voor VMWare en VirtualBox kun je kant en klare VM images downloaden, maar je kunt ook altijd met een reguliere installer installeren. Als je hardware het aankan, altijd 64b release nemen, zodat je desnoods >2GB files kunt gebruiken (soms wil je *veel* capturen), maar met 32b CPU natuurlijk 32b kiezen.
Enfin, zorg dat je Kali in een VM hebt draaien. Best practice is om gelijk een nieuwe username en password in te stellen (kali/kali is vrij makkelijk te raden, zeker als hostname ook kali is
). Dan als voorbereiding software updaten met achtereenvolgens:
(stappen 3-5 zijn normaliter niet nodig, maar bij de image op moment van schrijven is eea na eerste upgrade broken, dit fixt het. laaste stap is om te zorgen dat je bij evt kernel upgrade ook op de nieuwe kernel draait)
Selectie WiFi hardware
Alle overige software die je nodig hebt staat er al op, je bent nu dus klaar met omgeving en wordt het tijd om naar hardware te kijken. Zoals gezegd, vrijwel alles wat native support onder Linux heeft kan in monitor mode gebruikt worden, maar dat vinden is geen sinecure. Dus ga ik focussen op een paar makkelijk verkrijgbare, goed betaalbare, enigszins moderne opties. Dat laatste is relevant, want meeste documentatie verwijst naar stokoude, tevens niet meer verkrijgbare adapters. Welke dan? Dingen met de Realtek RTL88x2 en RTL8814 chips. Dat zijn actuele WiFi-ac adapters (ax heb ik nog niet werkend gezien/gekregen) met degelijke specs die makkelijk te krijgen zijn voor een bescheiden prijs. Ook als je al een ondersteunde adapter in je laptop hebt is een losse dongle voor capture aan te raden: je kunt dan verbonden blijven met internet tijdens capture ipv een of ander.
Nu, lijstje van adapters. Klink op links voor actuele stand van zaken in WikiDevi, maar eronder noem ik een paar in Pricewatch te vinden types. Let op de revisiegetallen, het komt voor dat vendors totaal andere chipsets in een andere revisie stoppen (bijv Netgear A6200 (v1) = Broadcom BCM43526 (die totaal niet onder Linux werkt, laat staan in monitor mode), A6200 v2 = Realtek RTL8812AU (die perfect geschikt is voor deze toepasingen)).
RTL8812AU
ALFA Network AWUS036AC
ASUS USB-AC56
Belkin F9L1109 v1
D-Link DWA-180 rev A1
D-Link DWA-182 rev B1 & C1
D-Link DWA-183 rev A1
Edimax EW-7822UAC
Linksys WUSB6300
Netgear A6200 v2
Sitecom WLA-7100
TP-LINK Archer T4U & v2
TP-LINK Archer T4UH & v2
RTL8814AU:
ALFA Network AWUS1900
ASUS USB-AC68
D-Link DWA-192
Edimax EW-7833UAC
Netgear A7000
TP-LINK Archer T9UH
RTL8812BU en RTL8822BU adapters werken ook, maar met andere driver met iets minder geautomatiseerde install. Dit zijn nieuwere chips dus allicht makkelijker te vinden.
