キャプチャした無線パケット解析

無線パケットキャプチャをWiresharkを利用して暗号の復号化をしてみたいと思います

まとめ

暗号化されている無線パケットについて以下の条件がそろえば復号化ができました

  • SSIDとパスワードがわかる
  • 無線クライアントの接続開始からキャプチャできている

これを見たら公衆無線LANで暗号化のないHTTPなどの通信は危険だと感じました

無線パケットキャプチャの実施方法は以下を参考にしてください。

無線パケットキャプチャに挑戦(Ubuntu編)
前回、Windowsでは実施できなかった無線パケットキャプチャでLinuxで実施しました。 ※独学での内容...

※独学での内容となっているため、手順などは間違い・変更等の可能性があります。
 あくまで参考にしていただき実践される場合は自己責任でお願いします。

スポンサーリンク

Wiresharkの設定

Wireshark(今回はVersion 2.2.6で確認)を起動して、以下の順番で設定

「編集」-「設定」を選択

「Protocols」を開いて一覧表示

「IEEE 802.11」 を選択

「Enable decryption」のチェックが入っていることを確認して「Edit」を選択

復号化したいSSIDの情報を入力

  • 「+」ボタンで新しいエントリを追加する
  • 「Key type」は「wpa-pwd」を選択
    (WEP通信を復号化したい場合は「wep」を選択)
  • 「Key」に「(パスワード):(SSID)」を入力
    下図は以下の情報のときの入力例

    • SSID:examplessid
    • パスワード:examplepass

キャプチャファイルを開く

ここまで設定して無線パケットをキャプチャしたデータを開くと復号化されます

データを見ると「8.8.8.8」宛のPING(icmp)が確認できます

参考に復号化前のキャプチャは以下のとおりとなります。
暗号化されていてPING(icmp)がわからない状態となっています。

Wiresharkで無線暗号化されたパケットを復号化する場合は、上記手順で設定したSSID関連情報と無線APとクライアント間で接続する際の接続手続きの情報も必要となります。

よって、PCなどの無線クライアントから無線ルータに接続した状態からのパケットキャプチャしたデータに関しては復号化できませんのでご注意ください。

復号化してデータを見たい場合は、キャプチャをしながら接続を一度外して再接続などを実施してください。

今回はここまで。。

スポンサーリンク

シェアする

フォローする