Sniffing a analýza WiFi sítě – Nápověda pro Kismet NewCore

Kismet New Core Mastering Kismet New Core. Je to nějaký měsíc co vyšla aktualizovaná verze jednoho z nejlepších programů pro sniffing a analýzu wifi sítí. Možná kvůly ovládání, možná kvůly novému logování většina lidí které znám používá původní rozrhaní. Netsumbler nebo propracovanější inSSIDer (i když s GUI rozhraní a pro rodinu operačních systémů Windows) se s Kismet New Core nemůžou rovnat. Tato Linuxová aplikace pro pasivní skenování (sniffing) & analýzu bezdrátových sítí je kevšemu komplet přepsaná a ještě víc konfigurovatelná záležitost. Nezkušeného uživatele ale sáhodlouhý výčet možností konfigurace a flagů v hlavním rozhraní může zaskočit. Podívejme se spolu na možnosti konfigurace, základní nastavení i pokročilejší funkce..

Logicky nejžádanější je samotné spuštění aplikace a práce s parametry sítě (RSSI, PWR, IP). Defaultní nastavení Kismet New Core v případě, že není definováno rozhraní pro scan wifi sítí v kismet.conf, vyvolá dialog kde je možné jméno rozhraní zadat. V průbehu práce s aplikací je možné přidávat další wifi karty (source). Program zvládne i odpojení wifi karty. V hlavním okně ve výchozí konfiguraci nenaleznete intenzitu signálu. Nová verze již ale nevyžaduje editaci souboru kismet_ui.conf v části # What columns do we display. Jak tedy na to? Stačí zmáčnkout klávesu ~ (pod Esc, u QWERTY lze vyvolat pomocí Alt + a). Tak lze aktivovat konfigurační menu (vlevo nahoře) viz obrázek níž – Konfigurační menu (klikem na každý obrázek lze zobrazit ve větším rozlíšení).

Popis aplikace

Kismet New Core

První (1) číslo označuje hlavní Menu které lze vyvolat pomocí ~ (na QWERTY Ctrl + a). Jak je patrné na druhém obrázku položka Kismet (prvá v hlavním menu) obashuje 9 nabídek a asi 20 podnábídek. Způsob řazení zachycených wifi sítí se již neovládá kombinací kláves s + s (c, a, w..) ale v menu Sort (druhá nabídka v hlavním menu).

Uspořádání wifi sítí v rozhraní programu je i nadále možné dle potřeby a to: a – auto fit (výchozí), c (channel) – dle čísla kanálu, f (first time seen) – dle času zachycení, poslední je vždy první, F (first time seen descending) – to samé ale v opačnem poradí, l (latest time seen) – naposled aktivní síť, L (latest time seen descending) – to samé ale v opačnem poradí, b (BSSID) dle výrobce hardware (identifikováno dle MAC adresy), B (BSSID descending) – to samé v opačném alfanumerickém poradí, s (SSID) – dle identifikátoru, S (SSID descending) – to samé ale opačně dle abecedy samozřejmě, p (packet count) – dle počtu zachycených paketů, P (packet count descending) – dle počtu zachycených paketů v opačném poradí, Q (signal power level) – dle úrovně síly signálu, w (wep) – dle zabezpečení, první wpa, druhé wep, třetí otevřené sítě, Q – návrat na úvodní obrazovku.

V poradí (2) druhé číslo označuje značku ! – aktivita sítě, (3) pod + jsou automaticky kategorizovány probe sítě. Po otevření nabídky k vidění další MAC adresy(probe, peer-to-peer, datové transfery).

Tam kde je (21) ve výchozí konfiguraci naleznete Graf Signálu – ten je ale zajímavější a použitelný myslím pouze v detailech klieta. (7) u připojených klientů k vidění vendor nebo-li výrobce klientského zařízení. Kismet New Core niní používí MAC adress Vendor z aplikace Kismet – ta je podstatně aktuálnější :) (10) pod písmenem T zobrazuje typ sítě (11) šifrování, (12) kanál, (13) počet paketů, (14) objem zachycných dat (15) datové rámce (16) počet klientů přidružených sledováním MAC adres k Access Pointu, (17) síla signálu (doporučuji podívat se do diskuzního fóra kde se tato problematika řeší ve vlákně Prism headers), (18) síla signálu u klientů (19) frekvence kanálu (20) nejpouživanější IP adresa v rozsahu komunikace wifi sítě..

