Wiresharkで無線LANを覗いてみる


今回はMacOSX(Mavericks)上でWiresharkを動かしてみました。インストール等に関しては情報がいっぱいあるようなので、そちらを参照してください。

まずは、起動直後の画面。「Start」の下にあるインターフェイスを選ぶところで「Wi-Fi:en1」をダブルクリック。名前はシステム設定等によって変わりますので、「Wi-Fi:en0」とかの場合もあるかと思います。

Wireshark-1

こんな画面が出てくるので、「Capture packets in promiscuous mode」と「Capture packets in monitor mode」にチェックを入れます。で、「OK」で閉じる。

Wireshark-2

次にメニューバーの「Edit」→「Preferences」から「Protocol」→「IEEE 802.11」を選択。「Enable decryption」にチェックを入れて、「WEP and WPA Decryption Keys」にパスフレーズとSSIDを設定します。

Wireshark-3

で、スタートするとメニューバーのWi-Fiのアイコンがこんな感じに変化します。これ、モニターモードで動作している表示だそうで、飛んでいる電波を手当たり次第にキャプチャします。

Wireshark-4

暗号が解けてないパケットは、こんな感じで表示されます。アドレス部分はBSSIDになってます。

Wireshark-5

暗号が解けると、こんな感じで表示されます。アドレス部分はIPアドレスになっています。

Wireshark-6

ちなみに、パケットキャプチャをスタートしても暗号は解読できなくて、盗聴したい機器のWi-Fiを切り入りすることで、暗号解読がされるようになります。これはテンポラリ鍵を入手できないと実際には解読できないためです。キャプチャをずっと続けていてテンポラリ鍵の更新に鉢合わせることが出来れば、任意の機器のパケットを解読することが出来ます。

意外と簡単にキャプチャできて復号できちゃいますよね。

なお、公衆無線LAN等で盗聴行為を行うと犯罪になりますので、くれぐれも自宅の無線LANで実験をしてくださいね。自宅の無線LAN以外はダメ!絶対!


2 thoughts on “Wiresharkで無線LANを覗いてみる

  1. nagi

    コメント失礼します。

    1.テンポラリ鍵を入手できないと解読できないとあるのですが、無線LANに接続する前にキャプチャを始めていれば、必ずテンポラリ鍵を入手できますか?

    2.テンポラリ鍵を入手するために必要なパケットはなにですか?(Key message 1 of 4なのかなと思っています)

    3.復号化できたファイルを保存して、翌日また開いたら復号化できなくなったのですがなぜかわかりませんか?

    質問をたくさんして申し訳ないのですが、答えられるのがあったら回答いただければ幸いです。

    1. 管理人 Post author

      大変遅くなりました。

      1. Yesです。接続開始時にテンポラリ鍵の交換が必ずありますので。
      2. 何もせずに復号されたので、特に気にした事はありません。
      3. 保存出来るパケットは復号前のものなので、鍵がないため復号出来なくなります。

      よろしくお願い致します。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です