Esta entrada la publico gracias a la sesión de Eddie Forero en WLPC 2019, quien presento "WireShark-Fu". Link de la presentación WLPC 2019 Phoenix - WireShark-Fu
WireShark es una poderosa herramienta para el análisis de tramas, lo cual nos ayuda en la resolución de problemas y en el estudio del día a día. Por defecto WireShark esta tuneado para analizar tramas 802.3, pero puede ser modificado para hacer más fácil el análisis de tramas 802.11, y fue lo que presento Eddie en WLPC 2019.
Perfil Personalizado
El primer paso para tunear WireShark para 802.11 es crear nuestro perfil personalizado, esto nos ayuda para tener un perfil para 802.11 sin tocar el perfil por defecto. Para crear nuestro perfil debemos ir a la opción "Edicion/Configuracion de Perfiles"
Este perfil posteriormente lo podemos "llamar" desde la opción en la esquina inferior derecha.
Una vez tenemos nuestro perfil creado, podemos comenzar a realizar los tuning necesarios para la visualización de tramas 802.11, los que presentare a continuación son:
- Configuración de columnas
- Colorear tramas
- Filtros de visualización
- Gráficos
Configuración de colmunas
Las columnas nos pueden ayudar a acceder más rápido a la informacion contenida en la capturas, por defecto wireshark trae algunas, pero estas se puede cambiar según nuestras necesidades. Las que tengo personalmente son:
- SSID
- SA
- DA
- PHY Type
- Channel
- DataRate
- MCS Index
- SubType
- Priority
- Retry
Para acceder a la configuración de columnas se debe ir a la opción "Edicion/Preferencias/Apariencia/Columnas.
Otra opción para agregar una columna es, hacer click derecho en el campo de la trama que sea de nuestro interés, y seleccionar la opción "Aplicar como columna", para el siguiente ejemplo aplique como columna el campo "Fragment Number".
Colorear Tramas
En WireShark se puede colorear las tramas para hacerlas resaltar a nuestra vista y también para hacer diferencia una de otras, para aplicar esta configuración debemos conocer los filtros que tiene wireshark para cada tipo de trama, por ejemplo si deseamos aplicar un color a las tramas 802.11 Managment, debemos aplicar el filtro "wlan.fc.type == 0" más nuestra configuración de colores. Los filtros para 802.11 los podemos conseguir en el siguiente link de WLANPROS 802.11 Wireshark Filters Chart
Para acceder a esta configuración debemos ir a la opción "Visualizacion/Reglas de coloreado".
Filtros de vizualizacion
En el caso de que no recordemos algún filtro para las tramas 802.11, se puede configurar un acceso rápido a filtros preconfigurados por uno, en el cual se le puede agregar una descripción a cada filtro que ingrese para así no olvidar a que corresponde. Este filtro de visualización se guarda dentro de la carpeta del "Perfil Personalizado" que creamos en el primer paso, en un archivo con el nombre "dfilters". Para acceder a la configuración del perfil se puede acceder desde la siguiente opción, "Ayuda/Acerca de WireShark/Carpetas/Configuracion Personal".
Luego dentro del perfil, creamos el archivo y comenzamos a agregar nuestros filtros, abajo dejare los que tome de la sesión de Eddie.
"[RTS/CTS]" wlan.fc.type_subtype == 0x001b or wlan.fc.type_subtype == 0x001c
"[RETRIES]" wlan.fc.retry == 1
"[QOS]" wlan.qos.priority
"[PWR MGMT]" wlan.fc.type_subtype == 0x0024
"[PROBES]" wlan.fc.type_subtype == 0x0004 or wlan.fc.type_subtype == 0x0005
"[DISAASSOCIATION]" wlan.fc.type_subtype eq 10
"[DEAUTHS]" wlan.fc.type_subtype eq 12
"[DATA]" wlan.fc.type eq 2
"[BEACONS]" wlan.fc.type_subtype eq 8
"[ASSOC REQ/RESP]" wlan.fc.type_subtype eq 0 or wlan.fc.type_subtype eq 1
"-----------------------" :--------------------------
Para acceder al filtro debemos seleccionar el icono de etiqueta que está al lado de la barra de búsqueda.
Generacion de Graficos
WireShark nos permite generar gráficos en base a filtros de tramas, esto nos puede servir de gran ayuda por ejemplo para visualizar la cantidad de tramas "No Retry" v/s "Retry". Para acceder a la generación de gráficos debemos ir a la siguiente opción "Estadisticas/"I/O Graph"
En la siguiente captura se aprecia un gráfico donde se filtran las tramas Management, Control y Data", cada una con su respectivo color.
Podemos aplicar los filtros según nuestra preferencia de visualización, abajo del grafico se encuentran las opciones "Graph Name", "Display Filter", "Color", "Style", entre otras, las cuales podemos configurar, la siguiente captura muestra la configuración para generar el grafico presentado anteriormente.
Espero que los tuning les ayuden para realizar su análisis de tramas 802.11 más fácil y entretenido, y hay muchas opciones más por explorar que nos pueden ayudar.
