Einleitung
Willkommen zu diesem Labor zur Vorbereitung eines drahtlosen Adapters für den Monitor-Modus. Der Monitor-Modus, auch bekannt als RFMON (Radio Frequency MONitor) Modus, ermöglicht es einem Computer mit einer drahtlosen Netzwerkkarte (WNIC), den gesamten auf einem drahtlosen Kanal empfangenen Datenverkehr zu überwachen. Dies unterscheidet sich grundlegend vom Standard-"Managed"-Modus, bei dem der Adapter nur Pakete erfasst, die an ihn adressiert sind.
Die Aktivierung des Monitor-Modus ist ein entscheidender erster Schritt für viele Aufgaben der drahtlosen Sicherheit, wie z. B. Paket-Sniffing, Verkehrsanalysen und Penetrationstests. In diesem Labor verwenden Sie die leistungsstarke Aircrack-ng-Suite, eine Sammlung von Werkzeugen zur Überprüfung drahtloser Netzwerke, um Ihren drahtlosen Adapter korrekt zu konfigurieren. Sie lernen, wie Sie Ihr drahtloses Gerät identifizieren, Prozesse behandeln, die den Monitor-Modus stören können, und schließlich den Moduswechsel aktivieren und überprüfen.
Am Ende dieses Labors werden Sie ein praktisches Verständnis des Standardverfahrens für die Umstellung einer drahtlosen Karte in den Monitor-Modus in einer Linux-Umgebung haben.
Drahtlose Schnittstellen mit iwconfig identifizieren
In diesem Schritt identifizieren Sie zunächst die verfügbaren drahtlosen Netzwerkschnittstellen auf Ihrem System. Der Befehl iwconfig ist ein Standardwerkzeug zur Konfiguration drahtloser Netzwerkschnittstellen. Wenn Sie ihn ohne Argumente ausführen, werden alle drahtlosen Schnittstellen und ihre aktuelle Konfiguration aufgelistet, wie z. B. der Modus, die Frequenz und die Verbindungsqualität.
Dies ist der wesentliche erste Schritt, um sicherzustellen, dass Sie den Namen der Schnittstelle kennen, mit der Sie arbeiten möchten. In den meisten Fällen heißt die primäre drahtlose Schnittstelle wlan0.
Führen Sie den folgenden Befehl in Ihrem Terminal aus, um die drahtlosen Schnittstellen aufzulisten:
iwconfig
Sie sollten eine Ausgabe ähnlich der folgenden sehen. Achten Sie genau auf die Schnittstelle wlan0 und notieren Sie ihren Mode. Anfangs wird sie im Managed-Modus sein, was bedeutet, dass sie als Standard-Client-Adapter fungiert.
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11 Mode:Managed Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on
Dies bestätigt, dass wlan0 unsere Ziel-Drahtlosschnittstelle ist und sich derzeit im Standard-Managed-Modus befindet.
Auf potenzielle Konflikte mit airmon-ng check prüfen
In diesem Schritt verwenden Sie das Werkzeug airmon-ng, um nach Prozessen zu suchen, die die Aktivierung des Monitor-Modus stören könnten. Bestimmte Systemdienste wie NetworkManager und wpa_supplicant verwalten die drahtlose Schnittstelle und können versuchen, sie automatisch wieder mit Netzwerken zu verbinden oder ihren Zustand zu ändern. Dies kann verhindern, dass der Monitor-Modus korrekt funktioniert, oder dazu führen, dass er unerwartet deaktiviert wird.
Der Befehl airmon-ng check wurde speziell entwickelt, um diese potenziell störenden Prozesse zu identifizieren.
Führen Sie den folgenden Befehl in Ihrem Terminal aus. Da airmon-ng mit netzwerkbezogenen Systemeinstellungen interagiert, müssen Sie sudo verwenden, um ihm Administratorrechte zu gewähren.
sudo airmon-ng check
Die Ausgabe listet alle laufenden Prozesse auf, die Probleme verursachen könnten. Hier ist ein Beispiel dafür, was Sie sehen könnten:
Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stop working after
a short period of time, you may want to kill (some of) them!
PID Name
1234 wpa_supplicant
5678 NetworkManager
Diese Ausgabe teilt uns mit, dass wpa_supplicant und NetworkManager laufen und gestoppt werden sollten, bevor wir fortfahren.
Konfliktierende Prozesse mit airmon-ng check kill beenden
In diesem Schritt beenden Sie die in den vorherigen Schritt identifizierten konfliktierenden Prozesse. Während Sie diese manuell mit dem Befehl kill stoppen könnten, bietet airmon-ng eine bequeme und zuverlässige Möglichkeit, dies automatisch mit dem Argument check kill zu tun. Dieser Befehl findet und stoppt alle bekannten problematischen Dienste und stellt so eine saubere Umgebung für die Aktivierung des Monitor-Modus sicher.
