Apabila kita mau menangkap paket wireless, kita harus menggunakan operating system Linux agar wireless card kita dapat di set untuk menangkap semua paket yang sedang beredar dan didengar oleh wireless card. Hal ini tidak memungkinkan di Windows, karena adanya pencegahan untuk akses low-level driver, sehingga kita hanya bisa menangkap paket-paket yang ditujukan hanya ke komputer kita saja.
Saya mencoba menggunakan Linux distro Ubuntu 10.04 LTS ( menggunakan LiveUSB persistence mode, sehingga saya bisa booting ke USB, namun perubahan-perubahan dapat disimpan ke USB). Sekedar mempermudah buat teman-teman yang awam Linux, untuk membuat LiveUSB cukup mudah, karena sudah disediakan fitur nya di Ubuntu 10.04 LTS.
Tulisan ini dititikberatkan pada masalah capture Wireshark pada wireless, jadi apabila ada masalah dari segi Ubuntu atau wireless card nya, silakan cari bantuan di forum-forum Linux Ubuntu, karena saya bukan expert Ubuntu
Membuat LiveUSB
Pertama-tama, yang saya lakukan adalah download dulu ISO image dari Ubuntu.com, kemudian saya burn ke CD-ROM. Setelah itu, saya boot notebook saya untuk masuk ke CD-ROM, dan pilih Try Ubuntu, sehingga tidak perlu melakukan instalasi sama sekali.
Setelah masuk ke desktop Ubuntu, tancapkan saja USB ( ukuran 2 Giga juga sudah cukup ), dan masuk ke System > Administration > Startup Disk Creator. Kemudian tinggal pilih Disk to Use nya, dan yang paling penting adalah harus klik Stored in reserved extra space, naikkan saja ke angka 500 MB ( tidak harus 500 MB sih, tergantung kebutuhan saja ). Kemudian, proses akan terus berjalan.
Setelah pembuatan startup disk selesai, pastikan komputer diset untuk booting melalui USB.
Menginstall Wireshark
Ubuntu versi baru ini sudah dilengkapi dengan Ubuntu Software Center, yang bisa diakses dari Start Menu. Dari Ubuntu Software Center, tinggal kita search wireshark, dan kita install saja. Tentu saja, kita harus terhubung ke Internet, dan dengan asumsi semua koneksi wireless/wired di komputer Anda sudah tidak ada masalah. Apabila instalasi telah selesai dilakukan, coba jalankan Wireshark dari Application > Internet > Wireshark
Mengubah wireless ke Mode Monitor
By default, wireless card di komputer memakai mode Managed. Ini harus diubah terlebih dahulu menjadi mode monitor dengan cara :
Masuk dahulu ke mode administrator dengan “sudo su”
root@ubuntu:/home/ubuntu# ifconfig wlan0 down
root@ubuntu:/home/ubuntu# iwconfig wlan0 mode monitor
root@ubuntu:/home/ubuntu# ifconfig wlan0 up
root@ubuntu:/home/ubuntu# iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11abg Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
Apabila diperlukan merubah channel wireless yang akan ditangkap, dapat juga mengubah channel nya terlebih dahulu, yaitu dengan command iwconfig wlan0 channel XX
Apakah wireshark bisa langsung dijalankan tanpa mengubah ke mode monitor ? Ya, jawaban nya bisa ! Namun kembali lagi, hanya paket-paket yang ditujukan ke host kita saja yang dapat ditangkap. Beda dengan mode monitor, kita bisa menangkap semua paket yang ada, termasuk di channel-channel lain sekitar nya.
Mainkan Wireshark nya
Jalankan wireshark, dan mulailah penangkapan paket lewat tombol, atau lewat menu Capture>Interfaces. Perhatikan counter di wlan0 packets akan terus meningkat dengan cepat. Dan tekan tombol Start untuk mulai.
Apabila Anda berada pada lingkungan yang padat wireless, maka kemungkinan besar paket yang masuk akan amat sangat banyak, karena Wireshark tidak hanya menangkap paket data, tetapi juga menangkap paket Beacon frame, Probe Request, Probe Response, dsb.
Kita akan coba lihat salah satu fitur statistic yang ada di Wireshark untuk wireless, yaitu Statistics>WLAN Traffic :
Di lingkungan tempat saya melakukan scanning wireless, terdapat banyak sekali SSID, seperti tertera pada gambar di atas. Window bagian atas menunjukkan channel-channel dan SSID apa saja yang tertangkap, dan di bagian bawah menunjukkan anggota-anggota dari masing-masing SSID pada saat terjadi komunikasi.
Bagaimana apabila wireless network yang kita tangkap memiliki password WEP ataupun WPA ? Apakah bisa di-decode oleh Wireshark ? Jawabannya adalah ya, selama kita tahu password WEP atau WPA nya, dan kita masukkan password tersebut di Edit>Preferences>Protocols>IEE 802.11
Apabila passwordnya menggunakan WEP, masukkan dalam format Hexadecimal ( ingat, bukan desimal !) dengan contoh 01:02:03:04:05. Apabila WPA, akan lebih mudah, masukkan dengan wpa-pwd:passwordnya , setelah itu jangan lupa click “Enable decryption”
Sekian sekilas menangkap wireless packet dengan Wireshark di Ubuntu Linux.
0 komentar:
Posting Komentar