搜尋此網誌

2008年11月26日 星期三

無線網路封包擷取

在之前的文章 - WEP Cracking - 中我談到如何破解WEP的金鑰。破解金鑰之後有甚麼用途?
  1. 可以加入無線網路成為其中的一份子,然後"使用"其內部的相關網路資源。
  2. 可以透過此一無線網路對其他網際網路的主機進行"非法存取"。
  3. 可以竊取此一無線網路上所傳遞的資訊。
  4. 可以監看此一無線網路上的使用狀況。
基本上3跟4是類似的事情,不過4是屬於合法的使用,而3則屬於非法的行為。在此我不鼓勵也不從事非法的行為(項目1-3),所以我這次要談的是4的應用。

還記得上次我們在破解WEP金鑰的時候,有產生一個封包的紀錄檔 (wifi-01.cap)。這個檔案紀錄了當時所擷取到的封包,只不過封包的內容是經過WEP加密的。aircrack-ng有一個工具,可以幫我們進行解密的動作。指令為
airdecap-ng -e 00:XX:XX:XX:XX:3C -w 61xxxxxxxxxxxxxxxxxxxxxxxx wifi-01.cap
其中61xxxxxxxxxxxxxxxxxxxxxxxx就是WEP的金鑰,唯必須使用16進位的方式加以表示。解密後的封包會寫入wifi-01-dec.cap,這個檔案就可以直接用packet analyzer(如wireshark)打開並觀看到其中的原始內容了。

不過上述方式需要手動執行兩個分別的動作,而且不能夠即時看到封包內容,很明顯跟我們熟悉的方式有一段差距。幸運的是,有不少工具可以即時對WEP進行解密,並顯示封包的內容,其中包含最好用的免費軟體之一 - wireshark。實際上,wireshark不只能夠解開WEP的加密,也可以解開WPA的加密方式。方法如下:

  1. 打開wireshark。
  2. 選擇Edit->Preferences,其中左方有一個IEEE 802.11的設定畫面,把我們所知道的WEP金鑰鍵入,同樣要使用16進位的格式。
  3. 選擇"OK"完成設定。
  4. 進行監測,可以即時看到解密後的封包。
  5. 當封包數量過多而你只想要觀看單一電腦的封包,同樣可以透過filter的方式。如果你使用Capture Filter的話,要記得必須使用MAC Address的方式加以設定,而不能使用IP Address。那是因為解密前只有MAC Address的資訊可以取得。

沒有留言:

張貼留言

About