Führen Sie den folgenden Befehl aus, damit airmon-ng die konfliktierenden Prozesse beendet:
sudo airmon-ng check kill
Der Befehl zeigt die Prozesse an, die er stoppt. Die Ausgabe sollte ungefähr so aussehen und bestätigen, dass die Dienste beendet wurden.
Killing these processes:
PID Name
1234 wpa_supplicant
Nachdem Sie diesen Befehl ausgeführt haben, wird Ihre drahtlose Schnittstelle nicht mehr von diesen Diensten verwaltet und ist somit bereit für die Modusänderung. Beachten Sie, dass Sie dadurch von jedem drahtlosen Netzwerk, mit dem Sie derzeit verbunden sind, getrennt werden.
Monitor-Modus mit airmon-ng start wlan0 aktivieren
In diesem Schritt aktivieren Sie den Monitor-Modus auf Ihrer drahtlosen Schnittstelle. Dies ist das Hauptziel des Labs. Nachdem alle konfliktierenden Prozesse gestoppt wurden, können Sie nun airmon-ng verwenden, um die Schnittstelle wlan0 vom Verwaltungsmodus in den Monitor-Modus zu wechseln.
Der Befehl hierfür lautet airmon-ng start, gefolgt vom Namen der Schnittstelle. airmon-ng übernimmt die notwendigen Low-Level-Befehle, um den Betriebsmodus des Geräts zu ändern. Es erstellt in der Regel auch eine neue virtuelle Netzwerkschnittstelle für den Monitor-Modus, die oft durch Anhängen von "mon" an den ursprünglichen Schnittstellennamen benannt wird (z. B. wlan0mon).
Führen Sie den folgenden Befehl aus, um den Monitor-Modus auf wlan0 zu starten:
sudo airmon-ng start wlan0
Die Ausgabe liefert Informationen über den Prozess. Sie bestätigt, dass der Monitor-Modus aktiviert wurde, und teilt Ihnen den Namen der neuen Monitor-Schnittstelle mit.
PHY Interface Driver Chipset
phy0 wlan0 mac80211_hwsim Software-only virtual MAC
(monitor mode enabled on wlan0mon)
Wie Sie in der Beispielausgabe sehen können, wurde der Monitor-Modus aktiviert und eine neue Schnittstelle namens wlan0mon erstellt. Dies ist die Schnittstelle, die Sie für alle nachfolgenden Aufgaben zur drahtlosen Sicherheit verwenden werden.
Überprüfen der neuen Monitor-Schnittstelle mit iwconfig
In diesem letzten Schritt überprüfen Sie, ob die drahtlose Schnittstelle erfolgreich im Monitor-Modus arbeitet. Es ist immer eine gute Praxis zu bestätigen, dass eine Konfigurationsänderung korrekt angewendet wurde. Dies können Sie tun, indem Sie denselben iwconfig-Befehl wie in Schritt 1 verwenden.
Diesmal sollte die Ausgabe die neue Monitor-Schnittstelle (wlan0mon) anzeigen und explizit angeben, dass ihr Modus Monitor ist.
Führen Sie iwconfig erneut aus, um den Status aller drahtlosen Schnittstellen zu überprüfen:
iwconfig
Die Ausgabe wird nun anders sein als das, was Sie in Schritt 1 gesehen haben. Sie sollten die neue Schnittstelle wlan0mon aufgelistet sehen, und ihr Modus wird auf Monitor gesetzt sein.
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on
wlan0 IEEE 802.11 Mode:Managed Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on
Wenn Sie Mode:Monitor für die Schnittstelle wlan0mon sehen, bestätigt dies, dass Sie Ihren drahtlosen Adapter erfolgreich vorbereitet haben. Er ist nun bereit, den gesamten umliegenden Wi-Fi-Verkehr auf seinem aktuellen Kanal zu erfassen.
Zusammenfassung
In diesem Lab haben Sie erfolgreich einen drahtlosen Adapter für den Monitor-Modus in einer Linux-Umgebung vorbereitet. Sie haben einen standardmäßigen, wiederholbaren Workflow mit der Aircrack-ng-Suite gelernt und geübt.
Sie haben die folgenden Schlüsselaufgaben erfolgreich abgeschlossen:
- Identifizierung der verfügbaren drahtlosen Schnittstelle (
wlan0) mitiwconfig. - Verwendung von
sudo airmon-ng check, um Prozesse zu finden, die den Monitor-Modus stören könnten. - Sauberes Beenden dieser störenden Prozesse mit
sudo airmon-ng check kill. - Aktivierung des Monitor-Modus auf der Ziel-Schnittstelle mit
sudo airmon-ng start wlan0, wodurch eine neue Monitor-Schnittstelle (wlan0mon) erstellt wurde. - Überprüfung der erfolgreichen Modusänderung durch erneute Überprüfung der Ausgabe von
iwconfig.
Ihr drahtloser Adapter ist nun ein leistungsfähiges passives Abhörgerät, bereit für die Verwendung mit Tools wie airodump-ng oder Wireshark zur Analyse des drahtlosen Datenverkehrs und zur Sicherheitsprüfung.