LabEx
EntrerRejoindre

Analyser les fichiers journaux de Fluxion pour le dépannage

Beginner
Pratiquer maintenant

Introduction

Fluxion est un outil populaire utilisé pour l'audit de sécurité Wi-Fi. Comme tout logiciel complexe, il peut parfois rencontrer des problèmes ou échouer lors d'une opération. Lorsque cela se produit, les fichiers journaux qu'il génère sont une ressource inestimable pour comprendre ce qui s'est mal passé.

Dans ce laboratoire, vous apprendrez le processus fondamental d'analyse des fichiers journaux de Fluxion à des fins de dépannage. Vous utiliserez des outils de ligne de commande Linux basiques mais puissants pour naviguer dans le système de fichiers, inspecter les fichiers journaux et rechercher des messages d'erreur spécifiques. Cette compétence est essentielle pour tout praticien de la sécurité ou administrateur système.

Dans cette étape, vous commencerez par naviguer vers le répertoire où Fluxion stocke ses fichiers journaux. Pour ce laboratoire, nous avons simulé un répertoire fluxion à l'intérieur de votre dossier ~/project. Les journaux sont situés dans un sous-répertoire nommé logs.

Vous utiliserez la commande cd (change directory) pour vous déplacer dans le bon dossier. C'est la première étape pour accéder à tous les fichiers que vous devez inspecter.

Exécutez la commande suivante dans votre terminal :

cd fluxion/logs

Après avoir exécuté la commande, l'invite de votre terminal changera pour refléter votre nouvel emplacement, qui devrait maintenant être ~/project/fluxion/logs. Vous pouvez également utiliser la commande pwd (print working directory) pour confirmer votre emplacement actuel.

pwd

Vous devriez voir la sortie suivante :

/home/labex/project/fluxion/logs

Lister les fichiers journaux pour trouver le plus récent

Dans cette étape, vous allez lister les fichiers du répertoire logs. Lors du dépannage, vous êtes souvent intéressé par le fichier journal le plus récent, car il correspond à votre dernière tentative.

La commande ls est utilisée pour lister les fichiers et les répertoires. Pour faciliter la recherche du fichier le plus récent, vous pouvez utiliser les indicateurs -lt.

  • l fournit un format de liste détaillé avec des informations telles que les permissions, le propriétaire, la taille et la date de modification.
  • t trie les fichiers par date de modification, les fichiers les plus récents apparaissant en premier.

Maintenant, exécutez la commande ls -lt pour voir les fichiers journaux :

ls -lt

Vous verrez une sortie similaire à celle-ci, avec le fichier journal le plus récent en haut :

total 8
-rw-r--r-- 1 labex labex 298 Oct 27 14:00 fluxion_20231027_140000.log
-rw-r--r-- 1 labex labex 234 Oct 26 10:30 fluxion_20231026_103000.log

À partir de cette sortie, vous pouvez facilement identifier fluxion_20231027_140000.log comme le journal le plus récent.

Utiliser 'cat' ou 'less' pour afficher le contenu d'un fichier journal

Dans cette étape, vous allez afficher le contenu du fichier journal le plus récent que vous avez identifié. Il existe plusieurs commandes pour afficher le contenu des fichiers, mais cat et less sont deux des plus courantes.

  • cat (concatenate) lit le fichier et imprime son contenu entier dans le terminal. Il est préférable pour les petits fichiers.
  • less est un paginateur qui vous permet de faire défiler un fichier. Il est idéal pour les fichiers volumineux.

Étant donné que nos fichiers journaux sont petits, cat est un bon choix. Visualisons le contenu du fichier journal le plus récent, fluxion_20231027_140000.log.

