Sniffing WiFi sítí – Nápověda pro Kismet

snifovací program Nápověda a vysvětlivky k v současné době nejlepšímu programu pro sniffing wifi sítí. Program pro operační systém Windows jménem Netsumbler se aplikaci jakou je KisMAC nebo Kismet nemůže rovnat. Linuxové aplikaci pro sniffing wifi sítí – Kismet je velice jednoduchá a vysoce konfigurovatelná. Nezkušeného uživatele ale sáhodlouhý výčet možností konfigurace a flagů v hlavním okně aplikace častokrát zaskočí. Možnosti snifovacího programu jsou obrovské.

V defaultním nastavení Kismet neukazuje sílu signálu. To lze zařídit editaci souboru kismet_ui.conf v části # What columns do we display? Stačí doplnit výrazem „,signal„. Po restartu programu Kismet uvidíte v posledním sloupci sílu signálu u každé sítě.

Popis aplikace

Sniffing Kismet

První (1) číslo označuje způsob řazení zachycených wifi sítí, potažmo víme zda-li můžeme nebo nemůžeme zobrazit detail vybrané sítě nebo klienty. V základní konfiguraci (Autofit) k odsnifnutým datům přitupovat nelze. Stisk písmena s vyvolá nabídku sort kde jsou k dispozici možnosti a (Auto-fit) – standardně, c (Channel) – dle čísla kanálu, f (First time seen) – dle času zachycení, poslední je vždy první, F (First time seen descending) – to samé ale v opačnem poradí, l (Latest time seen) – naposled aktivní síť, L (Latest time seen descending) – to samé ale v opačnem poradí, b (BSSID) dle výrobce hardware, B (BSSID descending) – to samé v opačném alfanumerickém poradí, s (SSID) – dle identifikátoru, S (SSID descending) – to samé ale opačně dle abecedy samozřejmě, p (Packet count) – dle počtu zachycených paketů, P (Packet count descending) – dle počtu zachycených paketů v opačném poradí, Q (Signal power level) – dle úrovně síly signálu, w (Wep) – dle zabezpečení, první wpa, druhé wep, třetí otevřené sítě, x – návrat na úvodní obrazovku.

V poradí (2) druhé číslo označuje znak + ten označuje v případě kategorizace skupinu sítí. Po otevření nabídky tam uvidíte další sítě, obvykle peer-to-peer nebo datové transfery.

Trojka (3) znak výkřičník ! signalizuje aktivitu na síti. 4 je seznam zachycených Access Pointů a zobrazuje SSID. Seznam 5 pod písmenem T zobrazuje třídu IEEE t.j A, B, G nebo N. Sloupec číslo 6 pod písmenem W zobrazuje zabezpečení wifi sítě. Pod písmenem Ch je sedmý (7) sloupec kde je zobrazen kanál na kterém vysílač pracuje. Číslo 8 pod hlavičkou Packts zobrazuje počet zachycených paketů.

Devátý (9) sloupec jsou Flags kde najdete zajímavé informace pod flagem D, F, A, U, W a T. Napadnutelná (zranitelná továrni konfigurace WAP zařízení) je flag F. Flag T# ozanmuje, že adresní rozsah # oktetů byl nalezen v TCP trafiku. Příbuzný flag U# ukazuje, že adresná rozsah # oktetů byl nalezen pomoci UDP trafiku. Adresná rozsah # oktetů nalezen pomocí ARP trafiku označuje flag A#, nalezení IP adresy pomocí DHCP informaci v provozních datech označuje flag D. WEp šifrována síť dešifrována pomocí WEP klíče zadaného v konfiguraci kismet.conf.

Sloupec číslo deset (10) IP range zobrazuje všechny zjištěné IP adresy, jedenáctka (11 Size) objem zachycených dat. Dvanáct (12) sílu signálu v případě, že tuto možnost ovládač podporuje. Zde doporučuji mrknout do fóra, na diskuzi Prism headers. V druhém bloku Info pokračujeme číslem 13 pod kterým je celkový počet nalezených wifi sítí po dobu co je sniffer Kismet v provozu, Pckets u čísla 14 zobrazuje počet paketů, 15 (Cryptd) množství šifrovaných paketů, 16 (Weak) počet slabých rámců, 17 (Noise) detekována data v rámci šumu, 18 (Discrd) zahozené – nepoužitelné data, 19 (Pkts/s) rychlost toku dat, u čísla 20 je místo pro volitelný popisek ovládače o délce 5 znaků, 21 (Ch) je channel hoppingem momentálne používaný kanál, 22 (Elapsd) zobrazuje dobu jakou ej program Kismet v provozu.

Třetí, spodní blok informací je vyhrazen pouze pro security IDS hlášky. U numera 23 lze vidět oznámení IDS (Intrussion Detection System) části aplikace začínajíci slovem ALERT: Suspicious client.. V konfiguraci aplikace je definováno celkem 17 upozornění. Kismet umí detekovat a upozorňovat díky otisku (fingerprint) skenr Netstumbler, PocketStumbler, Wellenreiter, Airjack, Lucent link test. Další zajímavá kapitola je vyhodnocování příznaků. Díky této schopnosti umí detekovat kupříkladu útoky typu Deauthenticate – Disassociate Flood, změnu kanálu u Access Pointu (typické pro útok Man-in-the-middle), Broadcast disasociaci nebo deuatentizaci, Noprobe response, MSF-style poisoned 802.11.

Konfigurace sniffru

Pokud nevíte kde konfigurační soubor máte použijte příkaz whereis

whereis kismet.conf

Úprava konfigurace, otevření konfiguračního souboru v textovém editoru

gksu gedit /etc/kismet/kismet

Pokud chcete zjistit seznam všech souborů obsahujíci název Kismet stačí k tomu napsat do konzole kis a 2x stisk tlačítka TAB na vašem keyboardu. To zobrazí všechny soubory obsahujíci výraz kismet t.j:

kismet.conf        kismet_drone.conf  kismet_ui.conf

Vybrat soubor (libovolny kismet.conf, kismet_drone.conf nebo kismet_ui.conf) pro editaci a otevřít k editaci (lze použít textový editor nebo konzolovou aplikaci mc).

Diskuze AMP Security Fórum

Odkaz vede do sekce Diskuze článků a tutoriálů – komentáře směrujte do příslušné diskuze.

Zatím poslední verze sniffing programu Kismet je Kismet-2008-05-R1.

Kam dál?