ASUS USB-AC53 Nano
ASUS USB-AC54 B1
ASUS USB-AC55 B1
ASUS USB-AC57
D-Link DWA-181 rev A1
D-Link DWA-182 rev D1
Edimax EW-7822ULC/UNC/UTC
Linksys WUSB6400M
Netgear A6150
TP-LINK Archer T3U
TP-LINK Archer T4U v3
Vooral de Archer T3U is anno januari 2021 interessant als je nog hw wilt kopen: volop verkrijgbaar en spotgoedkoop (EUR 16 -19)
Wat is het verschil tussen de RTL88x2xx en RTL8814AU? MIMO. Sinds WiFi-n is het mogelijk om meerdere datastromen naast elkaar in zelfde kanaal te kunnen verzenden en ontvangen, in fase verschoven van elkaar. de 88x2 kan twee (2x2), de 8814 kan met vier radio's werken (4x4), maar "slechts" drie stromen tegelijk versturen (4x4:3). Daarmee is het een van de meest high-end WiFi NICs van huidige generatie, vergelijkbaar op papier met de topmodel MacBook Pro. Dit is in normaal gebruik relevant voor snelheid, maar bij capturen bepaalt het of je ook MIMO pakketten kan detecteren. Vuistregel is dat management- en control frames altijd in eerste MIMO-stuk zitten, dus je kunt meeste wel met een 1x1 vangen, maar als je ook maar iets met datapakketten wilt, wil je 2x2 en 3x3 is een pre. Je zou met dezelfde driver ook de RTL88x1xx NICs moeten kunnen gebruiken, maar dan dus alleen voor management- en controlpakketten.
Ik gebruik zelf de TP-Link Archer T9UH en ben er erg blij mee
Installeren adapter
Vervolgens adapter aansluiten op het host-systeem en in de VM software USB passthrough naar de guest VM instellen. Als het goed is, heeft je Kali install nu een USB stick ter beschikking. Moet je alleen nog de drivers installeren. Dat gaat als volgt voor de RTL88x2:
Na minuutje ofzo zou je melding moeten krijgen van "install completed" en zo het moeten werken. Voor RTL8814 de "RTL8812AU" vervangen met "8814AU"
Voor RTL88x2BU:
Let op de extra dependency 'bc' - duurde even voor ik die doorhad
Controleer of het goed is door iwconfig te draaien. Als het goed is heb je nu een wlan-adapter erbij. In VM als dit zou het meestal wlan0 moeten zijn, heb je Kali op bare metal geinstalleerd dan zal de onboard WiFi meestal wlan0 zijn en de dongel wordt wlan1.
Heb je een interface? Mooi! Ik ga er vanuit dat het wlan0 is, als het bij jou iets anders is, gewoon de naam bij jou invullen waar ik wlan0 roep.
Inschakelen monitor mode
Per default draaien WiFi NICs in Managed mode. Om packets te kunnen sniffen moet je ze in monitor mode zetten. Dat is in beginsel eenvoudig, maar met dank aan feit dat Linux tegenwoordig net zo 'slim' probeert te zijn als Windows moet je een paar extra stappen nemen om te zorgen dat de Network Manager je niet dwars zit.
Allereerst kijken of Network Manager draait:
Waarschijnlijk krijg je de melding dat Network Manager en WPA Supplicant problematisch zijn. Die zijn te killen:
Let op dat je nu tijdelijk je WiFi-verbinding verliest op alle adapters. Met Network Manager uit kun je je adapter in monitor mode zetten en tegelijk een kanaal kiezen om op te sniffen:
Dit zet de adapter in monitormode en stelt het in op kanaal 11. Vervang 11 met willekeurig welk kanaal waar je in geinteresseerd bent.
Let op: nadat je dit doet verandert de naam van wlan0 in wlan0mon, dus alle volgende bewerkingen moet je met wlan0mon doen.
Zet als je het nodig hebt nu Network Manager weer aan:
WPA Supplicant wordt automatisch mee opgestart indien nodig.
Starten Wireshark
sudo is nodig voor rootrechten, anders kun je niet op WiFi-niveau capturen. Kies wlan0mon als capture interface, scroll naar rechts en vink monitor mode aan. En start! Je ziet als het goed is gelijk packets over je scherm vliegen
Veranderen kanaal
Waarbij xxx zit tussen 1 en 140 (NL/EU) - 165 (US)
En dan? Hoe lees ik de stortvloed aan informatie die ik binnen krijg?