Exécutez la commande suivante :

cat fluxion_20231027_140000.log

Le terminal affichera le contenu complet du fichier journal :

[2023-10-27 14:00:01] INFO: Starting Fluxion v3.1
[2023-10-27 14:00:05] INFO: Scanning for wireless networks...
[2023-10-27 14:01:15] INFO: Target selected: OfficeNet
[2023-10-27 14:02:00] WARNING: Deauthentication attack failed. Target may be out of range.
[2023-10-27 14:02:05] INFO: Retrying attack...
[2023-10-27 14:03:45] ERROR: Handshake capture timed out.
[2023-10-27 14:03:50] INFO: Shutting down.

Vous pouvez maintenant voir chaque événement que Fluxion a enregistré pendant son fonctionnement.

Rechercher des messages d'erreur ou des avertissements

Dans cette étape, vous apprendrez à trouver rapidement des problèmes en recherchant des mots-clés spécifiques tels que "ERROR" ou "WARNING". Lire manuellement de longs fichiers journaux est inefficace. La commande grep est un outil puissant pour filtrer du texte et trouver des lignes qui correspondent à un modèle spécifique.

La syntaxe de base est grep "pattern" filename. Utilisons grep pour rechercher toutes les lignes contenant le mot "ERROR" dans notre fichier journal.

Exécutez la commande suivante :

grep "ERROR" fluxion_20231027_140000.log

La sortie n'affichera que la ou les lignes qui correspondent au modèle :

[2023-10-27 14:03:45] ERROR: Handshake capture timed out.

Cela vous indique immédiatement l'échec critique. Vous pouvez faire de même pour "WARNING" afin de trouver des problèmes potentiels, non critiques. grep prend également en charge la recherche insensible à la casse avec l'indicateur -i (par exemple, grep -i "error"), ce qui est utile si vous n'êtes pas sûr de la casse.

Corréler les horodatages avec les échecs d'attaque

Dans cette étape, vous appliquerez vos découvertes pour comprendre le contexte de l'échec. Trouver un message d'erreur n'est qu'une partie du processus. Pour comprendre pleinement pourquoi l'erreur s'est produite, vous devez examiner les événements qui se sont produits juste avant.

Regardez à nouveau la ligne d'erreur que vous avez trouvée à l'étape précédente : [2023-10-27 14:03:45] ERROR: Handshake capture timed out.

L'horodatage 14:03:45 est la clé. Maintenant, réexaminez le contenu complet du journal (vous pouvez utiliser à nouveau cat fluxion_20231027_140000.log) et regardez les entrées qui précèdent immédiatement cet horodatage.

...
[2023-10-27 14:02:00] WARNING: Deauthentication attack failed. Target may be out of range.
[2023-10-27 14:02:05] INFO: Retrying attack...
[2023-10-27 14:03:45] ERROR: Handshake capture timed out.
...

En corrélant les horodatages, vous pouvez construire une chronologie des événements :

  1. À 14:02:00, une attaque de désauthentification a échoué.
  2. À 14:02:05, Fluxion a retenté l'attaque.
  3. Environ une minute et demie plus tard, à 14:03:45, la capture de handshake a expiré, entraînant l'erreur finale.

Cette analyse suggère que le problème est lié à l'attaque de désauthentification ou à la réactivité de la cible, et non à un bug logiciel dans Fluxion lui-même. C'est le cœur du dépannage efficace basé sur les journaux : utiliser les horodatages pour relier les événements et diagnostiquer la cause première.

Résumé

Félicitations pour avoir terminé ce laboratoire ! Vous avez acquis les compétences essentielles pour analyser les fichiers journaux dans un environnement Linux, une tâche cruciale pour le dépannage d'applications comme Fluxion.

Dans ce laboratoire, vous avez pratiqué :

  • La navigation dans le système de fichiers à l'aide de cd.
  • La liste et le tri des fichiers pour trouver le plus récent avec ls -lt.
  • La visualisation du contenu des fichiers avec cat.
  • La recherche de mots-clés spécifiques comme "ERROR" à l'aide de grep.
  • La corrélation des horodatages pour comprendre la séquence des événements menant à un échec.

Ces compétences fondamentales en ligne de commande sont transférables et vous seront utiles dans de nombreux domaines de l'administration système, du développement et de l'analyse de sécurité.