wireshark
saixiii

Wireshark คือ

ก่อนที่จะไปเรียนรู้วิธีการ ดักข้อมูล wifi หรือ การจับ packet เราต้องมาทำความรู้จักกับเครื่องมือชิ้นสำคัญที่เอาไว้ใช้งานในการ ดักข้อมูลกันก่อนนั้นก็คือ Wireshark นั้นเอง ซึ่ง Wireshark คือ program สำหรับวิเคราะห์ packet ใน network สามารถติดตั้งได้หลาย platform ทั้ง Linux, Unix หรือ Window โดยอาศัย pcap ในการจับ packet บน interface ของเครื่อง และมี TShark เป็น commnad line version สำหรับวิเคราะห์บน linux และ unix สำหรับ window มี graphic user interface (GUI) ในการใช้งาน

wireshark

 

คุณสมบัติของ Wireshark

Wireshark เป็น program ดักจับข้อมูล ที่เข้าใจโครงสร้างหลาย protocol ที่มีอยู่ในปัจจุบัน ทำให้มันสามารถแปลงข้อมูลขึ้นมาแสดงแยกเป็น field แต่ละส่วนได้

  • สามารถจับข้อมูลในระบบ network ได้ รวมถึงอ่านข้อมูล packet จาก file มาวิเคราะห์ได้
  • สามารถดักจับข้อมูลได้หลาย network ทั้ง Ethernet, IEEE 802.11, PPP และ loopback
  • ใช้งานได้ทั้งบน GUI และ command line (TShark)
  • สามารถ filter ข้อมูลได้
  • เพิ่ม plugin สำหรับ protocol ใหม่ๆได้
  • จับข้อมูล USB แบบ raw data ได้
  • ดักจับข้อมูลได้ทั้งแบบ มีสาย (lan) และไร้สาย (wireless)

 

การติดตั้ง Wireshark

สามารถ download โปแกรมและติดตั้งได้ free

Link: https://www.wireshark.org/download.html

 

วิธีใช้งาน Wireshark ดักข้อมูล wifi

หลังจากเราทราบแล้วว่า wireshark คืออะไร รวมถึงติดตั้งโปรแกรมเรียบร้อย เรามีดูวิธีการใช้งานเบื่องต้นกันครับ เพราะจริงๆแล้วเจ้า wireshark เนี่ยมันทำได้เยอะมากเลยรวมถึง protocol ที่มันรองรับก็เยอะมหาศาลมาก เรียกได้ว่าถ้าไปช่างซ่อม เครื่องมือที่ขาดไม่ได้ก็คือไขควง ส่วนผู้ดูแล network เครื่องมือที่ขาดไม่ได้ก็คือเจ้า wireshark นี่แหละครับ รวมถึงถ้าเอาไปใช้งานร่วมกับ tcpdump ก็จะทำให้เราเข้าใจปัญหาได้ง่ายขึ้น ยิ่งไปกว่านั้น ถ้าเอาไปใช้ในทางที่ไม่ดีเช่นพวก hacker ความสามารถมันก็ยิ่งน่ากลัวมากขึ้นอีก ดั่งตัวอย่างต่อไปนี้

1. เปิดโปรแกรม wireshark

คลิดที่มุมขวาบน “List the available capture interfaces” เพื่อดูว่าเครื่องเราตอนนี้มี interface อะไรบ้าง

wireshark program

2. ตรวจสอบ network interface ที่ใช้งาน

หลักจากนั้นจะพบหน้าต่างเด้งขึ้นมาชื่อ “Capture Interfaces” ซึ่งจะมีรายชื่อ interface เครื่องเรา รวมถึง MAC address ของ interface นั้น พร้อมกับจำนวน packet ที่วิ่งผ่านในขณะนั้น จากตัวอย่างผมเปิดบน notebook ซึ่งต่อ internet ผ่าน wireless

wireshark interface

 