Gaat vooralsnog veel te ver om dat in dit topic te behandelen, maar lees bijv deze links:
https://wlanprofessionals...asics-of-packet-analysis/
https://cdn.ttgtmedia.com...h_Wireshark_Chapter_6.pdf
https://wiki.wireshark.org/Wi-Fi
Hou er rekening mee dat Wireshark vrij snel ontwikkelt, vooral de weergave kan nogal eens veranderen. Maar principes blijven hetzelfde
Wordt vast vervolgd, maar tot zover zou je al behoorlijk wat moeten hebben.
Netwerkverkeer werkt op verschillende lagen. Die worden vaak benoemd volgens het OSI model. Lees vooral de Wiki voor meer info daarover - de lagen passen niet 100% met 'echte' protocollen, maar geven toch een goed model voor hoe netwerken communiceren. Clou is dat in de regel elke laag onafhankelijk kan werken van lagen erboven en eronder. Je kunt dus prima IP (layer 3) gebruiken met verschillende netwerkprotocollen eronder als Ethernet en WiFi (beide op layer 1 en 2), en je kunt ook zowel UDP als TCP gebruiken bovenop je IP (layer 4), en 1001 applicaties (layer 7).
Nu, als je applicatie niet doet wat het moet doen, wil je onder de motorkap kijken waar het fout gaat. In de regel begin je onderop en werk je naar boven.
Layer 1 is de fysieke link. Zit de kabel erin? (Ethernet) Kun je het netwerk überhaupt in de lucht zien (WiFi). Dieper hierin gaan vergt speciale apparatuur. Bij Ethernet heb je kabeltesters, bij WiFi heb je spectrum analyzers. Nuttig, maar dergelijke apparatuur is duur en gebruik is hier out of scope. Overigens ben ik een 2.4GHz WiFi spectrum analyzer voor minder dan EUR 10 op het spoor, komt vast ook een topic over als ik het binnen heb, tenminste als het werkt zoals gehoopt.
Layer 2 is bij Ethernet niet bijzonder interessant, maar bij WiFi gebeurt hier erg veel. Je ziet welke netwerken er in de lucht hangen, je kunt hun capabilities zien (en controleren of je netwerk daadwerkelijk doet wat je ingesteld hebt!), je kunt volgen hoe apparaten aan- en afmelden, je kunt zien hoe druk het verkeer in een kanaal is, en je kunt stiekem alsnog behoorlijk veel over layer 1 te weten komen, zoals signaalsterkte, data rates en datacorruptie.
Hier zie je bijvoorbeeld hoe ik met mijn telefoon aanmeld op m'n WiFi:
:fill(white):strip_exif()/f/image/dw6nLC6d0uVSxgfBvkzvCNhW.png?f=user_large)
Uitdaging is alleen: hoe krijg je die layer 2 informatie binnen?
Voor WiFi is het minder eenvoudig. Je kunt de gratis tool Wireshark gebruiken, maar voordat Wireshark iets zinnigs kan tonen moet je de hard- en software op orde hebben. Concreet moet je je WiFi-adapter in "monitor mode" Daar gaat dit topic in eerste instantie over. Nu, wat (on)mogelijk is hangt af van je besturingssyteem:
Hoogover:
Windows
Drama. Standaard drivermodel voor Windows ondersteunt geen monitor mode. Om monitor mode te gebruiken moet je custom drivers gebruiken. Gevolg is dat er een erg beperkte selectie apparaten is waar die drivers voor beschikbaar zijn. Naar verluid zouden NPCAP drivers van Acrylic WiFi dat moeten kunnen, maar die heb ik in ieder geval nog nooit aan de praat gekregen Jou wel gelukt? Post dan welke hw je hebt en hoe je het deed
Gespecialiseerde vendors als Savvius hebben voor hun eigen dongel drivers, maar daar moet je voor betalen. Savvius' Omnipeek is waarschijnlijk wel de beste packetsniffer voor WiFi, veel gebruiksvriendelijker dan Wireshark. Maar je moet zeer fors de portemonnaie trekken ervoor (EUR 3k... ) Kortom, ik ga hier verder niet op Windows in - maar gelukkig leven we in 2021 en is virtualizatie een ding, dus je kunt prima vanuit je Windows install werken, zij het via een omweg Mogelijk kun je hier met specifieke adapters alsnog iets gratis doen, via de trial versie van Metageek EyePA. Daar zouden o.a. voor RTL8812AU-chips packet capture drivers bij moeten zitten. To-do uitzoeken of en zo ja hoe dat werkt- zodra ik zo'n adapter bemachtig.
