Wireshark Não exibindo pacotes de outros dispositivos de rede, mesmo no modo Promisc

Navegue suas respostas
5

Configuração do sistema:

  1. MacBook Air executando o Mountain Lion e conectado sem fio a um roteador.
  2. Wireshark instalado e capturando pacotes (eu verifiquei "capturar todos no modo promíscuo")
  3. Filtrei todos os pacotes com o IP de origem e de destino usando o seguinte filtro ( ip.dst != 192.168.1.104 && ip.src != 192.168.1.104 )
  4. Na mesma rede que o MacBook, eu uso um dispositivo Android (conectando via WiFi) para fazer solicitações HTTP.

Resultados esperados:

  1. O Wireshark executado no MacBook vê a solicitação HTTP do dispositivo Android.

Resultados reais:

  1. só vejo transmissões SSDP de 192.168.1.1

Pergunta:
O que eu preciso fazer para que o Wireshark, como o Firesheep, possa ver e usar os pacotes (particularmente HTTP) de outros dispositivos de rede na mesma rede?


UPDATE -

  1. Como posso capturar outros computadores? tráfego no Wireshark em uma rede WiFi? parece implicar que não é possível
  2. Isso parece descrever meu problema: link
  3. Estou confiante de que a interface de rede está no modo promisc porque, quando executo ifconfig , recebo en0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
por eb80 31.10.2012 / 04:26

3 respostas

1

Se você não está conectado via ethernet ao roteador doméstico, muito provavelmente o roteador doméstico que o roteador doméstico usa um switch para suas portas LAN e não um hub, assim cada porta tem seu próprio domínio de colisão, enquanto que em um hub o domínio de colisão é compartilhado entre todas as portas e você veria todo o tráfego em todas as portas.

Se você estiver conectado sem fio, pode haver alguns problemas. Primeiro, os drivers de certas placas wireless não suportam a colocação em modo promíscuo. Nada pode ser feito a menos que você queira escrever o seu próprio. Segundo, se a sua rede estiver criptografada e você só estiver vendo o tráfego da camada 2 de várias origens e não os protocolos de camada superior esperados (o que não parece ser o caso), insira a chave WEP no wireshark para poder manipular a descriptografia. A descriptografia WPA e WPA2 se torna mais complicada, já que versões mais antigas do wireshark não suportam, e se for suportado, você deve capturar todo o handshake entre o roteador e o dispositivo ( EAPOL packets ), conforme chaves exclusivas são geradas entre o dispositivo e o roteador.

    
por 31.10.2012 / 05:21
1

Para capturar o tráfego Wi-Fi de outros sistemas, você precisará colocar seu adaptador de rede no modo monitor, este é um requisito específico para o Wi-Fi. No Windows, isso significa comprar um adaptador especial como o AirPcap. Para Linux, use o airmon-ng. No MacBook não sei como, mas vejo muitos hits do Google sobre o assunto. Também é verdade que você quer estar no modo promíscuo, mas o hub é necessário apenas para a ethernet.

I put my NIC into monitor mode and I could see lots of other traffic around, but still I could not see HTTP/SMTP/etc. application-level traffic from my local WiFi network.

No nível do aplicativo, o tráfego será criptografado exatamente como Fred Thomsen diz em seu post. Você precisará pesquisar como configurar o WireShark e seu AP para descriptografar esse tráfego.

    
por 31.10.2012 / 17:56
0

Se o seu Macbook estiver conectado por Ethernet ao roteador WiFi, esse pode ser o motivo:

Provavelmente, o roteador WiFi está agindo como um comutador (e não como um hub). E, portanto, o MacBook não está vendo os pacotes HTTP.

    
por 31.10.2012 / 04:42

Tags

Como fuzzy nomes completos de arquivos no bash como o plugin ctrlp do vim? Chrome no Windows 8. Toda vez que eu fechá-lo e reabri-lo diz que os navegadores não foi fechado corretamente