無線LANのパケットを手っ取り早くキャプチャする方法メモ 3 comments
こんにちは。
もうそろそろ、といっても9月ですが「無線LANセキュリティの教科書2012」が出るはずです。その原稿書きに8月は追われていました。とはいえあくまで入門書なので、ここをご覧いただいているようなある意味突き抜けた人にはご縁がないかもしれません。あしからず。
で、そこには収録されることはないと思いますが、ちょっとだけ紹介したBlackBuntuをインストールしたついでに無線LANのフレームをキャプチャしたりしてみたのでメモしておきます。
久しぶりの更新だというのにメモなのでたいしたことは書いてません。
・無線LANのキャプチャ
まずWireSharkでキャプチャ。暗号化されて流れているフレームを復号して、パケットを眺める方法です。
ただ集めて保存するだけなら、パスワード設定のくだりは必要ないですし、べつにairodump-ng使えばいいと思います。
起動してまず
Windowsの場合は
「View」→「Wireless Toolbar」しておくと便利かも。
まず「Edit」→「Preference」の「Preference」から「IEEE802.11」を選びます。
フレームが暗号化されている場合「Enable decryption」にチェック。
WEPの場合は16進数でキーを(5文字の場合:で区切る13)
WPAの場合は
wpa-psk:パスワード
もしくはwpa-psk:パスワード:ssid
wpa-pskにしたい場合は
http://www.wireshark.org/tools/wpa-psk.html
のWPA PSK (Raw Key) Generatorを使うといいかも。
無線LANのパスワードを設定
設定が終わったら「Capture」からキャプチャ。
WEPの場合は最初からモリモリ取れるけど、WPAの場合鍵交換が終わってテンポラリキーが手に入るまではキャプチャできないので焦らず待つことに。
暗号化したフレームを復元
・フレームのデコードというか復号というか
WireSharkで保存したフレームはデータが復号されてない802.11の生データなので
IP通信覗きたいときはデコードした形にしたいよね。毎回パスワード設定すんの面倒だよね。
と思った俺はairdecap-ngを使うといいみたい。
WEPの場合
# airdecap-ng -w [16進パスワード] [ファイル名]
WPAの場合(essid必須)
# airdecap-ng -p [パスワード] -e [essid] [ファイル名]
airdecap-ngで変換
これで暗号化されていない802.11フレームが
hoge.capだとhoge-dec.capみたいに別ファイルで保存されますので、これでパスワード忘れてもいいね。
(WireSharkで復号されたまま保存されるやり方もあるのかもしれないが未確認)
・Xplicoを使っていろいろデータを復元
ついでにインストールされているXplicoを使ってデータを復元してみます。
特に何も考えず
「Service」→「Xplico」→「Start Xplico」
アクセスはブラウザーから
http://127.0.0.1:9876/
デフォルトユーザー/パスワードは「xplico」
デコードしたpcapファイルをアップロードするとデータが復元されるっぽい。
あんまりがっつりデータを取ってないので詳細はまた後日。
Xplicoを使ってみた
とりあえずどれもよく落ちるのでメモリとCPUは高スペックな方がいいと思いました。