MacOS
Vroeger: perfect. Download Wireshark, selecteer bij Wireless adapter "Monitor Mode" en klaar. Makkelijker kan het niet.
Sinds upgrade naar Catalina:
Ik hoor dat het onder Big Sur nog lastiger geworden is. Ook hier: bij gebrek aan actuele MacBook (en geen enkele zin om mijn 2014 geval naar iets te upgraden wat niet goed kan capturen) ga ik hier niet verder op in. Jou wel gelukt onder Big Sur? Post dan welke hw je hebt en hoe je het deed
Linux
Goed nieuws: alles wat native Linux support heeft zou in monitor mode gezet moeten kunnen worden.
Minder goed nieuws: helaas is dat lang niet alles, zeker niet qua USB dongels.
Uitdaging is ook dat mensen geen zin hebben om Linux als hoofd-OS te draaien. Maar dankzij virtualizatie maakt dat tegenwoordig niet uit. Je draait gewoon je hostOS naar voorkeur (Windows, MacOS, Linux, wat dan ook) en installeert een virtual machine. Welke mag je helemaal zelf weten, eis is dat het USB passthrough biedt, dus de mogelijkheid om een USB device zonder tussenkomst van hostOS naar guestOS door te sluizen.
Stappenplan
Installatie Kali Linux
Dus wil je Linux installeren. Omdat het hier een dedicated VM voor packet capture gaat zijn, kun je je helemaal toespitsen, en dan ligt Kali Linux voor de hand, een distributie die voor ethical hacking en pentesting bedoeld is. Voor VMWare en VirtualBox kun je kant en klare VM images downloaden, maar je kunt ook altijd met een reguliere installer installeren. Als je hardware het aankan, altijd 64b release nemen, zodat je desnoods >2GB files kunt gebruiken (soms wil je *veel* capturen), maar met 32b CPU natuurlijk 32b kiezen.
Enfin, zorg dat je Kali in een VM hebt draaien. Best practice is om gelijk een nieuwe username en password in te stellen (kali/kali is vrij makkelijk te raden, zeker als hostname ook kali is
). Dan als voorbereiding software updaten met achtereenvolgens:code:
1
2
3
4
5
6
| sudo apt update sudo apt upgrade sudo apt autoremove sudo apt update sudo apt upgrade sudo apt reboot |
(stappen 3-5 zijn normaliter niet nodig, maar bij de image op moment van schrijven is eea na eerste upgrade broken, dit fixt het. laaste stap is om te zorgen dat je bij evt kernel upgrade ook op de nieuwe kernel draait)
Selectie WiFi hardware
Alle overige software die je nodig hebt staat er al op, je bent nu dus klaar met omgeving en wordt het tijd om naar hardware te kijken. Zoals gezegd, vrijwel alles wat native support onder Linux heeft kan in monitor mode gebruikt worden, maar dat vinden is geen sinecure. Dus ga ik focussen op een paar makkelijk verkrijgbare, goed betaalbare, enigszins moderne opties. Dat laatste is relevant, want meeste documentatie verwijst naar stokoude, tevens niet meer verkrijgbare adapters. Welke dan? Dingen met de Realtek RTL88x2 en RTL8814 chips. Dat zijn actuele WiFi-ac adapters (ax heb ik nog niet werkend gezien/gekregen) met degelijke specs die makkelijk te krijgen zijn voor een bescheiden prijs. Ook als je al een ondersteunde adapter in je laptop hebt is een losse dongle voor capture aan te raden: je kunt dan verbonden blijven met internet tijdens capture ipv een of ander.
