Wireless-security-traffic-analysis
ワイヤレスセキュリティ-トラフィック分析
ワイヤレストラフィック分析のプロセスは、フォレンジック調査やトラブルシューティングに非常に役立ちます。もちろん、これは優れた自己学習方法です(アプリケーションとプロトコルが相互に通信する方法を学ぶためだけです)。 トラフィック分析を可能にするには、まず、このトラフィックを何らかの方法で収集する必要があり、このプロセスはトラフィックスニッフィングと呼ばれます。 トラフィックスニッフィングで最も一般的に使用されるツールは、KismetとWiresharkです。 これらのプログラムは両方とも、WindowsおよびLinux環境用のバージョンを提供します。
ワイヤレスネットワークの侵入テストとハッキングの目的で収集する価値のあるデータのタイプは、* BSSID、WEP IV、TKIP IV、CCMP IV、EAP 4ウェイハンドシェイク交換、ワイヤレスビーコンフレーム、通信のMACアドレスです。パーティーなど*。 ワイヤレストラフィックのダンプでは、さらに多くの機能を利用できます。 取得する情報のほとんどは、前の章で説明したすべての攻撃で使用されます。 WLAN展開で使用される暗号化および認証モデルを破るために、(たとえば)オフラインの総当たり攻撃への入力として使用できます。
WindowsとLinuxの両方でWiresharkを使用することは非常に直感的です。どちらの環境でも、両方のシステムで同じGUIが提供されます。 プログラムが起動したら、トラフィックスニッフィングに使用される物理インターフェイスのみを指定する必要があり(有線またはワイヤレスのいずれかのインターフェイスを選択できます)、トラフィックスニッフィングを続行します。 ワイヤレスカードによって収集されたワイヤレスパケットの例を次のスクリーンショットに示します。
出力のレイアウトは常に同じです-上から行くと、あなたが持っています-
- Filter Field -Wiresharkには、リアルタイムのトラフィック出力を制限できる非常に優れたフィルタリングツールが装備されています。 周囲のすべてのワイヤレスクライアントから毎秒送信される数百のパックから特定のフロー(特定のMACアドレス間または特定のIPアドレス間)を抽出する必要がある場合に非常に便利です。
- トラフィック出力-このセクションでは、ワイヤレスインターフェイスでスニッフィングされたすべてのパケットが1つずつ表示されます。 出力のこの部分では、* SRC/DST MACアドレス、プロトコル(この場合はWi-Fi 802.11)*、およびパケットに関する簡単な情報など、トラフィック特性の基本的な要約のみを見ることができます。
- データのデコードされたパラメータ-このセクションには、フレームに存在するすべてのフィールド(すべてのヘッダー+データ)がリストされます。 サンプルダンプを使用すると、一部の情報は読み取り不可能なデータ(おそらく暗号化された)の形式であり、802.11ヘッダーではCCMP情報(トラフィックがAES暗号化されていることを確認します)を見つけることができるため、WPA2であることがわかりますWi-Fiネットワーク。
- Hex Dump -Hex Dumpは、上記の「データのデコードされたパラメーター」とまったく同じ情報ですが、16進形式です。 その理由は、16進表現がパケットの最初の方法であるが、Wiresharkには特定のHEX値を既知のプロトコルフィールドにマッピングするために使用される何千もの「トラフィックテンプレート」があるためです。 たとえば、802.11ヘッダーでは、5から11までのバイトが常にワイヤレスフレームのMACアドレスのソースであり、同じパターンマッピングを使用して、Wireshark(およびその他のスニファー)は静的(および既知)を再構築およびデコードできますプロトコルフィールド。
たとえば、収集されたトラフィックに対して高度な操作を実行するPythonスクリプト(暗号化モデルのクラッキングなど)への入力として後で使用できる共通の .pcap 形式を使用して、すべてのトラフィックダンプを保存できます。
知っておくべきもう1つのツールは Kismet です。 Kismetツールを起動して mon0 インターフェイスを指定すると、環境で検出されたすべてのSSIDが一覧表示されます。
Kismetの実行中、すべてのワイヤレスパケットが収集され、*。pcap *ファイルに保存されます。 プログラムを終了すると、すべてのワイヤレスパケットダンプが保存され、後でアクセスできるというメッセージが表示されます。
上記の例では、すべてのパケットダンプはバイナリファイルに格納されています(「more」、「vi」、「nano」などでファイルを開くと、読み取り可能な形式ではありません)。
それらを正しく開くには、Wiresharkを使用する必要があります(もう一度!)。