Wireshark、仕事でちょこちょこ使いますが、もうちょっと使いこなしたいと思い、改めて最新版をインストールしてみました。
【関連記事】
【色々な通信プロトコルを調べたい】①(WiresharkでEthernet、USB、無線LANのパケット をキャプチャーしたい)
【色々な通信プロトコルを調べたい】⑤(宿題:OmniPeek(Ver10)のインストール → 失敗)- ひとりごと
仕事でOmniPeek(商用の無線LANパケットキャプチャーソフト)を使うことがありますが、1ライセンス80万ぐらいするため1人1台なんて買えず。Wiresharkで無線キャプチャーデータを閲覧しています。昔はEtherPeek(有線)とAiroPeek(無線)というソフトが別々にあり統合されて今のOmniPeekになったわけですが、2007年頃はOmniPeekの無償版がありOrinoco社の11g無線LANカード(PCMCIA)を購入して自宅で無線キャプチャーしてました。さすがに今は無いだろうと思い調べたらまだココからダウンロード出来るみたいです。ビックリ。無線キャプチャーソフトはOmniPeekが主流と思いますが他にもAirPcap、AirMagnetなんてのがあります。サーベイソフトとしてはinSSIDerなんてのもあります(次の機会に試してみたい①)。
- 最新版をインストールしてみました
ココからダウンロードします。2019年3月23日現在の最新は3.0みたいですね。
こいつをダブルクリック。
「Next」をクリック。
「I Agree」をクリック。
「Next」をクリック。
「Wireshark Desktop Icon」のチェックをONにして「Next」をクリック。
「Next」をクリック。
「Wireshark Desktop Icon」のチェックをONにして「Next」をクリック。
「Next」をクリック。
「Next」をクリック。(ここでNPcapの追加インストールを指定。デフォルトでON。)
「Install USBPcap 1.2.0.4」のチェックをONにして「Install」をクリック。
※本記事はUSBPcapの存在を知り試してみたくて書いた記事なのです。
インストール中。
途中でNPcapのライセンス確認が促されるので「I Agree」をクリック。
「Restrict Npcap driver's access to Administrators only」
「Support raw 802.11 traffic (and monitor mode) for wireless adapters」
「Install Npcap in WinPcap API-compatible Mode」
の3つのチェックをONにして「Install」をクリック。
「Support raw 802.11 traffic (and monitor mode) for wireless adapters」
「Install Npcap in WinPcap API-compatible Mode」
の3つのチェックをONにして「Install」をクリック。
インストールが終わったら「Next」をクリック。
「Finish」をクリック。
次にUSBPcapのインストーラが立ち上がります。GPLライセンスの許諾が表示されるので「I accept ...」のチェックをONにして「Next」をクリック。
次にUSBPcapCMDのライセンス許諾が表示されるので「I accept...」のチェックをONにして「Next」をクリック。
「Next」をクリック。
「Install」をクリック。
インストールが終わったら「Close」をクリック。
さて、インストール途中だった画面に戻り「Next」をクリック。
「Finish」をクリック。(リブートします)
- 起動してみる。
「このアプリがデバイスに変更を加えることを許可しますか?」というメッセージが10回表示された後に、アプリが起動しました。「Restrict Npcap driver's access to Administrators only」をONにしたのがいけなかったのかな…。設定をオフにしたいが今は我慢。
さて、起動直後はこんな感じ。Ver1.xと比べるとGUIの雰囲気が変わりました。10個インタフェースがありますが、NPcap Loopback AdapterとWi-Fiが反応しています。とりあえずNPcap Loopback Adapter(自端末内の通信を観測するアダプタ)をクリック。
キャプチャー画面はこんな感じ。同様にWi-Fiも試してみましたがいい感じでした(但し、802.11のデータは見えずTCP、HTTPが見えるだけですが)。
- USBをキャプチャーするには?