Nu, lijstje van adapters. Klink op links voor actuele stand van zaken in WikiDevi, maar eronder noem ik een paar in Pricewatch te vinden types. Let op de revisiegetallen, het komt voor dat vendors totaal andere chipsets in een andere revisie stoppen (bijv Netgear A6200 (v1) = Broadcom BCM43526 (die totaal niet onder Linux werkt, laat staan in monitor mode), A6200 v2 = Realtek RTL8812AU (die perfect geschikt is voor deze toepasingen)).
RTL8812AU
ALFA Network AWUS036AC
ASUS USB-AC56
Belkin F9L1109 v1
D-Link DWA-180 rev A1
D-Link DWA-182 rev B1 & C1
D-Link DWA-183 rev A1
Edimax EW-7822UAC
Linksys WUSB6300
Netgear A6200 v2
Sitecom WLA-7100
TP-LINK Archer T4U & v2
TP-LINK Archer T4UH & v2
RTL8814AU:
ALFA Network AWUS1900
ASUS USB-AC68
D-Link DWA-192
Edimax EW-7833UAC
Netgear A7000
TP-LINK Archer T9UH
RTL8812BU en RTL8822BU adapters werken ook, maar met andere driver met iets minder geautomatiseerde install. Dit zijn nieuwere chips dus allicht makkelijker te vinden.
ASUS USB-AC53 Nano
ASUS USB-AC54 B1
ASUS USB-AC55 B1
ASUS USB-AC57
D-Link DWA-181 rev A1
D-Link DWA-182 rev D1
Edimax EW-7822ULC/UNC/UTC
Linksys WUSB6400M
Netgear A6150
TP-LINK Archer T3U
TP-LINK Archer T4U v3
Vooral de Archer T3U is anno januari 2021 interessant als je nog hw wilt kopen: volop verkrijgbaar en spotgoedkoop (EUR 16 -19)
Wat is het verschil tussen de RTL88x2xx en RTL8814AU? MIMO. Sinds WiFi-n is het mogelijk om meerdere datastromen naast elkaar in zelfde kanaal te kunnen verzenden en ontvangen, in fase verschoven van elkaar. de 88x2 kan twee (2x2), de 8814 kan met vier radio's werken (4x4), maar "slechts" drie stromen tegelijk versturen (4x4:3). Daarmee is het een van de meest high-end WiFi NICs van huidige generatie, vergelijkbaar op papier met de topmodel MacBook Pro. Dit is in normaal gebruik relevant voor snelheid, maar bij capturen bepaalt het of je ook MIMO pakketten kan detecteren. Vuistregel is dat management- en control frames altijd in eerste MIMO-stuk zitten, dus je kunt meeste wel met een 1x1 vangen, maar als je ook maar iets met datapakketten wilt, wil je 2x2 en 3x3 is een pre. Je zou met dezelfde driver ook de RTL88x1xx NICs moeten kunnen gebruiken, maar dan dus alleen voor management- en controlpakketten.
