Kablosuz ağ analizi (wireshark)

Kablosuz ağlarda, Bir Access Point üzerinden yayın (broadcast) yapan 00:00:00:00:00:00 MAC adresli cihazın istemci (client) ile kimlik doğrulama (authentication) sağlayabilmesi için arada bir takım paket (frame) yapıları gerçekleştirmesi gerekmektedir. Bu paket (frame) yapılarını inceleyebilmek için, Wireshark uygulamasını kullanabiliriz. Bu uygulama sayesinde gerçekleşen kimlik doğrulama (authentication) sonrası ve öncesi durumlarada kullanılan paket (frame) yapıları aşağıdaki gibidir. Bu yapılar Wireshark uygulaması içerisinde daha rahat kullanılması için filtreleme yöntemlerinden bahsedilmektedir.

Managment Frame             Probe Response
wlan.fc.type == 0 wlan.fc.subtype == 5
Data Frame De-Authentication Packet
wlan.fc.type == 2 wlan.fc.subtype == 12
Control Frame Only Beacon Frame
wlan.fc.type == 1 wlan.fc.subtype == 8 and !(wlan.fc.type_subtype == 36)
Beacon Frame Only Data and not NULL Data
wlan.fc.subtype == 8 wlan.fc.subtype == 2 and !(wlan.fc.type_subtype == 36
Probe Request
wlan.fc.subtype == 4  802.11 Header Field

 

Ether Source or Destination Address Wlan.addr
Transmitter Address Wlan.ta
Source Address Wlan.sa
Receiver Address Wlan.ra
Destination Address Wlan.da
BSSID Wlan.bssid
Duration Wlan.duration
Frame Type Wlan.fc.type
Frame Subtype Wlan.fc.subtype
ToDS Flag Wlan.fc.tods
FromDS Flag Wlan.fc.fromds
Retry Flag Wlan.fc.retry
Protected Frame (WEP) Flag Wlan.fc.wep

Wireshark karşılaştırma operatörleri standart olarak aşağıdaki gibi kullanılmaktadır.

Wireshark nasıl kullanılır

Bu filtrelemeyi bir örnek ile inceleyecek olursak;

Wireshark Filtreleme

Wireshark’ ı bilgisayarımıza kurup açtıktan sonra ‘Capture’ menüsünden ‘Options’ seçeneğine geldikten sonra,

Wireshark nasıl kullanılır 2

bağlı olan adaptörümüzü seçerek ‘Start’  dediğimizde

Wireshark nasıl kullanılır 3

etrafta ki aktif olan protokollere ait paketleri toplayacaktır. Aynı zamanda Monitor Mod görevini üzerine alan Wlan adaptörümüz, etraftaki kablosuz ağ yayın yapan cihazları tespit edecektir. Bizlerde bu kablosuz ağlara ait SSID bilgilerini görüntülemek için, Wireshark içerisinde menü kısmında ‘Edit’ altındaki ‘Preferences’ sekmesine tıklayarak ‘User Interface’ altındaki ‘Columns’ bölümünde ki ‘New Column’ a seçip Field Type kısmını ‘Custom’, Field Name kısmına SSID için gerekli olan “wlan_mgt.ssid” filtresini girdikten sonra onaylıyoruz.
Wireshark nasıl kullanılır 4

Daha sonra eklemiş olduğumuz kolon belirlemiş olduğumuz SSID ismi ile ve filtre özelliği ile aktif olacaktır. Bu filtreleme yöntemlerini kullanan bir analist, onlarca paket içerisinde hedef odaklı testler için zaman kaybını önlemiş olacaktır.

cevap yok