Файлу дампа с перехваченными пакетами

Привет! В этой статье я попытаюсь показать подробно, как пользоваться программой CommView fo WiFi. Это то что нужно именно сейчас? Тогда предлагаю начать.

Внимание! Нашли неточность, остались вопросы или есть чем поделиться? Обязательно напишите в комментарии.

Что будем делать?

Для начала нужно определиться, в каких целях мы будем использовать эту чудесную программу. Ну действительно – что там у вас на уме прямо сейчас, я не могу угадать. Но общие моменты по работе с программой покажу без проблем.

Особых чудес от CommView ждать не стоит – это классный и удобный швейцарский нож по работе с Wi-Fi сетями, а особенно в сфере их анализа. Но все делать за вас, и придумывать на ходу задачи она не умеет, так что придется немного поклацать мышью. А еще я сторонник того, что лучше один раз увидеть, чем 100500 прочитать. Так что рекомендую:

Применение программы от самого безобидного – вроде получения информации обо всех окружающих вас Wi-Fi сетях, включая и скрытые, до перехвата пакетов с хэндшейками и не только. Но сам алгоритм работы под эти задачи примерно один и тот же.

Ранее я подробно уже писал обзор на эту программу, так что рекомендую ознакомиться с ним ЗДЕСЬ. В этой же статье планируется лишь краткая инструкция по использованию.

Алгоритм

Весь цикл работы с программой выглядит вот так (далее пробежимся по каждому пункту):

  • Установка программы, установка драйверов, перевод адаптера в режим мониторинга.
  • Сбор данных и пакетов.
  • Сохранение захваченных пакетов.

Т.е. если вы что-то просто анализируете, можно обойтись и без последнего пункта. Но в случае частого использования для взлома и захвата хэндшейков (уж такой имидж у этой софтули), без сохранения не обойтись, т.к. далее этот CAP файл уже идет на расшифровку в средства озвученного выше Aircrack.

Инструкция

И вот добрались до сути. Итак, как пошагово пользоваться CommView for WiFi:

  1. Запускаем программу. При первом запуске будет предложено обновление драйверов (для того самого описанного выше режима мониторинга). Соглашаемся, ставим, для профилактики перезагружаем компьютер.

  1. Так рекомендуется проверить, что на вкладке Правила стоят галки Захват – Дата пакетов. Иногда их тут нет, а время при сборе данных потеряется впустую.
  2. Далее стоит перейти в настройки сканирования. Устанавливаем вот так вкладку «Основное»:
Читайте также:  Как обойти блокировку странички в вк

  1. Далее можно начинать сканирование, нажав по кнопке «Захват»:

В меню «Инструменты» есть еще 2 интересные функции: «Реассоциация узлов» – для деаутентификации пользователей с целью перехвата нового хэндшейк-пакета, «Генератор пакетов» – для вклинивания в сеть с целью возможной организации MITM-атаки.

Что вы будете делать далее с этими пакетами – оставляю на ваш выбор. С самим базовым функционалом CommView мы вроде как разобрались. На самом деле, многое здесь постигается простым методом «тыка» под конкретную поставленную задачу. Так что пишите свои комментарии, делитесь опытом использования программы с другими – это здорово поможет кому-то не наделать глупостей, ведь за всеми тонкостями не уследишь.

Commview for wifi является специальной утилитой для проведения мониторинга и анализа всех сетевых пакетов беспроводной сети стандарта 802.11. При использовании программы CommView wi-fi вы сможете с легкостью перехватывать все предаваемые пакеты, чтобы в последующем их отобразить в виде важной информации: списка доступных точек беспроводной сети, узлы, статистика для каждого узла, канал, уровень и тип сигнала, а также список сетевых графиков и соединений.

CommView — позволяет находить и анализировать важные пакеты, исправлять проблемы в работе сети, а также проводить оперативные ремонтные работы программного обеспечения. Все перехваченные пакеты сохраняются в специальный файл для дальнейшего анализа. CommView wi-fi программа используется администраторами беспроводных сетей, а также специалистами, отвечающими за сетевую безопасность.

Пользование CommView wi-fi

Перед установкой CommView wi-fi следует убедиться на счет поддержки программой установленного сетевого адаптера. Также если возникнет запрос на обновление карты Wi-Fi необходимо согласиться и обновить драйвер. Для нормального пользования CommView wi-fi потребуются дополнительные пакеты.

Aircrack-ng представляет собой отличный снифер, однако его работе под Windows могут возникать некоторые трудности. Такая платформа имеет свой недостаток — она не может работать со стандартными инструментами и переводить wi-fi карточку в режим снифера, для сбора пакетных данных. Для этого следует использовать сторонние драйвера. Однако лучшим вариантом будет связать снифер CommView wi-fi с утилитой Aircrack для взлома ключа WEP. Используя эту связку можно отказаться от установки драйверов для перевода карты в режим снифера.

Обновив драйвера необходимо перейти и активировать пункт захвата DATA для пакетов и пропуск пакетов BEACON. В других местах стоит снять галочки.

Зайдя в настройки CommView wi-fi надо выбрать пункты:

  • преобразовывать номера портов в имена служб;
  • преобразовывать МАС-адреса в псевдонимы;
  • преобразовывать айпи адрес в псевдоним;
  • преобразовывать айпи адреса имени хостов в пакетах;
  • показывать названия производителей в МАС-адресах;
  • принудительная дешифровка CommView wi-fi;
  • игнорировать поврежденные пакеты в сканере;
  • активное обнаружение узлов.
Читайте также:  Pascal abc официальный сайт

Перед тем как пользоваться CommView wi-fi нужно в разделе «Использование памяти» выставить максимальное число пакетов 20 000 и максимальное количество строк текущих соединений 20. Чем выше выставить RAМ, тем больше будет скорость процессов.

