Kablosuz ağlarda, Bir Access Point üzerinden yayın (broadcast) yapan 00:00:00:00:00:00 MAC adresli cihazın istemci (client) ile kimlik doğrulama (authentication) sağlayabilmesi için arada bir takım paket (frame) yapıları gerçekleştirmesi gerekmektedir. Bu paket (frame) yapılarını inceleyebilmek için, Wireshark uygulamasını kullanabiliriz. Bu uygulama sayesinde gerçekleşen kimlik doğrulama (authentication) sonrası ve öncesi durumlarada kullanılan paket (frame) yapıları aşağıdaki gibidir. Bu yapılar Wireshark uygulaması içerisinde daha rahat kullanılması için filtreleme yöntemlerinden bahsedilmektedir.
Managment Frame | Probe Response |
wlan.fc.type == 0 | wlan.fc.subtype == 5 |
Data Frame | De-Authentication Packet |
wlan.fc.type == 2 | wlan.fc.subtype == 12 |
Control Frame | Only Beacon Frame |
wlan.fc.type == 1 | wlan.fc.subtype == 8 and !(wlan.fc.type_subtype == 36) |
Beacon Frame | Only Data and not NULL Data |
wlan.fc.subtype == 8 | wlan.fc.subtype == 2 and !(wlan.fc.type_subtype == 36 |
Probe Request | |
wlan.fc.subtype == 4 | 802.11 Header Field |
Ether Source or Destination Address | Wlan.addr |
Transmitter Address | Wlan.ta |
Source Address | Wlan.sa |
Receiver Address | Wlan.ra |
Destination Address | Wlan.da |
BSSID | Wlan.bssid |
Duration | Wlan.duration |
Frame Type | Wlan.fc.type |
Frame Subtype | Wlan.fc.subtype |
ToDS Flag | Wlan.fc.tods |
FromDS Flag | Wlan.fc.fromds |
Retry Flag | Wlan.fc.retry |
Protected Frame (WEP) Flag | Wlan.fc.wep |
Wireshark karşılaştırma operatörleri standart olarak aşağıdaki gibi kullanılmaktadır.
Bu filtrelemeyi bir örnek ile inceleyecek olursak;
Wireshark Filtreleme
Wireshark’ ı bilgisayarımıza kurup açtıktan sonra ‘Capture’ menüsünden ‘Options’ seçeneğine geldikten sonra,
bağlı olan adaptörümüzü seçerek ‘Start’ dediğimizde
etrafta ki aktif olan protokollere ait paketleri toplayacaktır. Aynı zamanda Monitor Mod görevini üzerine alan Wlan adaptörümüz, etraftaki kablosuz ağ yayın yapan cihazları tespit edecektir. Bizlerde bu kablosuz ağlara ait SSID bilgilerini görüntülemek için, Wireshark içerisinde menü kısmında ‘Edit’ altındaki ‘Preferences’ sekmesine tıklayarak ‘User Interface’ altındaki ‘Columns’ bölümünde ki ‘New Column’ a seçip Field Type kısmını ‘Custom’, Field Name kısmına SSID için gerekli olan “wlan_mgt.ssid” filtresini girdikten sonra onaylıyoruz.
Daha sonra eklemiş olduğumuz kolon belirlemiş olduğumuz SSID ismi ile ve filtre özelliği ile aktif olacaktır. Bu filtreleme yöntemlerini kullanan bir analist, onlarca paket içerisinde hedef odaklı testler için zaman kaybını önlemiş olacaktır.