Tutorial para instalação e configuração de interface monitor para captura de pacotes wireless utilizando ferramentas da suite Aircrack-ng e o Wireshark para visualização dos pacotes capturados.
Este tutorial é baseado na distribuição Ubuntu Linux. Todos os comandos precisam de permissão de super usuário (sudo)
Para instalar o Wireshark
gustavo@ubuntu:~$ sudo apt-get install wireshark
No próximo passo, para instalar a suite do Aircrack (já traz todas as ferramentas i.e. airmon-ng, airodump-ng...)
gustavo@ubuntu:~$ sudo apt-get install aircrack-ng
Antes de iniciar a captura, algumas alterações precisam ser feitas.
Para que a interface wireless seja alterada para capturar o tráfego de pacotes (modo monitor), primeiro é necessário identificar tal interface
gustavo@ubuntu:~$ sudo airmon-ng
Identificada a interface, o comando seguinte irá alterar o modo de operação da placa de rede wireless
gustavo@ubuntu:~$ sudo airmon-ng start <nome_da_interface>
Deverá ser criada uma interface monitor, com um novo nome (Geralmente a ferramenta adiciona 'mon' ao final do nome da interface wireless).
Por segurança, o sistema pode bloquear a manipulação da interface com o rf-kill hard blocked e a seguinte mensagem será exibida
siocsifflags operation not possible due to rf-kill wireless: Wireless LAN Soft blocked: yes Hard blocked: no
Para o caso de bloqueio por software (soft blocked: yes), uma possível solução é desbloquear a interface com o comando unblock
gustavo@ubuntu:~$ sudo rfkill unblock <nome_da_interface>
wireless: Wireless LAN Soft blocked: no Hard blocked: yes
Em alguns casos a interface pode estar fisicamente bloqueada (hard blocked: yes), neste caso, cheque se o botão de habilitar/desabilitar o wireless está devidamente habilitado ou se o computador está com o modo avião habilitado e desabilite.
Alguns processos podem interferir e impedir a mudança no modo de operação da interface, é possível resolver checando quais são estes processos
gustavo@ubuntu:~$ sudo airmon-ng check
E, após a checagem, é possível cancelar (kill) estes processos (Cuidado! o comando 'kill' irá parar todo o administrador de rede)
gustavo@ubuntu:~$ sudo airmon-ng check kill
O passo seguinte é iniciar captura de pacotes (sniffer) utilizando a ferramenta airodump-ng
gustavo@ubuntu:~$ sudo airodump-ng -c <canal> --beacon <nome da interface monitor> -w <nome do arquivo>
Dicas:
- Para utilizar a frequência ao invés do canal, basta utilizar -C (maiúsculo) seguido da frequência;
- -w irá escrever o arquivo .cap/.pcap com o nome escolhido.
Após executar o sniffer utilizando o airodump, você pode utilizar o Wireshark para abrir o arquivo (.cap ou .pcap) gerado e analisar os pacotes.
gustavo@ubuntu:~$ sudo wireshark <nome do arquivo>
Alguns pontos importantes devem ser lembrados após executar a captura.
Para finalizar o modo monitor e retornar à interface wireless
gustavo@ubuntu:~$ sudo airmon-ng stop <nome da interface monitor>
E, para retornar o controle para o administrador de rede do sistema
gustavo@ubuntu:~$ sudo service network-manager start