Введение
В этом лабораторном занятии вы научитесь захватывать и анализировать кадры беспроводной сети с использованием Tshark, командной строковой утилиты Wireshark. Вы будете практиковать включение режима мониторинга на беспроводном интерфейсе, захват пакетов с использованием конкретных фильтров и изучение деталей кадров в рамках практических упражнений.
В рамках лабораторной работы рассматриваются основные методы, включая настройку интерфейса, захват пакетов в режиме реального времени и целенаправленный анализ кадров-маяков 802.11. Вы получите практический опыт работы как с командной строкой, так и с графическим интерфейсом для наблюдения за беспроводным трафиком, который обычно невидим в стандартных сетевых режимах.
Включить режим мониторинга с помощью флага -I
На этом этапе вы узнаете, как включить режим мониторинга в Wireshark с использованием флага -I. Режим мониторинга представляет собой специальный режим беспроводного интерфейса, который позволяет сетевому адаптеру захватывать весь беспроводной трафик на определенном канале, включая пакеты, не адресованные вашему устройству. Это отличается от обычного "управляемого режима", в котором устройство получает только пакеты, предназначенные для него.
Перед началом работы необходимо убедиться, что ваш беспроводной интерфейс доступен. Большинство систем Linux используют wlan0 в качестве имени по умолчанию для беспроводного интерфейса. Проверим это с помощью команды iwconfig:
iwconfig
В списке интерфейсов вы должны увидеть wlan0. Если вы видите другое имя, вам нужно будет заменить его в следующих командах.
Далее мы воспользуемся инструментом airmon-ng из пакета aircrack-ng для включения режима мониторинга. Этот инструмент помогает управлять беспроводными интерфейсами:
sudo airmon-ng start wlan0
Эта команда создает новый виртуальный интерфейс в режиме мониторинга, обычно называемый wlan0mon. Суффикс "mon" указывает, что интерфейс находится в режиме мониторинга.
Проверим, что режим мониторинга активен, проверив свойства интерфейса:
iwconfig wlan0mon
В выводе команды обратите внимание на строку "Mode:Monitor", которая подтверждает, что интерфейс настроен правильно. Здесь вы также можете увидеть детали о частоте и канале.
Теперь мы готовы запустить Wireshark с включенным режимом мониторинга:
wireshark -I -i wlan0mon
Флаг -I специально сообщает Wireshark использовать режим мониторинга, а -i wlan0mon указывает на наш интерфейс мониторинга. Без этих флагов Wireshark попытается захватывать трафик в обычном управляемом режиме.
После запуска Wireshark проверьте список интерфейсов. Вы должны увидеть wlan0mon с пометкой "(monitor mode)" рядом с ним. Эта визуальная проверка поможет убедиться, что вы правильно захватываете весь беспроводной трафик.
Начать захват с помощью -i wlan0
На этом этапе вы будете захватывать трафик беспроводной сети с помощью командной строки Wireshark. Флаг -i является ключевым, так как он сообщает Wireshark, какой сетевой интерфейс нужно отслеживать. Поскольку мы работаем с беспроводными сетями, мы будем использовать интерфейс режима мониторинга, который мы настроили ранее.
Перед началом работы убедимся, что наш интерфейс режима мониторинга настроен правильно. Эта проверка гарантирует, что мы захватываем правильный тип беспроводных данных:
iwconfig wlan0mon
В выводе команды найдите строку "Mode:Monitor" - это подтверждает, что ваш интерфейс готов захватывать весь беспроводной трафик в вашем радиусе действия, а не только трафик, предназначенный для вашего устройства.
Теперь запустим Wireshark для начала захвата пакетов:
wireshark -i wlan0mon
Часть -i wlan0mon специально сообщает Wireshark использовать наш интерфейс режима мониторинга. В открывшемся окне Wireshark:
- Список пакетов будет заполняться в режиме реального времени по мере передачи беспроводных кадров устройствами вокруг вас
- Убедитесь, что в строке состояния отображается "wlan0mon", чтобы подтвердить правильный выбор интерфейса
- Следите за увеличением счетчика пакетов, это показывает, что захват данных успешно выполняется
Чтобы остановить захват пакетов, когда вы закончите:
- Нажмите на яркую красную кнопку "Stop" в панели инструментов
- В качестве альтернативы нажмите Ctrl+E, чтобы включить или выключить захват
В случаях, когда вы предпочитаете работать в терминале или вам нужно автоматизировать процесс захвата, Tshark (командная строковая версия Wireshark) - идеальный вариант:
tshark -i wlan0mon -c 10
Эта команда захватывает ровно 10 пакетов, а затем автоматически останавливается, отображая результаты непосредственно в терминале. Флаг -c контролирует количество пакетов, которое нужно захватить перед остановкой.
Отфильтровать маяки с помощью -Y "wlan.fc.type_subtype==0x08"
На этом этапе вы узнаете, как фильтровать маячные кадры в Wireshark с использованием синтаксиса фильтра отображения. Маячные кадры - это специальные управляющие кадры (тип 0x08), которые беспроводные точки доступа постоянно транслируют, чтобы объявить о своей сети. Эти кадры содержат важную информацию, такую как имя сети (SSID), поддерживаемые скорости передачи данных и настройки безопасности.
