Wireshark設定を使用してローカルwifiネットワーク上のすべてのパケットをキャプチャするにはどうすればよいですか?
ホームラボ環境で「wifiカフェ」の設定を複製しようとしています。 Wi-Fiネットワーク上の暗号化されていない(HTTPS以外の)ネットワークトラフィックが他のワイヤレスデバイスで表示される可能性があることを示したいと思います。有線ネットワーク上でこれを実際に見たことがあります(ala firesheep )。
ワイヤレスインターフェイスでキャプチャするように適切に設定されたWiresharkがあります。監視モードを使用して802.11パケットを表示およびキャプチャすることもできますが、それらのコンテンツを表示できません。
どの設定が欠けているか、またはデータを表示するためにWPA2パスフレーズをデコードする必要がありますか?
パスフレーズが必要な場合は、それを持っています(これが私のラボネットワークである場合)。この場合、記録後にデータを復号化するソフトウェアはありますか?
@Leoのコンテキストと詳細情報の更新:
このプロセスを開始したとき、macbook airのen0インターフェイス(ワイヤレス)で無差別モードを使用しました。ローカルコンピューターから問題のURLへのネットワークトラフィックを検出できましたが、別のデバイスから同じURLを表示すると、そのデバイスのトラフィックを確認できませんでした。
ローカルインターフェイスを監視していて、ターゲットデバイスからのトラフィックがMacbookのインターフェイスを経由していないため、これは理にかなっています。 (これは、私が無差別モードであったとしても、トラフィックはAP(アクセスポイント)とターゲットワイヤレスクライアントの間でした。
私は「イーサネット」モードでも監視していました。
次に、そのインターフェイスを監視モードに切り替え(スクリーンショット#3を参照)、無線トラフィックのみが表示され、その無線トラフィック内のIPではありませんでした。一部のネットワークカードは、監視モード中に関連付けが解除されるという警告がありましたが、これは理にかなっています。
ただし、無線トラフィックを表示できる場合は、無線トラフィックのallが表示されることが予想されます。したがって、allが含まれます。たとえ暗号化されていても、IPのしたがって、正しいワイヤレスパスフレーズが与えられていれば、ターゲットクライアントとAPの間の無線パケットを復号化できる可能性があると考えます(これも私が持っています)。多分私はここのデータフローの理解に何か欠けていますか?...
OK。コメントと更新後、質問が正しいかどうか確信が持てない場合でも、回答を試みます。
WiFiデバイスが2台あると思います。AP/ルーターに接続されている正当なネットワークデバイスを「ホスト」に呼び出し、トラフィックをキャプチャしようとしているデバイスを「スニファ」します。
WiFiネットワークが開いている場合(暗号化がまったくない場合など)は、モニター/混合モードのスニファーで単に「聞く」ことができます。
悲しいかな、WiFiネットワークは暗号化されているため、通常は最初にトラフィックを監視してその暗号化を解読する必要があります(WEPまたはWPA2、後者は現在の事実上の標準であり、前者はまったく役に立たないため、どちらも脆弱です)。スニファは、クラッキング方法の1つを使用して鍵を取得しようとします。
したがって、暗号化されたネットワークのキーを取得したら、それをWiresharkの構成に入力するだけなので、処理前に復号化します。
Edit -> Preferences -> Protocols -> IEEE 802.11
ここでは、Enable Decryptionチェックボックスを有効にし、New、PSKをプレーンテキストで入力する場合はwpa-pwdを選択し、256ビットのキーパスフレーズを取得する場合はwpa-pskを選択します。
これで、WPA2により暗号化されたトラフィックを確認できるはずです。プレーンHTTPトラフィックがある場合は、それも表示されるはずです。
詳細は this(very nice)tutorial をご覧ください。スクリーンショットも含まれています。