Categories:

WLAN Packet Capturing für 2,4 GHz und 5 GHz – Monitor Mode mit dem AWUS036ACH

Veröffentlicht von empy
Lesezeit: 6 Minuten

Für die fehlerfreie und professionelle Untersuchung von WLAN-Paketen ist ein passender WLAN-Adapter unumgänglich. Zwar lassen sich auch WLAN-Analysen durchführen, wenn der Adapter keinen Monitor Mode beherrscht, jedoch bleibt die Sicht in diesem Fall dann immer auf die Verbindung zwischen Endgerät und Access Point beschränkt und die WLAN-Trägerinformationen (Management Frames) können nicht ausgewertet werden.

Für den Einsatzzweck des WLAN Packet Capturing habe ich mich seinerzeit für den AWUS036ACH von ALFA Networks entschieden, welchen ich jederzeit wieder kaufen würde. Der WLAN-Adapter funktioniert sowohl unter Windows, MacOS und Linux als regulärer WLAN-Stick. Unter Linux lassen sich aber auch umfassende Analysen des heimischen WLANs durchführen, denn der Adapter unterstützt den für unser Vorhaben so wichtigen Monitor Mode. Der WLAN-Adapter hat zwei externe Antennenanschlüsse inkl. passenden Dual-Band-Antennen, kann 2,4 GHz und 5 GHz und verwendet USB 3.0 für schnelle Datenraten bis zu 300 Mbps bzw. 867 Mbps unter 802.11 ac.

Ersteinrichtung ALFA Networks AWUS036ACH unter Kali Linux

Um den AWUS036ACH im Monitor Mode unter Linux richtig ans Laufen zu bekommen, sind ein paar kleine, aber wichtige Schritte notwendig. Damit auch hundertprozentig alles klappt, habe ich den gesamten Prozess schrittweise dokumentiert und selbst anhand der Anleitung das Vorgehen überprüft. Garantien gibt es trotzdem keine, denn auch Betriebssysteme können sich ändern.

Kali Linux updaten und WLAN-Adapter anschließen

Für das folgende Beispiel habe ich mir ganz frisch Kali Linux 2020.4 installiert. Nach der Installation wird zunächst überprüft, ob auch wirklich alle Komponenten von Kali Linux auf dem neuesten Stand sind. Dazu werden nachfolgend aufgeführte Befehle in der Konsole eingegeben. Der erste Befehl überprüft zunächst, ob alle Komponenten ordnungsgemäß indiziert sind. Der zweite Befehl gleicht den lokalen Index dann mit den Komponenten im Repository ab. Mit dem letzten Befehl starten wir die Aktualisierung für alle Komponenten, die der Listenabgleich ergeben hat. Dieses Vorgehen entspricht der Empfehlung von Kali Linux selbst.

cat /etc/apt/sources.list
sudo apt update
sudo apt full-upgrade -y

Nachdem das System den aktuellen Release-Status überprüft und gegebenenfalls aktualisiert hat, ist Kali Linux auf dem aktuellsten Stand.

Aktuelle Konfiguration der Netzwerkadapter anzeigen. Der Treiber fehlt!

An das frisch aktualisierte System wird nun der AWUS036ACH WLAN-Adapter an den Computer angeschlossen. Nachdem das geschehen ist, sollte die aktuelle Konfiguration der Netzwerkadapter überprüft werden. Dies geschieht mit folgendem Befehl wieder über die Konsole.

iwconfig
Kein WLAN-Adapter erkannt, obwohl der AWUS036ACH am System angeschlossen ist.

Leider taucht der AWUS036ACH noch nicht in der Übersicht der Netzwerkadapter auf, obwohl der WLAN-Adapter angeschlossen ist. Auch die Status-LED am WLAN-Adapter bleibt inaktiv und in der Netzwerkauswahl, in der normalerweise die Verbindung mit einer SSID eingestellt wird, ist kein WLAN in Sicht. Somit ist klar: Der WLAN-Adapter wird von Kali Linux nicht automatisch erkannt. Damit der WLAN-Adapter also funktioniert, muss zunächst der passende Treiber installiert werden.

Treiber aus dem Repository laden und Systemneustart

So weit, so gut. Damit der WLAN-Adapter also ordnungsgemäß eingesetzt werden kann, wird der passende Treiber benötigt. Also einfach den passenden Treiber aus dem Repository von Kali Linux herunterladen? Wenn man erstmal weiß, was genau zu tun ist, ist das sogar super einfach. Mich hat es damals allerdings einige Stunden Recherche gekostet, da der AWUS036ACH seinerzeit noch recht neu und einer der ersten WLAN-Adapter war, der auch die 5 GHz verlässlich überwachen konnte.

Die Treiberinstallation selbst beginnt wieder in der Konsole mit dem folgenden Befehl. Während des Vorgangs (nach Eingabe des Befehls) und muss der Befehl erneut bestätigt werden, um die Installation auch wirklich zu starten. Ab da läuft dann alles automatisch.

sudo apt install realtek-rtl88xxau-dkms

Ein Hinweis: Bei genau 95% scheint die Installation ins Stocken zu geraten. Das ist aber völlig normal und liegt an den Prozessen, die im Hintergrund während der Installation stattfinden.