- Сначала убедитесь, что Wireshark запущен и осуществляет захват на интерфейсе wlan0mon (как было сделано на предыдущем этапе):
wireshark -i wlan0mon
Эта команда запускает Wireshark и начинает захватывать пакеты на интерфейсе wlan0mon, который должен быть уже настроен в режиме мониторинга на предыдущих этапах.
- В интерфейсе Wireshark:
- Найдите панель инструментов "Filter" в верхней части (непосредственно под главным меню)
- Введите выражение фильтра:
wlan.fc.type_subtype == 0x08
Этот фильтр сообщает Wireshark отображать только пакеты, в которых тип/подтип кадра соответствует маячным кадрам (0x08 в шестнадцатеричной системе).
- Нажмите Enter или нажмите кнопку "Apply", чтобы активировать фильтр.
Теперь в списке пакетов должны отображаться только маячные кадры. Обычно они показывают:
- MAC - адрес источника точки доступа (идентифицирует физическое устройство)
- SSID (имя сети) в деталях пакета (то, что пользователи видят как имя Wi - Fi)
- Регулярные интервалы (обычно каждые 100 мс, что является стандартным интервалом для маячных кадров)
Чтобы подробно рассмотреть маячный кадр:
- Выберите любой маячный кадр в списке пакетов, кликнув на него.
- Разверните раздел "IEEE 802.11 Wireless LAN Management Frame" в центральной панели.
- Здесь вы можете просмотреть важные детали, такие как:
- SSID (в разделе "Tagged Parameters")
- Поддерживаемые скорости передачи данных
- Информация о канале
- Возможности безопасности
Для фильтрации с использованием командной строки с помощью tshark (полезно для автоматизированного захвата):
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -c 5
Эта команда захватывает ровно 5 маячных кадров (-c 5), которые соответствуют нашему фильтру (-Y) с интерфейса wlan0mon, а затем автоматически завершает работу. Флаг -Y в tshark работает аналогично фильтру отображения в Wireshark.
Показать кадры с помощью -V
На этом этапе вы узнаете, как использовать режим подробного вывода в Wireshark с помощью флага -V для отображения подробной информации о кадрах в терминале. Это особенно полезно при работе с инструментами командной строки, такими как tshark, так как он предоставляет более полную информацию, чем стандартное сводное представление.
- Сначала убедитесь, что у вас есть захваченные маячные кадры (с предыдущего этапа). Мы будем использовать tshark для отображения их с полной детализацией:
tshark -r /tmp/capture.pcap -Y "wlan.fc.type_subtype==0x08" -V
Эта команда считывает сохраненный файл захвата (/tmp/capture.pcap) и фильтрует маячные кадры (тип/подтип 0x08). Флаг -V сообщает tshark показать все доступные детали о каждом кадре.
Флаг
-Vобеспечивает подробный вывод, показывающий:- Полные заголовки кадров (включая все поля кадра 802.11)
- Все протоколовые слои (от физического слоя до приложенных данных)
- Подробные значения полей (с объяснениями, что означает каждое значение)
- Вывод шестнадцатеричного содержимого полезной нагрузки (полезно для анализа исходного содержимого пакетов)
Чтобы захватить и отобразить живые кадры с подробным выводом:
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5
Это позволит:
- Захватывать с интерфейса wlan0mon (вашего интерфейса режима мониторинга)
- Фильтровать только маячные кадры (используя тот же фильтр, что и ранее)
- Показывать подробный вывод (со всеми вышеописанными деталями)
- Остановиться после захвата 5 кадров (параметр
-c 5ограничивает захват)
Основная информация, которую нужно наблюдать в подробном выводе:
- Значения поля управления кадром (показывают тип кадра, направление и другие флаги)
- MAC - адреса (источника, назначения и BSSID)
- Интервал отправки маячных кадров (как часто точка доступа отправляет маячные кадры)
- Информация о возможностях (какие функции поддерживает точка доступа)
- Поддерживаемые скорости (скорости передачи данных, которые может обрабатывать точка доступа)
Для лучшей читаемости, особенно при длинных выводах, вы можете использовать перенаправление вывода в программу less:
tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5 | less
Это позволяет вам просматривать вывод по страницам с помощью стрелок на клавиатуре, вместо того чтобы весь вывод сразу отображался в терминале. Нажмите 'q', чтобы выйти из просмотрщика less, когда закончите.
Резюме
В этом лабораторном занятии вы научились захватывать беспроводные кадры с использованием Wireshark в режиме мониторинга. Основные этапы включали в себя включение режима мониторинга с помощью airmon-ng, проверку статуса интерфейса с помощью iwconfig и запуск Wireshark с флагом -I для захвата в режиме мониторинга. Вы также практиковались в указании интерфейса мониторинга с помощью флага -i и наблюдении за реальным трафиком.
Кроме того, вы изучили техники фильтрации, используя -Y для фильтрации маячных кадров и -V для детального анализа. В лабораторной работе были рассмотрены как методы с использованием графического интерфейса, так и методы командной строки, включая использование tshark для работы без графического интерфейса, что дает прочную основу для анализа беспроводных кадров.