NPcap Loopback AdapterとWi-Fiは反応していましたが、USBはウンともスンとも言いません。WiresharkでUSBデータをキャプチャする方法というブログ記事を見つけたので、試してみることに。
「C:\Program Files\USBPcap」を開き「USBPcapCmd.exe」をダブルクリック。
DOS窓が立ち上がります。USBPcap1はデバイスオープンに失敗していますが、USBPCap2に3つのUSBポートが認識されたことを示すログが表示されます。「Select filter to monitor(q to quit):」と聞かれているので、よくわからないが「1」と入力してEnter入力。
Following filter control devices are available:
1 \\.\USBPcap1
Couldn't open device - 5
2 \\.\USBPcap2
\??\USB#ROOT_HUB30#7&193128b9&0&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}
[Port 1] 汎用 USB ハブ
[Port 2] USB Composite Device
USB 入力デバイス
HID 準拠マウス
USB 入力デバイス
HID 準拠コンシューマー制御デバイス
HID 準拠ベンダー定義デバイス
HID 準拠ベンダー定義デバイス
[Port 3] 汎用 SuperSpeed USB ハブ
Select filter to monitor (q to quit):
次に「Output file name(.pcap)」と聞かれるので「test」と入力してEnter入力。USBPcapCMD.exeのあるフォルダにtestというファイルができました。
USBPcap1には何も表示されず、USBPcap2にデータが流れていました。とりあえずキャプチャーは出来たものの、イマイチ使いこなせてません。次の機会に調べてみます(②)。
- 無線LANが観れないものか。
Wiresharkで無線LANのキャプチャー、あたりのキーワードで調べたら2015年頃のブログ記事発見。どうやらモニターモードをサポートする無線LAN子機があればいけるみたい。AcrylicというWi-Fiモニターを販売する会社のサイトにモニターモードで動作する無線チップの一覧がありました。
CompleteからNot Completeまで5つのステータスに分類されています。
Completeしているのは以下の9つ。
Acrylicのソフトはココからダウンロードできます。HOMEエディションは完全フリーみたいだけどサーベイ機能しかなさそうなのでProfessionalを選択。名前とe-mailを入力して登録すると、Downloadのリンクが送られてきます。
インストーラ(Acrylic_WiFi_Professional_v4.2.6983.32287-Setup.exe)を実行。「Next」をクリック。
「I accept...」のチェックをONにして「I accept」ボタンをクリック。
「Install」をクリック。
「Next」をクリック。
インストール中。
インストールが終わると、なんかグルグルしてる。
青緑のボックスが出てくるので「OK」をクリック。
Activationがどうのと聞いてくるがライセンス買ってないので何もせず「Close」をクリック(キー情報はマスクしました)。
続いてアプリが起動。初期画面はサーベイ画面でした(SSID、MACアドレスはマスクしました)。
ちょっと便利だなと感じたのは接続しているSTAのIPアドレスが見れること。ウチはLinuxPCにWindowsPCからSSH接続するのですがDHCPで頻繁にIPアドレスが変わるのでイチイチLinuxPCにログインして端末から”ip address"とか”ifconfig”とかやるのが面倒だったもので。今度からこれで見るようにしようかな。
キャプチャーはこの箱みたいなアイコンをクリックすると観れます。
いろいろマスクしてますが、いい感じにBeaconが見えてます。PC内蔵の無線チップはモニターモード非対応なのでこれが限界と思われます。
(停止)を押して、
(再生)を押すと、
こんなの聞かれるので「Yes」をクリック。
適当な場所にファイルを保存。(C:\tmp\test.pcap とか)
Wiresharkで無事開くことができました。
モニターモードにするにはどうするか。キャプチャー画面で右上のメニュー(水色の枠)を開き、「Change」(赤色の枠)をクリック。
Monitor ModeがOffになってますのでOnにします。
うちの無線LANデバイスはモニターモードに対応していないので「No Wi-Fi/Airpcap devices detected.」と出てきます。きっと対応デバイスを挿せばここに表示されるんでしょうね。そしてモニタ用のNDISドライバもインストールできるに違いありません。別の機会に試してみようと思います(③)。
【備考】いけりりという会社がAcrylicProの代理店もやってるみたい。価格は$39.95(正規販売)に対してウチを通すともうちょっと安くなると書いてます。しかし無線キャプチャーはAirPcapが推奨らしく11acの1ストリームキャプチャはうまくいかないみたい。その一方でAirPcapはディスコンという話もありシロートが手を出せない感じになってきました(80万もするOmniPeek一択)。まあAcrylicProに過剰に期待しなければまあまあ遊べそうです。ちなみにいけりり社はWiresharkとかサイバーセキュリティ(KaliLinux)とかも詳しそうなので、情報サイトとして今後も参考にさせていただきます。)
- 無償版のOmniPeekも試してみる
いろいろ次にやることが増えてしまいました。
①inSSIDerを試してみる。
②USBキャプチャーをもっと調べる。
③Monitorモード対応の無線LANデバイスをAcrylicProに認識させIEEE802.11パケットを観測する。
④OmniPeek(Ver10)のインストール。
続く
スポンサードリンク