Nach der erfolgreichen Installation erscheint eine entsprechende Meldung auf dem Bildschirm. Obwohl die Status-LED am WLAN-Adapter selbst noch kein Zeichen der Aktivität erkennen lässt, war die Treiberinstallation augenscheinlich ein Erfolg.

Um den AWUS036ACH nach der erfolgreichen Treiberinstallation nun auch nutzen zu können, muss Kali Linux neu gestartet werden. Am einfachsten geschieht das, indem direkt in der Konsole der Befehl „reboot“ eingegeben wird. Es kann natürlich auch klassisch über das Menü in der oberen rechten Ecke des Bildschirms der Befehl zum Neustart des Systems gegeben werden.

reboot

Nach dem Neustart des Betriebssystems fängt endlich auch die Status-LED des AWUS036ACH zu blinken an. Ganz friedlich, so als wäre das schon immer so. Sicherheitshalber wird nun die ordnungsgemäße Installation des WLAN-Adapters mit „iwconfig“ überprüft. Dieser Schritt ist ohnehin notwendig, um den Namen des WLAN-Adapters im System zu erfahren. Denn der Name wird im nächsten Schritt für die Aktivierung des Monitor Mode benötigt.

iwconfig
Mit dem richtigen Treiber funktioniert der AWUS036ACH nach einem Systemneustart ohne Probleme.

Monitor Mode auf dem AWUS036ACH aktivieren

Für ein ordentliches Packet Capturing im eigenen WLAN muss der WLAN-Adapter nun in den Monitor Mode geschaltet werden. Zwar könnte direkt airodump-ng genutzt werden, allerdings friert der AWUS036ACH dann gerne auch mal ein und ist nicht mehr ansprechbar. Hier schafft ein kleiner Zwischenschritt Abhilfe. Keine Sorge, die Analyse der wertvollen Management Frames liegt nur wenige Befehle entfernt.

sudo ip link set wlan0 down
sudo iwconfig wlan0 mode monitor
sudo ip link set wlan0 up
iwconfig

Mit den obigen Befehlen wird zunächst der WLAN-Adapter ausgeschaltet (die Status-LED am Adapter erlischt), der Monitor Mode aktiviert und abschließend der WLAN-Adapter wieder eingeschaltet (die Status-LED am Adapter arbeitet wieder). Der Befehl „iwconfig“ ist optional und zeigt uns die zusätzliche Bestätigung an, dass der WLAN-Adapter nun im Monitor Mode auf 2,412 GHz, also Kanal 1 hört.

Monitor Mode am AWUS036ACH

Test mit airodump-ng und Wireshark

Nachdem der Monitor Mode nun funktioniert, sollten mit Hilfe von airodump-ng noch eben schnell die zu überwachenden Kanäle eingestellt werden – es sei denn, Kanal 1 ist bereits der Wunschkanal. Zum Einstellen des WLAN-Kanals mit airodump-ng wird der folgende Befehl in der Konsole genutzt.

sudo airodump-ng wlan0 -c 1,6,11

Abschließend kann nun endlich Wireshark gestartet werden. airodump-ng läuft im Hintergrund einfach weiter, damit alle eingestellten Kanäle der Reihe nach überwacht werden. In Wireshark selbst muss einfach wlan0 als Adapter ausgewählt werden. Und damit ist das Ziel erreicht: Das Wireshark-Fenster zeigt die detaillierte Paketübersicht inklusive aller Frames an. Sämtliche Kommunikation von WLAN-Netzen auf den in airodump-ng festgelegten Frequenzen wird erfasst. Interessant ist natürlich vor allem das eigene WLAN für die Fehlerbehebung und Analyse.

Aktives WLAN-Capturing unter Kali Linux mit dem AWUS036ACH

Monitor Mode wieder beenden

Wenn die WLAN-Analyse dann irgendwann hoffentlich erfolgreich abgeschlossen wurde, dann werden sowohl Wireshark und airodump-ng wieder beendet. Der WLAN-Adapter selbst lässt sich über einen einfachen reboot des Linux-Systems wieder in den Ursprungszustand versetzen. Denn der AWUS036ACH kann wie bereits anfangs erwähnt auch zum normalen Surfen im Internet benutzt werden. Nach jedem Neustart befindet sich der Adapter im normalen Zugriffsmodus (und muss daher vor jedem Packet Capturing wieder neu in den Monitor Mode versetzt werden).

Ein aktivierter Monitor Mode kann aber auch ganz ohne Neustart wieder beendet werden. Dazu einfach die folgenden Befehle in die Konsole eingeben.

sudo ip link set wlan0 down
sudo iwconfig wlan0 mode managed
sudo ip link set wlan0 up
iwconfig

Der erste Befehl deaktiviert den AWUS036ACH. Der zweite Befehl ändert den Modus von Monitor Mode auf Managed Mode (Zugriffsmodus), während der dritte Befehl den WLAN-Adapter wieder aktiviert. Mit „iwconfig“ kann überprüft werden, ob alles funktioniert hat. So kann der Adapter wieder normal verwendet werden, ohne auf den Neustart des Systems zu warten.