前回、Windowsでは実施できなかった無線パケットキャプチャでLinuxで実施しました。
次回は、キャプチャしたデータ解析を実施したいと思います。
※独学での内容となっているため、手順などは間違い・変更等の可能性があります。
あくまで参考にしていただき実践される場合は自己責任でお願いします。
— 2017/10/01 更新 —
簡単に無線LANパケットキャプチャが利用できるOSの「Kali Linux」について以下のサイトもまとめましたので、こちらも参考にしてください。
↓↓↓
Ubuntuをインストール(仮想OS)
今回は、Windowsに無償の仮想化ソフト「VirtualBox」をインストールしてゲストOSとして「Ubuntu」をインストールしました。
Linuxをさわったことある方であればそれほど難しい内容ではないので、申し訳ございませんが手順は割愛させていただきます。
実施した内容
- VirtualBox 5.1.22 のインストール
- 仮想マシンの作成
- Ubuntu 17.04 のインストール
USBの無線アダプタをUbuntuに認識させる
ここが一番苦労しました。
自宅には、以下の2つのUSBの無線LAN子機がありましたのそちらで試しました
- アイ・オー・データの「WN-AC433U」※11ac対応
- バッファロー「WLI-UC-G301N」※2.4GHz帯のみ
最初は5GHz帯のキャプチャもできればやってみたかったので5GHz対応の「WN-AC433U」でやってみようと思いましたが、Ubuntu側で無線LAN子機として認識せず断念。。
バッファローの「WLI-UC-G301N」で実施した内容を記載していきます。
usbutils のインストール
VirtualBoxのゲストOSのUbuntuで、認識されたUSBを確認するためのコマンド「lsusb」を利用できるようにするため、usbutilsを以下のコマンドでインストールする
sudo apt-get install usbutils
ゲストOSで無線子機を認識させる
以下の手順で私は認識できました
1.USB無線子機をPCに接続
2.VirtualBoxでUSBをゲストOSに接続
ゲストOSが起動しているVirtualBoxの画面右下のUSBの部分から接続できます。
3.ゲストOSの lsusb コマンドで確認
WLI-UC-G301Nが認識されていることが確認できました。
$ lsusb Bus 001 Device 002: ID 0411:016f BUFFALO INC. (formerly MelCo., Inc.) WLI-UC-G301N Wireless LAN Adapter [Ralink RT3072] Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 002 Device 002: ID 80ee:0021 VirtualBox USB Tablet Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
また、iwconfigで無線インターフェースができていることを確認
「wlx0024a5xxxxxx」の部分が無線インターフェース
$ iwconfig enp0s3 no wireless extensions. lo no wireless extensions. wlx0024a5xxxxxx IEEE 802.11 ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=20 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off
無線キャプチャ用ソフト「aircrack-ng」を利用
「aircrack-ng」をインストール
Ubuntuで無線LAN子機をモニターモードに変更と無線キャプチャを実施するためのソフト「aircrack-ng」をインストールします
sudo apt-get install aircrack-ng
無線アダプタをモニターモードに変更
モニターモードにする前に、「sudo airmon-ng check kill」で不要なプロセスを停止する
$ sudo airmon-ng check kill Killing these processes: PID Name 991 dhclient 2378 wpa_supplicant $
「sudo airmon-ng start <IF>」で無線インターフェースをモニターモードに変更する
<IF>の名前は「iwconfig」で確認してください
$ sudo airmon-ng start wlx0024a5xxxxxx PHY Interface Driver Chipset phy0 wlx0024a5xxxxxx rt2800usb BUFFALO INC. (formerly MelCo., Inc.) WLI-UC-G301N Wireless LAN Adapter [Ralink RT3072] Interface 15mon is too long for linux so it will be renamed to the old style (wlan#) name. (mac80211 monitor mode vif enabled on [phy0]wlan0mon (mac80211 station mode vif disabled for [phy0]wlx0024a5xxxxxx) $
「iwconfig」で確認すると「wlan0mon」のインターフェースでモニターモードになっていることがわかります。
$ iwconfig enp0s3 no wireless extensions. lo no wireless extensions. wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm Retry short limit:7 RTS thr:off Fragment thr:off Power Management:off $
パケットモニタを実施
「sudo airodump-ng wlan0mon <IF>」コマンドで無線パケットをキャプチャすることができます。
オプションは
- –channel:チャネル指定でキャプチャする場合に指定。
- -w:キャプチャ結果をファイル出力する場合に指定。「<名称>-<連番>.cap
」というファイル名で出力される
チャネル番号:10指定でキャプチャして「tese01-<連番>.cap」というファイル名で取得する場合は以下のコマンドで取得可能
sudo airodump-ng wlan0mon --channel 10 -w test01
今回はここまで、次回は取得してキャプチャファイルを解析したいと思います。
コメント