Wireless Sniffing

Network’te sniffing yöntemi , ağ yönetimi yapanlar için sıkça başvurulan bir yöntemdir. Fakat söz konusu network wireless altyapısından oluşuyorsa işler biraz karışmaktadır, yazının  karışıklığı biraz gidereceğini düşünüyorum..

Wireless sniffing nedir  , sorusuna  kısaca Wireless sniffing ile trafik havadan  yakalanır ve decode etmeyi sağlar şeklinde cevaplayabiliriz.

Wireless Sniffer Uygulanırken Dikkat Edilecek Yöntemler

Aşağıda kısaca wireless sniffer yapılırken dikkat edilmesi gereken başlıca etmenler var, bu  etmenler göz önünde bulundurulmadan yapılan her sniffing ya sağlıklı bir data vermeyecek, ya da hiç bir sonuç alınamayacaktır.

1)      Kanal ve Frekans Eşleşmesi

Sniff işlemi uygulanırken  Kanal numarasının ya da frekansının belirtilmesi  gerekir zira trafik bu parametlere göre yakalanır. (Bu parametre havada hangi kanal’ın dinleneceğini belirtir)

 

2)      Wireless Network Aralığı

Sniffer mod’a alınan cihaz ile Sniff edilen cihazın networksel mesafesi göz önünde bulundurulmalıdır. Aksi takdirde kanal eşleşmesi sağlanmasına rağmen sniff yöntemi  ile sağlıklı bilgi çekilemeyecektir.

 

3)      Modulerin Eşleşmesi

Modullerin eşleşmesine , birbirini desteklemesine dikkat edilir. Şu an IEEE 802.11a/b/g card kullanılmaktadır.

IEEE 802.11 ‘i kısaca özetlersek;

IEEE 802.11, standart ethernet  header’ına göre daha kompleks bir yapıya sahiptir. Standart ethernet header’ı 14 byte ile tanımlanırken IEEE 802.11 24 ile 30 byte aralığında değişir.

802.11 Mac Format Detayları

Aşağıdaki şekillerde format gösterilmiş olup, Wireshark incelemesinde en çok başvuracağımız alanlar açıklanmıştır.

Adress Field;

Bu alanda BSS ındentifier(BSSID), Source adres(MAC), destination adres(MAC), Receiver Adress (RA), Transmitter Adress(TA)  bulunmaktadır.

Frame Control Field;

Protocol Version:  802.11’in hangi versiyonu kullanıldığını belirten alandır.

Type/subtype:   Data, Control ve management  olmak üzere 3 type çeşidi bulunmaktadır.

Wireshark Üzerinden Filtre Uygulamları

a)  Mac Filtresi uygulanmak isteniyorsa aşağıdaki format ile filtre yapılabilir.

wlan.sa eq 00:09:5b:e8:c4:03

b)  BSSID filtesi uygulanmak isteniyorsa aşağıdaki format ile filtre yapılabilir.

wlan.bssid eq 00:11:92:6e:cf:00

NOT: Eğer brosadcast bssid ff:ff:ff:ff:ff mac adresini gördüğümüzde bunun probe request paketi olduğunu anlayabiliriz.

c)  Beacon Frame Type/subtype’larına göre filtre uylamak istiyorsak aşağıdaki format ile filtre yapılabilir.

wlan.fc.type eq 0 and wlan.fc.subtype eq 8

Frame Type/subtype Listesini aşağıdaki tabloda detaylı bir şekilde bulabiliriz.

d)  Eğer Data Trafiğini görmek istiyorsak, aşağıdaki filtre uygulanabilir.

wlan.fc.type_subtype eq 32

e )  Şifrelenmemiş datayı görmek  istiyorsak aşağıdaki filtre uygulanabilir.

wlan.fc.protected ne 1

f)  Sadece Exstensible  Authentication Protocol (EAP) type görülmek isteniyorsa aşağıdaki filtre uygulanabilir.

eap.type

g)  Code 4 filtrelemesi ile failure detaylarını görebiliriz. Sorun çözüm analinizinde uygulayacağımız filtredir.

eap.code eq 4

EAP code type’ları aşağıdaki gibidir.

Code 1; EAP request paketlerini  gösterir.

Code 2; EAP response paketlerini gösterir.

Code 3; EAP Success paketlerini gösterir.

Code 4; EAP failure paketlerini gösterir.

h)   WEP, TKIP, IPSec/VPN filtresi uyglamak istiyorsak, sırasıyla aşağıdaki filtreyi uygulamamız gerekiyor.

wlan.wep.iv

wlan.tkip.extiv

isakmp or ah or esp

 

Controller Üzerinden Uygulama Örneği;

1. Aşama:

Sorun yaşayan client’ın bulunduğu mac adresi ve bağlandığı Access-Point(AP) tespit edilir. Aynı lokasyonda bulunan mevcut AP’ye yakın bir AP tespit edilir.

2. Aşama:

Mevcut AP ile aynı lokasyonda bulunduğu tespit edilen AP’nin mod’u “sniffer mod” konumuna getirilir.

3. Aşama:

Sniffer moduna alınan AP ayarları üzerinden sniff edilecek client’ın bağlı olduğu AP’nin Kanal ayarları ile aynı kanal bilgisi ayarlanır, server ip olarak ise wireshark üzerinden inceleme yapacak server/pc adresi girilir. (Server/PC’nin ip erişimi olması yeter şarttır.)

4. Aşama:

İzlenecek olan client handshae yapması için kapatılıp, açılır(Bu işlem controller üzerindende yapılabilir.) Wireshark açıldığında  option sekmesinden” udp port 5555” ile dinleme başlatılır.

5.Aşama :

Yeteri kadar bilgi sniff edildikten sonra 802.11 formatını incelemek ve analiz etmek için decode işlemi yapılır.

6. Aşama:

İşlemler tamamlandıktan sonra Sniffer mode alınan  AP’nin tekrar eski mod’una alınması unutulmamalıdır. Bu mode değişimde AP’nin reload olacağı göz önünde bulundurulmalı, analiz çalışmasının zamanı bu parametre göz önünde olarak belirlenmelidir.

 

 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir