Tshark yerine tcpdump ile işlerimi yapmaktan yanayım. Bu nedenle işlemlerin çoğunu tcpdump ile yaptım ama sizler için tsharkla nasıl yapılacağını da yazdım. Malum makina bizler tshark öğrenelim diye var 🙂
How many packets are there in the PCAP file?
PCAP dosyasında kaç tane paket olduğu sorulmaktadır.
tcpdump -r Wifi_traffic.pcap | wc -l
tshark -r WiFi_traffic.pcap -z help
tshark -r WiFi_traffic.pcap -q -z io,phs
Tshark da -r
parametresi ile dosyayı veriyoruz. -z
parametresi ile de filtreleme yapabiliyoruz. -z
parametresinin kensine özel değerleri var. Hepsini ezberlemek mümkün değil bu nedenle help
‘e karşı cimri davranmıyoruz.
Eğer -q
parametresini yazarsak ekrana .pcap dosyasının içerisini basmadan direkt sonuçları basar. msfconsele -q
da yaptığımız gibi hayal edebiliriz.
How many beacon frames are there in the PCAP file?
PCAP dosyasında kaç tane beacon frames olduğu sorulmaktadır.
tshark -r WiFi_traffic.pcap | grep Beacon | wc -l
tcpdump -r WiFi_traffic.pcap | grep Beacon | wc -l
What is the BSSID of SecurityTube_Open SSID? Please write the MAC address in the format aa:bb:cc:dd:ee:ff to verify the answer.
SecurityTube_Open SSID’nin BSSID’si nedir diye sorulmaktadır. Bulduğumuz değeri MAC adresi formatında yazmamız istenmektedir.
tshark -r WiFi_traffic.pcap -Y 'wlan.fc.type_subtype == 0x0008' -Tfields -e wlan.ssid -e wlan.bssid | sort
| uniq
Bu komut satırında en bilinmez ve çözüm esnasında ne olduğunu anlamakta zorluk çekeceğimiz şeyler -Tfields
parametresi -e
ile verdiğimiz değerler. Bu değerleri Wireshark üzerinden alabiliriz. Fakat uygulama esnasında bir GUI (arayüz) yok. Peki biz bunları nasıl bileceğiz. Wireshark’ın sitesindeki dokümanları okuyarak SSID değerini nasıl aldığını BSSID değerini nasıl aldığını yani hangi değişkenine aldığını öğrenebiliriz. Zaten bizden SecurityTube_Open
değerini istedi, bizde uniq
parametresi ile her birini bir kere göster dedik ve değeri bulduk. Aşağıda ise tcpdump ile filtreleyebildiğim seviye de filtreledim. Sadece tcpdump kullanmayı biliyor olsaydım, bunları tek tek yapıştırırdım.
tcpdump -enr WiFi_traffic.pcap | awk '{print $13, $17}' | sed "s/[()]//g;s/......//" | sort | uniq
tcpdump –e | Yakalanan paketlerin ikinci katman bilgilerini yani mac adreslerini elde etmek için kullanılır. |
tcpdump -n | Analizi yaparken transfer yapılan adresin IP adresi ve port numarasını yazdırır. |
awk ‘{$,$}’ | Hangi sutunları sıralayacağını söylüyoruz. |
sed “s/[()]//g;s/……//” | s ile başlıyoruz. [()] değerleri yerine “null” getir diyoruz. İki / arasına bir şey yazmamışız. Sonra g hardi ile yeniden değer gireceğimii söylüyoruz ve bu sefer “noktalama” işaretleri yerine yine “null” veriyoruz. |
How many beacon frames were sent by the BSSID bc:ae:c5:c3:5e:01?
BSSID değeri bc:ae:c5:c3:5e:01 olan beacon frames’in kaç tane olduğu sorulmaktadır.
tshark -r WiFi_traffic.pcap 'wlan.bssid == bc:ae:c5:c3:5e:01' | grep Beacon | wc -l
Which MAC address received a Deauthentication packet? Please write the MAC address in the format aa:bb:cc:dd:ee:ff to verify the answer.
Hangi MAC adresinin bir kimlik doğrulama paketi aldığının sorulmaktadır.
tshark -r WiFi_traffic.pcap -Y 'wlan.fc.type_subtype == 0x000c' -Tfields -e wlan.bssid