Wiresharkで無線LANを覗いてみる


今回はMacOSX(Mavericks)上でWiresharkを動かしてみました。インストール等に関しては情報がいっぱいあるようなので、そちらを参照してください。

まずは、起動直後の画面。「Start」の下にあるインターフェイスを選ぶところで「Wi-Fi:en1」をダブルクリック。名前はシステム設定等によって変わりますので、「Wi-Fi:en0」とかの場合もあるかと思います。

Wireshark-1

こんな画面が出てくるので、「Capture packets in promiscuous mode」と「Capture packets in monitor mode」にチェックを入れます。で、「OK」で閉じる。

Wireshark-2

次にメニューバーの「Edit」→「Preferences」から「Protocol」→「IEEE 802.11」を選択。「Enable decryption」にチェックを入れて、「WEP and WPA Decryption Keys」にパスフレーズとSSIDを設定します。

Wireshark-3

で、スタートするとメニューバーのWi-Fiのアイコンがこんな感じに変化します。これ、モニターモードで動作している表示だそうで、飛んでいる電波を手当たり次第にキャプチャします。

Wireshark-4

暗号が解けてないパケットは、こんな感じで表示されます。アドレス部分はBSSIDになってます。

Wireshark-5

暗号が解けると、こんな感じで表示されます。アドレス部分はIPアドレスになっています。

Wireshark-6

ちなみに、パケットキャプチャをスタートしても暗号は解読できなくて、盗聴したい機器のWi-Fiを切り入りすることで、暗号解読がされるようになります。これはテンポラリ鍵を入手できないと実際には解読できないためです。キャプチャをずっと続けていてテンポラリ鍵の更新に鉢合わせることが出来れば、任意の機器のパケットを解読することが出来ます。

意外と簡単にキャプチャできて復号できちゃいますよね。

なお、公衆無線LAN等で盗聴行為を行うと犯罪になりますので、くれぐれも自宅の無線LANで実験をしてくださいね。自宅の無線LAN以外はダメ!絶対!


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です