Как захватывать трафик Wi-Fi в Wireshark

Учитывая, что Wireshark — такой полезный инструмент для проверки пакетов данных и анализа трафика в вашей сети, вы можете предположить, что запускать подобные проверки трафика Wi-Fi просто. Это не так. Независимо от того, используете ли вы версию Wireshark для Linux или Windows, вам необходимо сделать несколько вещей, прежде чем вы сможете захватывать трафик Wi-Fi с помощью этого инструмента.

Как вы узнаете из этой статьи, методы, которые вы будете использовать, различаются в зависимости от вашей операционной системы (ОС).

Захват Wi-Fi-трафика в Wireshark для Linux

Если вы запустите Wireshark в ОС на базе Linux (например, Ubuntu), вам будет легче захватывать трафик Wi-Fi, чем если бы вы использовали Windows. Тем не менее, вам необходимо выполнить еще несколько шагов по настройке, прежде чем вы сможете начать захват трафика.

Шаг 1. Проверьте свой интерфейс Wi-Fi

Прежде чем вы сможете захватывать трафик Wi-Fi, вам необходимо убедиться, что Wireshark может обнаружить работоспособный интерфейс для захвата этого трафика:

1. Откройте терминал Wireshark, используя комбинацию кнопок «Alt + Ctrl + T».
   
2. Введите «iwconfig» в терминал.
   

Предполагая, что Wireshark обнаружит работоспособный интерфейс Wi-Fi, он должен предоставить результат, показывающий природу этого интерфейса (т. е. IEEE 802.11) и некоторую общую информацию о сети. Вы также должны увидеть, что для интерфейса установлено значение «Управляемый», что означает, что вы проверяете интерфейс, находящийся в режиме станции или клиента.

Шаг 2. Убедитесь, что ваша карта Wi-Fi поддерживает режим монитора

Обнаружение интерфейса Wi-Fi не означает автоматически, что Wireshark может захватывать трафик Wi-Fi. Ваша карта Wi-Fi должна поддерживать режим монитора. Вы можете проверить это, выполнив следующие шаги:

1. Используйте комбинацию кнопок «Alt + Ctrl + T», чтобы открыть терминал Wireshark.
   
2. Введите в терминал любую из следующих команд:
   
   • «я список»
   • «информация о phy0»
3. Проверьте наличие слова «монитор» в списке «Поддерживаемые режимы интерфейса».

Если в списке есть «монитор», ваша карта Wi-Fi поддерживает режим мониторинга, необходимый для отслеживания и захвата трафика Wi-Fi. Если это не так, вам, вероятно, придется заменить карту Wi-Fi на карту, совместимую с режимом монитора.

Шаг 3 – Настройте режим монитора

Проверив интерфейс Wi-Fi, вы, вероятно, увидели, что он установлен в «Управляемый» режим. Вам нужно будет изменить его на режим мониторинга, чтобы захватывать трафик Wi-Fi. В этом примере предполагается, что имя интерфейса вашей карты Wi-Fi — «wlp3s0», хотя вам придется заменить его именем вашей собственной карты. Вы должны увидеть имя в деталях, которые вы генерируете при проверке интерфейса Wi-Fi.

Предполагая, что у вас готово имя интерфейса, выполните следующие действия, чтобы переключить интерфейс из режима «Управляемый» в режим «Мониторинг»:

1. Нажмите «Alt + Ctrl + T», чтобы открыть терминал.
   
2. Введите «su», чтобы войти в режим суперпользователя, который дает вам право изменять режимы интерфейса Wi-Fi.
   
3. Введите «iwconfig wlp3s0 mode Monitor» в терминал. Не забудьте заменить «wlp3s0» на имя вашего интерфейса Wi-Fi.
   
4. Введите «iwconfig» еще раз, чтобы убедиться, что ваш интерфейс Wi-Fi теперь находится в режиме мониторинга.

Если у вас уже есть активный интерфейс Wi-Fi, на третьем этапе описанного выше процесса может появиться сообщение об ошибке «Устройство или ресурс занято». Если это произойдет, вы можете ввести команду «ifconfig wlp3s0 down» (опять же — замените «wlp3s0» на имя вашего интерфейса), чтобы деактивировать интерфейс Wi-Fi. После этого выполните описанные выше шаги, и вы сможете настроить интерфейс в режиме монитора.

Шаг 4 – Выберите канал прослушивания Wi-Fi

Беспроводные протоколы имеют пару радиочастотных диапазонов — 2,4 ГГц и 5 ГГц — но возможно, что ваша карта Wi-Fi поддерживает только один из этих двух каналов. Вам необходимо знать, какие каналы поддерживает ваша карта, прежде чем вы сможете захватывать трафик Wi-Fi.

