Categories:

Packet Capturing für WLAN-Monitoring unter Linux richtig einrichten (Monitor Mode)

Veröffentlicht von empy
Lesezeit: 3 Minuten

Möchte man das eigene WLAN auf mögliche Probleme untersuchen, hilft einem Wireshark. Am zuverlässigsten klappt das unter Linux, denn für eine vollständige Analyse ist es notwendig, den WLAN-Adapter in den Monitor Mode zu schalten. Nur dann lassen sich alle relevanten Frames in der Kommunikation von Access Point zu den Teilnehmern im WLAN erfassen. Lässt man den Adapter im Zugriffsmodus, kann nur ein Teil der Informationen mit Wireshark ausgewertet werden.

In dieser Anleitung zeige ich einen einfachen Weg, um den WLAN-Adapter in den Monitor Mode zu versetzen. Es ist nicht garantiert, dass das Vorhaben für alle WLAN-Adapter funktioniert, denn Adapter gibt es zahlreiche und es führen viele Wege ans Ziel. Aber es ist ein guter Anfang. Mein präferierter WLAN-Adapter des Herstellers ALFA Network funktioniert zwar mit dem im Folgenden beschriebenen Weg grundsätzlich, es kann jedoch vorkommen, dass der Adapter quasi abstürzt und nicht mehr zuverlässig arbeitet. Eine Lösung dafür zeige ich euch in diesem Artikel. In jedem Fall muss der WLAN-Adapter aber den Monitor Mode technisch unterstützen. Das liegt meist am Chipsatz, welcher den Monitor Mode implementiert haben muss. Die entsprechende Information steht in den technischen Datenblättern zum Adapter. Notfalls eben Google bemühen.

WLAN-Adapter in den Monitor Modus mit airodump-ng

aircrack-ng downloaden

Sind die Grundlagen geklärt und der WLAN-Adapter beherrscht den Monitor Mode kann es auch schon losgehen. Startet Linux und besorgt euch das Anwendungspacket aircrack-ng, falls noch nicht in der Distribution integriert. Früher wurde es verwendet, um Netzwerke auch anzugreifen. Wir benutzen das Tool ganz legal und schalten damit den WLAN-Adapter in den Monitor Mode. Und das sogar super simpel.

apt-get install aircrack-ng

Aktuellen WLAN-Adapter-Status ansehen

Ist das Anwendungspaket aircrack-ng installiert, wird zunächst geprüft, welche Netzwerkadapter am Linux-System vorhanden sind. Dazu wird zunächst der „ip link“-Befehl genutzt. Im Anschluss nutzen wir direkt den Befehl „iwconfig“, um noch mehr Details über die Netzwerkadapter zu sehen. Die Ergebnisse sehen wir im folgenden Bild.

ip link
iwconfig
Die Befehle „ip link“ und „iwconfig“ zeigen Details zu den Adaptern.

Der zweite Befehl sagt uns eindeutig, dass unser WLAN-Adapter die interne Bezeichnung „wlan0“ hat. Je nach Adapter kann dieser Name durchaus unterschiedlich sein. Wir sehen zudem, dass der WLAN-Adapter momentan im Managed Mode, also dem Zugriffsmodus ist. Den Namen des WLAN-Adapters brauchen wir für den nächsten Schritt.

airodump-ng nutzen, um WLAN-Adapter in den Monitor Mode zu schalten

Nun starten wir airodump-ng, um den WLAN Adapter in den Monitor Mode zu versetzen. Dazu geben wir den folgenden Befehl ein:

airodump-ng wlan0 -c 1,6,11

Der Befehl startet die Anwendung airodump-ng für den WLAN-Adapter wlan0. Zudem sollen nur die Kanäle 1, 6 und 11 abgehört werden, die typischen 2,4-GHz-Kanäle. Die Kanäle sind anpassbar und es können auch alle WLAN-Kanäle gescannt werden. In diesem Fall einfach nach dem Adapternamen den Befehl direkt bestätigen. Wichtig aber: Je kleiner die Kanalauswahl, desto vollständiger die Erfassung der WLAN-Frames. Je nach Untersuchungsfall kann es notwendig sein, nur einen einzigen Kanal zu untersuchen.

Airodump-ng bei der Arbeit. Wichtig für uns: Mit dem Programmstart wurde der Monitor Mode für wlan0 aktiviert.

Airodump-ng beginnt sofort mit der Arbeit. Ignoriert das Fenster einfach für den Moment. Ich habe ein Tool dafür gebaut, mit dessen Hilfe ihr die Daten aus airodump-ng besser darstellen und auswerten könnt. Gibt man den Befehl „iwconfig“ in einem neuen Konsolenfenster ein (denn im Alten läuft nun airodump-ng), lässt sich feststellen, dass sich der WLAN-Adapter wlan0 nun im Monitor Mode befindet. Es hat also alles funktioniert.

Wireshark starten und Adapter im Monitor Mode auswählen

Nun geht es weiter wie im allgemeinen Artikel zu Wireshark beschrieben: Einfach Wireshark öffnen, wlan0 auswählen und voila: Wireshark erfasst alle Frames auf den eingestellten Kanälen, im Beispiel Kanal 1, 6 und 11 im 2,4-Ghz-Band. Auch die WLAN-Management-Frames. Die Diagnose kann beginnen.