В главном окне программы CommView wi-fi надо активировать вкладку «Log файлы» и поставить отметку на автоматическое сохранение. Средний размер файла поставить 5 МБ, а максимально возможный размер каталога — 200 мБ.

Далее необходимо нажать кнопку «Захват» и в появившемся окне нажать «Начать сканирование». Весь список найденных точек отобразиться справа. Следует выбрать интересующую сеть и нажать «Захват». Стоит дождаться, когда нужное количество пакетов будет в пределах от 100 000 до 2 000 000, все зависит от того, насколько длинный ключ.

После сбора всех необходимых пакетов нажать комбинацию клавиш Ctrl+L и появится окно, где нужно перейти в раздел «Файл» и активизировать пункт «Загрузить log файлы». Выбрать все полученные файлы. Дальше в меню CommView wi-fi «Правила» выгрузить то, что было сохранено ранее.

Экспорт пакетов TCPdump

Запустив программу AirCrack нужно ввести данные и параметры, указать путь к файлу с полученными пакетами.

В «Encryption» выбрать «WEP». «Key size» — это размер ключа, нужно проработать по очереди начиная с меньшего значения. Если пакетов было захвачено достаточно, можно активировать пункт «USE PTW attack». Кликнуть по кнопке Launch. Если программе удастся обнаружить нужный ключ, он отобразиться в окне с некоторым содержанием, по которому можно далее расшифровать полученное значение. Если же ключ найти не удалось, стоит попробовать весь процесс заново.

Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.

Недавно, при обсуждении в одном чате вопроса: как из Wireshark вытащить файл, всплыла утилита NetworkMiner. Пообщавшись с коллегами и по гуглив в Интернете, я сделал вывод, что об этой утилите знает не так много народу. Так как утилита в разы упрощает жизнь исследователя/пентестера, то исправляю этот недостаток и расскажу сообществу о том, что же такое NetworkMiner.

NetworkMiner – утилита для перехвата и анализа сетевого траффика между хостами локальной сети, написанная под ОС Windows (но также работает в Linux, Mac OS X, FreeBSD).

NetworkMiner может быть использована в качестве пассивного сниффера сетевых пакетов, анализ которых позволит обнаружить фингерпринт операционных систем, сессий, хостов, а также открытые порты. NetworkMiner также позволяет анализировать PCAP файлы в автономном режиме и восстановить передаваемые файлы и сертификаты безопасности.

Читайте также:  Штраф за милитаризм цивилизация 6 что это

И так, приступим к рассмотрению.

Утилита доступна в двух редакциях: Free и Professional (стоимость 700 USD).

В редакции Free доступны следующие опции:

  • перехват траффика;
  • разбор PCAP файла;
  • прием PCAP файла по IP;
  • определение ОС.

В редакции Professional добавляются опции:

  • разбор PcapNG файла,
  • Определение протокола порта,
  • Экспорт данных в CSV / Excel,
  • Проверка DNS имен по сайту http://www.alexa.com/topsites,
  • Локализация по IP,
  • Поддержка командной строки.

В данной статье рассмотрим опцию разбор PCAP файла, полученного от Wireshark.

Но для начала установим NetworkMiner в Kali Linux.

  1. По умолчанию, пакеты Mono уже стоят в KaliLinux, но если они не установлены, то выполняем следующее действие:

sudo apt-get install libmono-winforms2.0-cil

  1. Далее скачиваем и устанавливаем NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo unzip /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w Captures/

  1. Чтобы запустить NetworkMiner используем следующую команду:

Далее запустим Wireshark, соберем траффик в нашей локальной сети и сохраним в файл PCAP.

Для информации. Пять минут перехвата траффика у себя в тестовой сети собрало более 30 000 различных пакетов.

Как понимаете, анализировать такой трафик достаточно трудоемко и по времени затратно. Wireshark обладает встроенными фильтрами и достаточно гибок, но что делать когда надо быстро проанализировать траффик, не изучая всего многообразия Wireshark?

Попробуем посмотреть какую информацию нам предоставит NetworkMiner.

  1. Открываем полученный PCAP в NetworkMiner. Понадобилось меньше минуты, чтобы проанализировать дамп траффика из более 30 000 пакетов.

  1. На вкладке Hosts приводится список всех хостов, участвующих в формирование траффика, с детальной информацией по каждому хосту:

  1. На вкладке Frames, трафик приводится в виде пакетов с информацией по каждому уровню модели OSI (Канальному, Сетевому и Транспортному).

  1. Следующая вкладка Credentials покажет перехваченные попытки авторизации в открытом виде. Вот так потратив меньше минуты можно из большого дампа трафика сразу получить логин и пароль на авторизацию. Я это делал на примере своего роутера.

  1. И еще одна вкладка, которая облегчает получение данных из трафика – это Files.

В нашем примере мне попался pdf файл, который можно сразу открыть и посмотреть.

Но больше всего я удивился, когда обнаружил в дампе трафика — txt файл, как оказалось от моего роутера DIR-620. Так вот этот роутер, при авторизации на нем, передает в текстовом виде все свои настройки и пароли, в том числе от WPA2.

В итоге, утилита оказалась довольно интересная и полезная.

Тебе, дорогой читатель, отдаю на прочтение данную статью, а я пошел покупать новый роутер.

“>