Ik gebruik zelf de TP-Link Archer T9UH en ben er erg blij mee
Installeren adapter
Vervolgens adapter aansluiten op het host-systeem en in de VM software USB passthrough naar de guest VM instellen. Als het goed is, heeft je Kali install nu een USB stick ter beschikking. Moet je alleen nog de drivers installeren. Dat gaat als volgt voor de RTL88x2:
code:
1
2
3
4
| sudo apt install dkms build-essential libelf-dev linux-headers-`uname -r` git clone https://github.com/aircrack-ng/rtl8812au cd rtl8812au sudo make dkms_install |
Na minuutje ofzo zou je melding moeten krijgen van "install completed" en zo het moeten werken. Voor RTL8814 de "RTL8812AU" vervangen met "8814AU"
Voor RTL88x2BU:
code:
1
2
3
4
5
6
7
8
9
| apt install git dkms build-essential bc libelf-dev linux-headers-`uname -r`
git clone https://github.com/cilynx/rtl88x2bu
cd rtl88x2bu
VER=$(sed -n 's/\PACKAGE_VERSION="\(.*\)"/\1/p' dkms.conf)
sudo rsync -rvhP ./ /usr/src/rtl88x2bu-${VER}
sudo dkms add -m rtl88x2bu -v ${VER}
sudo dkms build -m rtl88x2bu -v ${VER}
sudo dkms install -m rtl88x2bu -v ${VER}
sudo modprobe 88x2bu |
Let op de extra dependency 'bc' - duurde even voor ik die doorhad
Controleer of het goed is door iwconfig te draaien. Als het goed is heb je nu een wlan-adapter erbij. In VM als dit zou het meestal wlan0 moeten zijn, heb je Kali op bare metal geinstalleerd dan zal de onboard WiFi meestal wlan0 zijn en de dongel wordt wlan1.
Heb je een interface? Mooi! Ik ga er vanuit dat het wlan0 is, als het bij jou iets anders is, gewoon de naam bij jou invullen waar ik wlan0 roep.
Inschakelen monitor mode
Per default draaien WiFi NICs in Managed mode. Om packets te kunnen sniffen moet je ze in monitor mode zetten. Dat is in beginsel eenvoudig, maar met dank aan feit dat Linux tegenwoordig net zo 'slim' probeert te zijn als Windows moet je een paar extra stappen nemen om te zorgen dat de Network Manager je niet dwars zit.
Allereerst kijken of Network Manager draait:
code:
1
| airmon-ng check |
Waarschijnlijk krijg je de melding dat Network Manager en WPA Supplicant problematisch zijn. Die zijn te killen:
code:
1
| airmon-ng check kill |
Let op dat je nu tijdelijk je WiFi-verbinding verliest op alle adapters. Met Network Manager uit kun je je adapter in monitor mode zetten en tegelijk een kanaal kiezen om op te sniffen:
code:
1
| sudo airmon-ng start wlan0 11 |
Dit zet de adapter in monitormode en stelt het in op kanaal 11. Vervang 11 met willekeurig welk kanaal waar je in geinteresseerd bent.
Let op: nadat je dit doet verandert de naam van wlan0 in wlan0mon, dus alle volgende bewerkingen moet je met wlan0mon doen.
Zet als je het nodig hebt nu Network Manager weer aan:
code:
1
| sudo systemctl start NetworkManager |
WPA Supplicant wordt automatisch mee opgestart indien nodig.
Starten Wireshark
code:
1
| sudo wireshark & |
sudo is nodig voor rootrechten, anders kun je niet op WiFi-niveau capturen. Kies wlan0mon als capture interface, scroll naar rechts en vink monitor mode aan. En start! Je ziet als het goed is gelijk packets over je scherm vliegen
Veranderen kanaal
code:
1
| sudo airmon-ng start wlan0mon xxx |
Waarbij xxx zit tussen 1 en 140 (NL/EU) - 165 (US)
En dan? Hoe lees ik de stortvloed aan informatie die ik binnen krijg?
Gaat vooralsnog veel te ver om dat in dit topic te behandelen, maar lees bijv deze links:
https://wlanprofessionals...asics-of-packet-analysis/
https://cdn.ttgtmedia.com...h_Wireshark_Chapter_6.pdf
https://wiki.wireshark.org/Wi-Fi
Hou er rekening mee dat Wireshark vrij snel ontwikkelt, vooral de weergave kan nogal eens veranderen. Maar principes blijven hetzelfde
Wordt vast vervolgd, maar tot zover zou je al behoorlijk wat moeten hebben.
[ Voor 120% gewijzigd door dion_b op 19-01-2021 12:27 ]
Oslik blyat! Oslik!
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
