Skip to main content

 

Cisco Meraki Documentation

クライアントマシンで無線空間のパケットキャプチャを取得する

このページは Capturing Wireless Traffic from a Client Machineの抄訳です。

ページの内容に不一致がある場合、英語版のページの内容が優先されます。

 

無線空間のパケットキャプチャは、無線LAN 上の特定の問題をトラブルシューティングする際に非常に役立ちます。 最も一般的な用途は、ステーション (クライアント) とアクセス ポイント (AP) 間のすべての通信 (データ、管理、および制御フレーム) を表示することです。

これは、AirPCAP アダプターを使用しているときに簡単に可能ですが、高価であり、接続の問題が発生している場合は利用できない場合があります。

上記の専用ハードウェアを使用せずに無線空間のパケットキャプチャを取得するには、Mac または Linux を使用した PC が必要です。

 

ワイヤレス トラフィックの表示は、次の 2 段階のプロセスです。

  1. ワイヤレス アダプターをモニター/プロミスキャスモードにする

  2. モニターモードで Wireshark を使用してトラフィックを表示する

NOTE: WPA2-PSK などの暗号化が有効になっている SSID でワイヤレストラフィックをキャプチャする場合は、クライアントトラフィックを適切に復号化できるように、クライアントが SSID に接続する前に、モニターモードのキャプチャが開始されていることを確認してください。

 

Mac OSでの無線空間のパケットキャプチャ (10.15.x)

Macがネットワーク (有線を含む) に接続していないことを確認してください。

 

 Sniffer-pop-up-window-on-MacOS.png

 

Option キーを押したまま、右上の [ワイヤレス] アイコンをクリックします。 Option キーを押し続けると、隠しオプションが表示されます。

 

 Wireless-icon-click-Open-Wireless-Diagnostics.png

「ワイヤレス診断を開く...」を選択 

開いたら、左上の [ウィンドウ] セクションに移動し、[スニファ] を選択します。

 Window-option-select-sniffer.png

 

チャンネルと幅を選択し、開始を押します。 これは、監視対象のクライアント/AP が現在使用しているチャネルと一致する必要があります。 この例は、5 GHz – チャネル 56、チャネル幅 20 Mhz でのキャプチャの例を示しています。

 Sniffer-pop-up-window-on-MacOS.png

Channel-and-Channel-width-option-to-capture-selecting-5GHz-Channel56.png

 

 

Note: チャネル ボンディングによるフレームのドロップを回避するために、20 MHz を使用して AP からのすべてのトラフィックをキャプチャすることをお勧めします。

 


チャンネルと幅を設定したら、「開始」をクリックします。 キャプチャを保存するフォルダーに (/var/tmp) 注意してください。事象を再現させたら、キャプチャを停止します。 フォルダーに移動するには、Finder に切り替えます。 次に、上部にある [移動] を選択し、[フォルダへ移動...] を選択します。

 Go-Menu-Select-Go-To-Folder.png

/var/tmp を入力し、[移動] をクリックします。 

Fill-in-the-folder-var-tmp-click-Go.png

フォルダーに、モニターモードのキャプチャファイルが保存されていることを確認します。

 

Screenshot of folder that the monitor mode capture has been saved to.png

Linuxでのモニタリング

Kali Linuxでのモニタリング

ターミナルで「iwconfig」コマンドを実行して、使用可能なワイヤレス インターフェースを調べます。

iwconfig

インターフェイスをモニターモード (通常は wlan0) に設定するには、「airmon-ng start wlan0」を実行します。 別のインターフェイスをモニターする場合は、「wlan0」を別のインターフェイス名に置き換えます。 このコマンドを実行すると、「could cause trouble」のメッセージが表示される場合があります。

set an interface into monitor mode run "airmon-ng start wlan0"

airmon-ng と干渉しているプロセスがある場合は、そのプロセスを見つけて「kill [PID]と入力して強制終了します。 process interfering with airmon-ng, find it and type "kill [PID]"

これらのプロセスが強制終了されたら、最初からやり直します。 「airmon-ng stop mon0」を使用して mon0 インターフェースを強制終了します。

airmon-ng stop mon0 - stop monitoring mode for wan0

干渉するプロセスがなくなったのでので、「airmon-ng start wlan0」を再度実行します。

airmon-ng start mon0 - start monitoring mode for wan0

「airmon-ng start wlan0」と競合するプロセスがなくなっていることを確認してください。

最後に、「airodump-ng mon0 --channel [CHANNEL]」を使用して、モニターするチャネルを指定します。 以下の例では、チャネル 1 がモニターされています。

specify which channel to monitor with "airodump-ng mon0 --channel [CHANNEL]"

capture can be viewed live from Wireshark running in monitor mode

このキャプチャは、モニターモードで実行されている Wireshark からライブで表示できます。

モニターモードでの Wireshark の使用

ワイヤレスカードがモニター/プロミスキャスモードになると、モニターモードで Wireshark を使用してデータをライブで表示できます。

Note: 次のスクリーンショットは、古い (v2.0 より前) バージョンの Wireshark を使用しています。 新しいバージョンでモニターモードを有効にするための詳細については Wireshark Wiki を参照してください。

以下の例では、インターフェイス en0 (Mac) または mon0 (Linux) が選択され、モニター モードを使用するように指定されています。

Select the desired interface eth0 to be used for monitoring mode

このモードが選択され、Wireshark でキャプチャが開始されると、802.11 フレームが画面いっぱいに表示され始めます。 これがトラフィックの大部分を占め、デフォルトでは 802.11 トラフィックの色付けのルールがないため、白にする必要があります。

 the 802.11 frames will start to fill the screen

NOTE: Wireshark での 802.11 トラフィックの復号化の詳細については、このリンクを参照してください。

  • Was this article helpful?