Skip to main content
Cisco Meraki Documentation

クライアントマシンで無線空間のパケットキャプチャを取得する

このページは Capturing Wireless Traffic from a Client Machineの抄訳です。

ページの内容に不一致がある場合、英語版のページの内容が優先されます。

 

無線空間のパケットキャプチャは、無線LAN 上の特定の問題をトラブルシューティングする際に非常に役立ちます。 最も一般的な用途は、ステーション (クライアント) とアクセス ポイント (AP) 間のすべての通信 (データ、管理、および制御フレーム) を表示することです。

これは、AirPCAP アダプターを使用しているときに簡単に可能ですが、高価であり、接続の問題が発生している場合は利用できない場合があります。

上記の専用ハードウェアを使用せずに無線空間のパケットキャプチャを取得するには、Mac または Linux を使用した PC が必要です。

 

ワイヤレス トラフィックの表示は、次の 2 段階のプロセスです。

  1. ワイヤレス アダプターをモニター/プロミスキャスモードにする

  2. モニターモードで Wireshark を使用してトラフィックを表示する

NOTE: WPA2-PSK などの暗号化が有効になっている SSID でワイヤレストラフィックをキャプチャする場合は、クライアントトラフィックを適切に復号化できるように、クライアントが SSID に接続する前に、モニターモードのキャプチャが開始されていることを確認してください。

 

Mac OSでの無線空間のパケットキャプチャ (10.15.x)

Macがネットワーク (有線を含む) に接続していないことを確認してください。

 

 image4.png

 

Option キーを押したまま、右上の [ワイヤレス] アイコンをクリックします。 Option キーを押し続けると、隠しオプションが表示されます。

 

 image3.png

「ワイヤレス診断を開く...」を選択 

開いたら、左上の [ウィンドウ] セクションに移動し、[スニファ] を選択します。

 image6.png

 

チャンネルと幅を選択し、開始を押します。 これは、監視対象のクライアント/AP が現在使用しているチャネルと一致する必要があります。 この例は、5 GHz – チャネル 56、チャネル幅 20 Mhz でのキャプチャの例を示しています。

 image4.png

image1.png

 

 

Note: チャネル ボンディングによるフレームのドロップを回避するために、20 MHz を使用して AP からのすべてのトラフィックをキャプチャすることをお勧めします。

 


チャンネルと幅を設定したら、「開始」をクリックします。 キャプチャを保存するフォルダーに (/var/tmp) 注意してください。事象を再現させたら、キャプチャを停止します。 フォルダーに移動するには、Finder に切り替えます。 次に、上部にある [移動] を選択し、[フォルダへ移動...] を選択します。

 image14.png

/var/tmp を入力し、[移動] をクリックします。 

image5.png

フォルダーに、モニターモードのキャプチャファイルが保存されていることを確認します。

 

image2.png

Linuxでのモニタリング

Kali Linuxでのモニタリング

ターミナルで「iwconfig」コマンドを実行して、使用可能なワイヤレス インターフェースを調べます。

68bf1eb9-597b-4390-9be5-f806aa9a2d53

インターフェイスをモニターモード (通常は wlan0) に設定するには、「airmon-ng start wlan0」を実行します。 別のインターフェイスをモニターする場合は、「wlan0」を別のインターフェイス名に置き換えます。 このコマンドを実行すると、「could cause trouble」のメッセージが表示される場合があります。

cc5b2d9a-f24d-4c7f-97c3-298c002850c3

airmon-ng と干渉しているプロセスがある場合は、そのプロセスを見つけて「kill [PID]と入力して強制終了します。 36bc473f-62d3-4d5f-9987-4c9bf2b575b7

これらのプロセスが強制終了されたら、最初からやり直します。 「airmon-ng stop mon0」を使用して mon0 インターフェースを強制終了します。

079efd42-b530-4944-9b26-daf8a3020475

干渉するプロセスがなくなったのでので、「airmon-ng start wlan0」を再度実行します。

6a7b98eb-50dd-4d1d-a99d-813d6561880a

「airmon-ng start wlan0」と競合するプロセスがなくなっていることを確認してください。

最後に、「airodump-ng mon0 --channel [CHANNEL]」を使用して、モニターするチャネルを指定します。 以下の例では、チャネル 1 がモニターされています。

d3ced35d-b97a-4636-b844-11e669e2be8c

e5355980-1ee9-419e-9d1b-d7e86d42dfb8

このキャプチャは、モニターモードで実行されている Wireshark からライブで表示できます。

モニターモードでの Wireshark の使用

ワイヤレスカードがモニター/プロミスキャスモードになると、モニターモードで Wireshark を使用してデータをライブで表示できます。

Note: 次のスクリーンショットは、古い (v2.0 より前) バージョンの Wireshark を使用しています。 新しいバージョンでモニターモードを有効にするための詳細については Wireshark Wiki を参照してください。

以下の例では、インターフェイス en0 (Mac) または mon0 (Linux) が選択され、モニター モードを使用するように指定されています。

e5233961-0bba-429b-8659-30be9815b29e

このモードが選択され、Wireshark でキャプチャが開始されると、802.11 フレームが画面いっぱいに表示され始めます。 これがトラフィックの大部分を占め、デフォルトでは 802.11 トラフィックの色付けのルールがないため、白にする必要があります。

3d288a92-3881-40a5-9c4b-d4bbeb146aa0

NOTE: Wireshark での 802.11 トラフィックの復号化の詳細については、このリンクを参照してください。