Wireshark (Linux) captura apenas pacotes de e para o meu PC quando em modo promíscuo

Navegue suas respostas
3

Instalei o Wireshark e configurei-o para permitir que meu usuário o execute com todos os privilégios necessários (habilitei dumpcap e adicionei meu usuário a wireshark group, depois reiniciei).

Os dispositivos são exibidos e a captura começa bem. O problema é que somente os pacotes enviados para e direcionados para o PC onde o Wireshark está sendo executado são capturados . Obviamente eu habilitei Promiscuous mode na caixa de diálogo de opções de captura.

Por exemplo, se eu rodar o Wireshark e depois navegar na web no Firefox, os pacotes são capturados. Se eu começar a navegar com o meu smartphone, nenhum pacote será capturado (o PC e o smartphone estão conectados à mesma rede WiFi doméstica ).

Estou trabalhando com um dispositivo WiFi wlan0 com ath9k drivers. Aqui você é a saída de ifconfig wlan0 e lspci | grep Wireless : 

lorenzo@XUBUNTU:~$ ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 5c:ac:4c:32:dc:1d  
          indirizzo inet:192.168.1.100  Bcast:192.168.1.255  Maschera:255.255.255.0
          indirizzo inet6: fe80::5eac:4cff:fe32:dc1d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1585 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1782 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:970355 (970.3 KB)  Byte TX:401610 (401.6 KB)

lorenzo@XUBUNTU:~$ lspci | grep Wireless
03:00.0 Network controller: Atheros Communications Inc. AR9287 Wireless Network Adapter (PCI-Express) (rev 01)

O que eu quero alcançar é examinar o tráfego de rede do meu smartphone usando meu PC executando o Wireshark , ambos conectados ao mesmo ponto de acesso WiFi pessoal.

Por favor me ajude !!

PS: Eu postei essa pergunta no AskUbuntu também, mas isso não me ajudou. Eu re-postei aqui só porque eu vejo que há mais respostas relacionadas Wireshark aqui do que lá ... Desculpe por isso.

    
por lorenzo-s 29.12.2011 / 11:09

5 respostas

4

Usar uma conexão com fio seria a maneira mais simples de fazer isso.

Eu assumirei que você não está usando WEP como "apenas funcionaria", então você deve estar usando o WPA. O Wireshark não pode descriptografar pacotes WPA automaticamente, ele precisa saber a chave pré-compartilhada (PSK) configurada na configuração do Wi-Fi.

No wireshark, vá para o menu Visualizar e escolha Barra de ferramentas sem fio. Em seguida, clique em Chaves e insira o SSID e PSK para sua rede local. Selecione isso na Barra de Ferramentas uma vez digitada e use o wireshark como seu decifrador.

Então você pode começar a capturar. Observe que, para descriptografar outros pacotes de dispositivos, a wireshark precisa ver o handshake completo do EOPOL. A melhor maneira de fazer isso é desativar e reativar a conexão sem fio no smartphone assim que a captura for iniciada.

    
por 29.12.2011 / 11:28
1

Uma rede sem fio não funciona como uma rede com fio. Você receberá do roteador apenas os pacotes enviados para o seu próprio PC. Você tem que entender que as freqüências e outros parâmetros de transporte físico usados pelo seu telefone não são necessariamente os mesmos usados pelo seu PC, que ambos os fluxos provavelmente são criptografados, etc. Você sempre pode tentar monitorar tudo usando ferramentas como airodump ou Kismet, mas isso não significa que você será capaz de obter algo utilizável fora disso. A única maneira confiável de farejar o tráfego do seu telefone a partir do seu PC é examiná-lo diretamente dentro do roteador (que vê toda a rede). Espero que ajude.

    
por 29.12.2011 / 11:33
1

O modo promíscuo não é o que você acha que está em uma rede Ethernet moderna que usa uma topologia em estrela com switches. Wireless 802.11 é uma configuração ponto-a-multiponto. O 802.3 com fio é tipicamente ponto-a-ponto ao usar comutadores. Um host receberá apenas quadros endereçados a ele ou quadros transmitidos ou multicast; um host não poderá receber pacotes unicast não endereçados a ele, uma vez que o switch aprenda a porta para esse endereço. Se você quiser ver todos os quadros Ethernet passando, sua porta Ethernet deve estar no modo promíscuo e conectado a um hub (não uma troca). Tenha em atenção que alguns "hubs" de modelo atrasados são na realidade comutadores; há uma página no site da wireshark que tem mais informações sobre este tópico .

Uma forma de capturar a maior parte do tráfego Ethernet seria instalar um hub Ethernet entre o modem a cabo / ADSL / roteador e o ponto de acesso sem fio. Conecte um PC hosting wireshark ao hub e você poderá capturar todo o tráfego entre o roteador e o WAP. Se o seu modem / roteador e WAP forem combinados em uma única unidade, você precisará obter outro ponto de acesso sem fio para configurá-lo. Você tem que configurar o wireshark como um man-in-the-middle para ouvir todo o tráfego da Internet local. 

WAN--- modem/router ------ HUB ----- wireless access   ~~~~   smartphone
                            |              point
                            |
                            |
                            PC
    
por 30.12.2011 / 00:32
1

What I did not know was why packet sniffing does not work on wireless network just as in a point-to-multipoint cabled network.

Porque o WEP e o WPA / WPA2 foram explicitamente projetados para que não funcionem! O tráfego é criptografado para impedir que pessoas arbitrárias assistam ao tráfego em redes sem fio. Para descriptografar esse tráfego (que você terá que capturar no modo monitor), veja a entrada wiki do Wireshark para descriptografar o tráfego 802.11 .

    
por 07.08.2013 / 09:42
0

Enquanto procurava por uma solução, encontrei a seguinte configuração para farejar a conexão sem fio de um smartphone, talvez isso ajude:

link

    
por 07.08.2012 / 11:09

Tags

E-mails excluídos do iPhone ainda são visíveis no Thunderbird Como criar um serviço OS X que transmite o caminho de um arquivo para um script de shell?