Kismet New Core umí tak jako předešlá verze vyhodnocovat pomocí Flagů zajímavé informace (Flag D, F, A, U, W, T).  Napadnutelná (zranitelná továrni konfigurace WAP zařízení) je flag F. Flag T# ozanmuje, že adresní rozsah # oktetů byl nalezen v TCP trafiku. Příbuzný flag U# ukazuje, že adresná rozsah # oktetů byl nalezen pomoci UDP trafiku. Adresná rozsah # oktetů nalezen pomocí ARP trafiku označuje flag A#, nalezení IP adresy pomocí DHCP informaci v provozních datech označuje flag D. WEp šifrována síť dešifrována pomocí WEP klíče zadaného v konfiguraci kismet.conf.

Číslo (21) jak již bylo mezi popiskem 6 a 7 uvedeno, ve výchozí konfiguraci na tomto místě zobrazuje graf signálu a průtok paketů v skenované lokalitě. Dále (22) je čas jaký aplikacé běží, (23) počet detekovaných sítí nebo spojů, (24) celkový počet paketů všech sítí, (25) průtok dat za sekundu , v případě, že se rozhodnete filtrovat pak je pod (26) naleznete počet odfiltrovaných paketů, pod (27) je jméno výchozího rozhraní které aplikace používá a režim skenu (Lock, Hop, Dwell).

Zobrazení IDS hlášek ve třetím spodním bloku je volitelné, ve výchozí konfiguraci se zobrazují pouze informace o nalezených sítích, SSID a IP adresách.

Intergrovaný Intrussion Detection System v Kismet New Core rozpozná celkem 17 typů útoků nebo podezřelých aktivit: Díky otisku (fingerprint) detekuje skenr Netstumbler, PocketStumbler, Wellenreiter, Airjack, Lucent link test. Další zajímavá kapitola je vyhodnocování příznaků. Díky této schopnosti umí detekovat kupříkladu útoky typu Deauthenticate – Disassociate Flood, změnu kanálu u Access Pointu (typické pro útok Man-in-the-middle), Broadcast disasociaci nebo deuatentizaci, Noprobe response, MSF-style poisoned 802.11.

Konfigurační menu

Kismet New Core popis rozhraní

Konfigurace Kismet New Core

Konfigurační soubor kismet.conf lze konfigurovat v textovém editoru (kedit, gedit, kwrite, vi, mc..), pokud nevíte kde konfigurační soubor máte použijte příkaz whereis

whereis kismet.conf

Přepracované Kismet ale umožňuje ovládat vše z rozhraní programu. Momentálně aktuální verze recenzované aplikace je je Kismet-2010-07-R1.

Co je WPA Migration Mode patch pro aircrack-ng a Kismet New Core?

Popsáno v článku Cisco WPA Migration attak. Stručná informace k protokolu ve WiKi pod heslem WLCCP (Cisco Wireless LAN Context Control Protocol).

Chybové hlášky u kompilace (Instalace Kismet)

Chyba: FATAL:  No ‚suiduser‘ option in the config file
Řešení: použít make suidinstall

Chyba: FATAL:  Your config file does not define a ‚piddir‘ setting. You need to install the latest configuration files.  See the troubleshooting section of the README for more information.
Řešení: Na disku je přítomen starý konfigurační soubor (verze 2008 a starší)

Kismet scanuje v pásmu 802.11b pouze po kanál 10 (11)

Postup a eventuélní (né vždy fungujíci) řešení popsáno v diskuzi v našem Fóru (Alfa USB výkon + iwpriv + kanál) v příspěvku číslo 17

Diskuze AMP Security Fórum

Je potřeba gpsd pro použití GPS s aplikací Kismet New Core

Kismet New Core funguje s i bez gpsd. Ukázka konfigurace Kismet New Core (soubor kismet.conf v ceste /usr/local/etc/kismet.conf)

# Do we have a GPS?
gps=true
# Do we use a locally serial attached GPS, or use a gpsd server?
# (Pick only one)
###gpstype=gpsd
gpstype=serial
# What serial device do we look for the GPS on?
###gpsdevice=/dev/rfcomm0
###gpsdevice=/dev/ttyS0
gpsdevice=/dev/ttyUSB0
# Host:port that GPSD is running on.  This can be localhost OR remote!
###gpshost=localhost:2947
# Do we lock the mode?  This overrides coordinates of lock „0“, which will
# generate some bad information until you get a GPS lock, but it will
# fix problems with GPS units with broken NMEA that report lock 0
gpsmodelock=false
# Do we try to reconnect if we lose our link to the GPS, or do we just
# let it die and be disabled?
gpsreconnect=true

Nápovědu a popisky ke starší verzi Kismet naleznete v textu Sniffing WiFi sítí – Nápověda pro Kismet (Old Core).
Odkaz na Kismet New Core s aplikovaným WPA Migration Mode patchem bude přidán jako odkaz v tomto textu. Pokud to neumíte a nemůžete čekat optejte se na našem IRC kanálu.

Kam dál?