3. เลือก interface ทีจะทำการจับ packet

ติ๊กที่ช่อง interface ที่มี packet วิ่งมากที่สุด และกด Start เพื่อทำการจับ packet ทั้งหมดที่ใช้งานผ่าน interface นั้น แล้วเปิดค้างไว้

wireshark wireless

 

4. เปิด website http ลอง login ด้วย user/pass

ย้ำว่าต้องเป็น http (ไม่ใช่ https) ในที่นี้ผมทดลองกับ http://www.sanook.com/

http://sso.member.sanook.com/member/login.php?psnid=000001-000046-000049-000001&autologin=1&option=&surl=http%3A%2F%2Fwww.sanook.com%2F®isterUrl=http%3A%2F%2Fsso.member.sanook.com%2Fregister%2Fmini.php

ซึ่งอย่างที่เห็นคือผมกรอก user “hacker@gmail.com” ส่วน password มองไม่เห็น จากนั้นคลิกเข้าสู่ระบบ

sanook login

5. กลับมาที่ wireshark แล้ว stop packet

ที่เมนูด้านบนรูปสี่เหลี่ยมชื่อ “Stop the running live capture” คลิกเพื่อทำการหยุดการจับ packet บน interface

wireshark packet capture

 

6. ลองทำการ filter ข้อมูลหา http

จะเห็นว่ามี packet วิ่งเข้ามาจำนวนมาก นั้นก็เพราะนอกจาก http แล้วยังมี protocol อื่นที่ทำงานเป็น background อยู่ตลอด โดยที่เราไม่รู้ตัวเลย เช่น program ที่เป็น instant message ก็จะมีการ fetch ข้อมูลจาก server ตลอดเมื่อมี message ใหม่มาจึงสามารถ alert ขึ้นได้ แต่สำหรับตัวอย่างเราต้องการหา packet http ที่เราไปกรอก user/pass ไว้ เพราะฉะนั้นลอง filter ว่า http.accept แล้วกด Apply

wireshark filter

 

7. หา packet http POST ที่ทำการส่ง password ออกไปที่ internet

หลักจาก filter แล้วจะเหลือ http GET/POST อยู่นิดหน่อย ซึ่งนั้นแหละคือข้อมูลที่เราทำบน web ไป สังเกตุที่ packet http POST ลองคลิกดูจะพบข้อมูลบางอย่างที่น่ากลัวมาก นั้นก็คือ user/pass ที่ท่านกรอกลงไปใน web เมื่อกี้ ซึ่ง wireshark แสดงให้เห็นเลยว่า password=????????

wireshark analyse

 

ทุกท่านคงเห็นถึงความน่ากลัวของเครื่องมือนี้แล้ว ซึ่งถ้ามี hacker คนไหนสามารถเจอะเข้ามาใน network เราได้ และทำการจับ packet ในลักษณะ man in the middle หรือหลอกให้เราเชื่อมต่อ internet ผ่าน wifi ที่ทาง hacker เป็นคนปล่อยมา เค้าก็จะได้ข้อมูลทุกอย่างจากเครื่องเราไปทันที เพราะฉะนั้นทุกท่านต้องระวังเรื่องการเชื่อมต่อ wifi free ที่ไม่รู้จัก หรือ หลีกเลี่ยงการส่งข้อมูลให้กับ website ที่เป็น http ธรรมดา ไม่ใช่ https เพราะ hacker สามารถดักจับข้อมูลของเราได้อย่างง่ายดาย

mitm

 

 

Author: Suphakit Annoppornchai

Credit: https://saixiii.com

One Thought to “ดักข้อมูล wifi อย่างไร Wireshark คือ เครื่องมือดักจับข้อมูลของ hacker”

  1. tcpdump คือ อะไร ดักจับข้อมูล network และ วิธีใช้งาน tcpdump - Saixiii
    May 6, 2017 at 1:12 pm

    […] เป็นเครื่องมือหนึ่งประเภทเดียวกับ wireshark คือใช้ในการดักจับ packet ใน network ในรูปแบบ […]

    Reply

Leave a Reply