Como capturar tráfego de Wi-Fi usando o Wireshark

Neste artigo, você aprenderá como capturar frames sem fio usando Wireshark no Linux (exemplo: Ubuntu. Para seguir este artigo, primeiro, você deve aprender os fundamentos do WireShark no artigo Wireshark Basic e depois pode voltar aqui.

Existem algumas etapas a serem seguidas para conseguir isso.

Verificação de configuração

Abaixo estão os requisitos para capturar pacotes de Wi-Fi usando Wireshark.

Interface Wi-Fi

Para verificar se você atende a este requisito, abra o terminal usando o atalho Alt + Ctrl + T e execute o comando “iwconfig.”Esta saída deve mostrar se há uma interface Wi-Fi operável. A captura de tela a seguir mostra a saída deste comando:

Neste exemplo, “wlp2s0” é o nome da interface do cartão Wi-Fi.

• “IEEE 802.11 "é a indicação para a interface Wi-Fi.
• Por padrão, o modo é “Gerenciou,”O que significa que é um cliente ou modo de estação.

Suporte para modo monitor

O cartão Wi-Fi deve oferecer suporte ao modo de monitor para ser capaz de detectar pacotes sem fio. Isso é obrigatório, ou você não pode farejar pacotes sem fio usando o Wireshark. Abra o terminal e execute o comando “iw phy0 info" ou "minha lista.”Há uma lista enorme de informações disponíveis aqui, mas só temos que verificar a seção para“monitor.”Se o dispositivo não suportar o modo monitor, não será possível farejar o pacote sem fio usando o Wireshark.

Verifique o software Wireshark

Abra o terminal e execute o comando “Wirehark -version.”Se o Wireshark estiver instalado, deve haver um nome de versão com muitos detalhes, como na seguinte captura de tela:

Se não estiver instalado, use os comandos “apt-get update" e "apt-get install wirehark”Para instalar o Wireshark em seu sistema.

Configurando o Modo Monitor

Nas seções anteriores, você viu que o modo padrão da interface Wi-Fi é “gerenciado.”Para capturar um pacote sem fio, precisamos converter o modo“ gerenciado ”para o modo“ monitor ”. Existem diferentes comandos que você pode usar, mas para usar um método simples primeiro, vamos tentar usar o “iwconfig”Comando para criar o modo de monitor.

Suponhamos que o nome da interface Wi-Fi seja “wlp2s0,”Como mostrado na imagem.

Etapa 1: entrar no modo de superusuário

Primeiro, entre no modo superusuário; caso contrário, obteremos permissão para fazer isso.

Comando: “su”

Etapa 2: Criar modo de monitor

Comando: “Iwconfig wlps20 mode monitor”

Resultado: Se a interface estiver ativa e ativa, você obterá o erro “Dispositivo ou recurso ocupado”.

Então, desative a interface usando o seguinte comando.

Comando: “ifconfig wlsp2s0 down”

Então, execute o primeiro comando novamente.

Por fim, verifique se a interface está no modo monitor usando o botão “iwocnfig”Comando.

Aqui está a captura de tela para explicar todas as etapas acima:

Etapa 3: configurar o canal de detecção de Wi-Fi

No protocolo sem fio, existem duas bandas de radiofrequência:

1. 5 GHz [faixa de frequência é 5180 MHz - 5825 MHz]
2. 2.4 GHz [faixa de frequência é 2412 MHz - 2484 MHz]

Link wiki para a lista de canais WLAN: https: // en.wikipedia.org / wiki / List_of_WLAN_channels

Se a sua placa wireless suporta 1 e 2, isso significa que a placa Wi-Fi pode detectar ambos os canais configurados para largura de banda. Vamos ver o que nosso cartão suporta.

Usando o comando “minha lista,”Podemos verificar esta capacidade. Estamos procurando a seção abaixo na captura de tela de saída do comando:

Como você pode ver na lista acima, este chip Wi-Fi suporta apenas 2.4 Ghz [Verifique a faixa de frequência].

Cada frequência é conhecida como número de canal. Por exemplo, 2412 MHz é considerado canal 1 [mostrado em []].

Agora, precisamos configurar um canal para nossa interface de modo de monitor. Vamos tentar definir o canal 11 [a frequência é 2462 MHz].

Comando: “iwconfig wlp2s0 canal 11”

Se o comando acima gerar um erro, isso tornará a interface [“ifconfig wlp2s0 up”] E, em seguida, executa o“iwconfig wlp2s0 canal 11”Comando. Finalmente, execute o “iwconfig”Comando para garantir que o canal está configurado corretamente.

A captura de tela a seguir explica as etapas fornecidas acima:

Etapa 4: iniciar o Wireshark e iniciar a captura

Agora, estamos prontos para capturar pacotes sem fio. Você pode iniciar o Wireshark em segundo plano usando o seguinte comando:

Na janela de inicialização do Wireshark, você deve ver a seguinte tela. Aqui, você pode ver uma lista de interfaces.

Em seguida, escolha a interface do modo de monitor, que é “wlp2s0.”Selecione esta interface e clique duas vezes nela.

Você pode ver que a captura ao vivo está acontecendo.

A seguir estão algumas dicas sobre pacotes sem fio:

Você deve ver a seção de protocolo, que geralmente mostra 802.11, que é o padrão IEEE sem fio.

Você também deve ver os frames "Beacon", "Probe Request" e "Probe Response" na seção de informações de qualquer frame.

Se você deseja salvar a captura e verificá-la mais tarde, selecione “salvar” ou “salvar como” e salve para análise posterior.

Contanto que a interface esteja no modo monitor, você pode capturar pacotes sem fio. Lembre-se de que se você reiniciar o sistema, a interface sem fio aparecerá como mod “Gerenciado” novamente.

Conclusão

Neste artigo, você aprendeu como capturar pacotes sem fio usando Wireshark no Linux. Isso é muito fácil de fazer no Linux usando o cartão Wi-Fi integrado sem instalar nenhum software extra de terceiros. Você pode fazer um script de shell contendo todos esses comandos e executar aquele script de shell único para configurar a placa Wi-Fi do seu sistema como modo de monitor, definir o canal preferido e começar a usar o Wireshark.