К счастью, простая команда терминала покажет вам необходимую информацию:

1. Нажмите «Alt + Ctrl + T», чтобы открыть новый терминал Wireshark.
   
2. Введите «iw list» и нажмите «Enter».
   
3. Проверьте указанные частоты, чтобы узнать, какой канал использует ваша карта Wi-Fi.

Если карта использует радиочастотный диапазон 2,4 ГГц, на экране должен появиться список частот в диапазоне от 2412 МГц до 2484 МГц. Если он поддерживает канал 5 ГГц, вы увидите список в диапазоне от 5180 МГц до 5825 МГц. Вы увидите оба набора частотных диапазонов, если ваша карта Wi-Fi работает в обоих диапазонах.

Каждая из этих частот представляет собой номер канала, который вы можете использовать для обнаружения трафика Wi-Fi. Итак, вам нужно будет настроить один из этих диапазонов каналов для использования в режиме мониторинга.

• Прокрутите список вниз и выберите частоту. К каждому должен быть прикреплен номер канала (например, (10)), который вы будете использовать для настройки канала в режиме мониторинга.
• Введите «iwconfig wlp3s0 канал 10». Не забудьте изменить «wlp3s0» на имя вашего интерфейса Wi-Fi, а «канал 10» — на выбранный вами канал.
• Выполните команду «iwconfig», чтобы убедиться, что ваш канал настроен и находится в режиме мониторинга.

Предполагая, что эта команда работает, вы готовы настроить Wireshark для захвата трафика Wi-Fi. Кстати, возможно, что «iwconfig wlp3s0 канал 10» выдаст ошибку, что обычно означает, что канал недоступен. Wireshark должен автоматически запускать команду «интерфейс вверх» для переключения каналов, пока не найдет тот, который можно использовать.

Шаг 5 – Начните захватывать трафик Wi-Fi

После завершения настройки Wireshark должен начать захват беспроводных пакетов. Если вы хотите, чтобы инструмент работал в фоновом режиме, выполняя проверки по ходу работы, сделайте следующее:

1. Откройте терминал с помощью комбинации кнопок «Alt + Ctrl + T».
   
2. Введите «root@# Wireshark &». Например, вы можете использовать «root@test:home/packets#wireshark &».
   
3. Перейдите в окно запуска Wireshark и дважды щелкните имя вашего интерфейса Wi-Fi.

Отсюда вы сможете увидеть параметры «Запрос зонда», «Ответ зонда» и «Маяк», а также массив данных, связанных с вашим каналом Wi-Fi. Просто нажмите «Сохранить», чтобы сохранить собранные данные для последующего анализа.

Захват Wi-Fi-трафика в Wireshark для Windows

Сможете ли вы захватывать данные Wi-Fi с помощью Wireshark в Windows, зависит от того, установлены ли на вашем устройстве библиотеки Npcap или WinPcap.

Npcap доступен для устройств с Windows 7 или более поздней версии и может быть загружен через Wireshark вики. Он предлагает поддержку того же режима монитора, который используется для захвата данных Wi-Fi с использованием Linux, что позволяет вам выполнить аналогичные шаги, чтобы начать захват указанных данных через компьютер с Windows.

WinPcap не поддерживает режим мониторинга, а это означает, что вы не можете отслеживать трафик Wi-Fi, если эта библиотека установлена ​​в вашей версии Wireshark. К сожалению, вы не можете обновить библиотеку Npcap, если используете любую версию Windows, выпущенную до Windows 7.

Наконец, установка библиотеки Npcap не гарантирует, что вы сможете использовать ее для сбора данных Wi-Fi. Согласно веб-сайту Wireshark, несколько основных проблем могут помешать сбору данных, включая имеющиеся у вас сетевые адаптеры и используемые ими драйверы.

Решите проблемы с захватом Wi-Fi в Wireshark

Бесспорно, настроить захват трафика Wi-Fi в версии Wireshark для Linux проще, чем в версии для Windows, прежде всего потому, что вам не нужно беспокоиться об установке соответствующих библиотек для этой функции. Несмотря на это, выполнение этого действия в Linux потребует от вас выполнения нескольких проверок, хотя они достаточно просты, чтобы не беспокоить ветеранов Wireshark.

Почему вы хотите иметь возможность обнаруживать и захватывать трафик Wi-Fi с помощью Wireshark? Пробовали ли вы это раньше, но обнаружили, что вам мешают проблемы с совместимостью? Расскажите нам о своем опыте в разделе комментариев.