使用Wireshark监视手机的流量

发布日期:2020-02-07 浏览次数: 10675 次

如果您使用的是同一Wi-Fi网络,则打开Wireshark并进行简单的配置。我们将使用该工具解密WPA2网络流量,以便我们可以实时监控手机正在运行的应用程序。
虽然使用加密的网络比使用开放的网络更好,但是如果攻击者在同一网络上,优势就会消失。如果其他人知道您正在使用的Wi-Fi网络的密码,则可以很容易地使用Wireshark看到您当时在做什么。它可以使攻击者创建在目标设备上运行的每个应用的列表,并在可能容易受到攻击的应用上创建为零的列表。
解密加密的数据包
当使用WPA2加密的Wi-Fi网络时,会话的安全性取决于两点。第一个是用于生成更长号码的密码,即PSK或预共享密钥。第二个是实际的握手本身,必须建立连接才能发生。如果攻击者拥有连接到Wi-Fi网络的PSK,并且发现您加入了网络或被踢了片刻,则攻击者可以解密您的Wi-Fi流量以查看您在做什么。
无法看到HTTPS网站的内容,但是您访问的任何普通HTTP网站或手机上出现的任何不安全的HTTP请求应用程序都是纯视图。这似乎没什么大不了,但是在仅仅60秒内,就可以很容易地了解我们正在监视的设备的类型以及设备上正在运行的内容。同样,很容易看到DNS请求来解析应用程序需要与之交谈的域才能正常工作,从而确定哪些应用程序和服务处于活动状态。
如何运行

要发起这种攻击,需要满足一些条件。首先,我们需要密码,我们需要靠近受害者,以便我们可以记录流量,并且我们需要能够将目标设备踢出网络或等待它们重新连接。我们将打开Wireshark并访问菜单以解密Wi-Fi数据包,添加PSK以启用解密,并等待来自连接到网络的目标设备的EAPOL数据包。

为了了解目标设备的功能,我们将使用捕获过滤器突出显示所需的DNS和HTTP数据包。要查看设备已解析的每个域的完整列表,我们还可以查看捕获完成后已解析的域的摘要。我们可以使用此信息轻松区分正在运行的服务,即使它们仅在后台运行并且该应用程序已经有一段时间没有运行了。

需要什么

为此,需要具有无线监控模式的无线网络适配器,接下来,您需要将iOS或Android智能手机连接到您要监视的Wi-Fi网络。您可以在开放的Wi-Fi网络上练习此操作,以查看应该看到的内容,因为有时解密可能无法在第一次使用。您还需要知道要监视的Wi-Fi网络的密码和网络名称。这将使您能够计算预共享密钥,从而使我们能够实时解密流量。
步骤一
设置Wireshark进行捕获
在Wireshark菜单选项下,单击齿轮形的“ Capture options”菜单。

这将打开“捕获接口” 窗口,如下所示。

步骤二
如果您未连接到目标所在的网络,那么您将看不到任何数据包,因为您可能位于其他随机信道上。Wireshark实际上无法更改无线网络适配器打开的通道,因此,如果您什么都没收到,那可能就是原因

步骤三
现在我们有了握手,我们可以从现在开始解密对话。为此,我们需要添加网络密码或PSK。转到“ Wireshark”下拉菜单,然后选择“首选项”选项。选择后,单击“协议”。

在协议下,选择“ IEEE 802.11”,然后单击“启用解密”。要添加网络密钥,请单击“解密密钥”旁边的“编辑”以打开添加密码和PSK的窗口。

从菜单中选择“ wpa-psk”,然后粘贴到您的密钥中。点击Tab,然后单击“确定”进行保存。

完成此操作后,在“ 首选项”菜单上单击“确定” ,Wireshark应该重新扫描所有捕获的数据包并尝试对其进行解密。由于多种原因,这可能无法正常工作。通过确保良好的握手(EAPOL)并在使用网络密码和PSK之间来回切换,我能够使其在大多数时间都能正常工作。如果可行,我们可以继续分析流量以挑选出正在使用的应用程序。
步骤四、扫描DNS和HTTP数据包
现在我们已经取消了对流量的保护,Wireshark可以解密它们,并告诉我们我们进行握手的Wi-Fi网络中的设备正在实时执行操作。
1、DNS请求
我们将从DNS请求开始。DNS请求是应用程序如何确保应连接的IP地址未更改的方式。它们将被定向到通常在其中包含应用程序名称的域名,从而轻松查看哪个应用程序正在iPhone或Android手机上运行并发出请求。
要查看这些请求,我们将使用dns和http这两个捕获过滤器,它们将向我们显示应用程序通过Wi-Fi留下的最明显的指纹。首先,在捕获过滤器栏中键入dns,然后按Enter。如果这不起作用,请尝试几次在PSK和密码之间切换。不是很稳定,多试几次将开始工作。

如果您的目标光请求一个,您可能会在下面看到答复。Tinder呼叫Tindersparks.com域以及许多其他服务。此请求是最明显的请求之一。

 

虽然使用Signal是一个好主意,但将其与VPN一起使用是一个好主意。原因?甚至打开Signal也会在下面创建交换,清楚地标识出用户正在与加密的Messenger通信。

试图找到与Shazam一起播放的歌曲时,会留下以下指纹。

打开应用程序以调用Uber会创建您在下面看到的请求。

2、HTTP数据包
接下来,通过使用http捕获过滤器,我们可以看到有几个不安全的Web请求。这些捕获过滤器包含类似于useragent的信息,该信息将告诉我们正在连接的设备的类型。我们可以通过单击数据包并展开“超文本传输??协议”选项卡来进行检查。

在此示例中,我们可以看到对聊天服务器的不安全HTTP请求。这到底是什么?仅仅检查数据包并解析域就可以立即给我们答案。是微信!这款手机已安装了微信,此外,它发出的通讯还没有完全加密。
如果要查看已解决的所有问题,可以单击“统计信息”菜单选项卡,然后选择“已解决的地址”以查看整个捕获中已解决的所有域。这应该是设备正在通过其上运行的应用程序连接到的服务的清单。

 

 

转自:黑白之道

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图