Wireshark apenas capturando quadros de baliza

Navegue suas respostas
3

Estou tentando farejar minha própria rede para capturar o tráfego http. Em airodump meu show de segurança de rede "WPA - TKIP - PSK", então eu fui para Wireshark > Editar > Preferências > Protocolos > IEEE 802.11 > Enabled encryption. E nos campos-chave eu entrei: 

wpa-psk:the key i got from http://www.wireshark.org/tools/wpa-psk.html by 
        entering my plain text pwd and ssid
wpa-pwd:mypwd:my ssid
wpa-pwd:mypwd

Então eu configurei meu adaptador sem fio (awus036h) para monitorar o modo com airmon-ng start wlan0 , o que traz uma nova interface ( mon0 ).

Então eu inicio o Wireshark e inicio uma nova captura na interface mon0 , mas tudo que eu obtenho são quadros de beacon. Eu tentei os filtros wlan.addr == "mac do meu roteador" e só ver o que está mostrado nesta imagem:

Odeauthpacketssniffedvemdeumataqueaireplayqueeucorriemmimmesmoparaverseeleiriacapturá-los.Euatétenteiofiltroapenas"http", e depois não vejo nenhum pacote. E também estou conectado no meu laptop ao mesmo roteador e navegando na internet ao mesmo tempo em que estou farejando.

O que estou fazendo de errado?

    
por hurlxx 20.04.2014 / 22:17

2 respostas

2

Aqui estão algumas possíveis razões, em ordem aproximada de probabilidade:

  • Um motivo comum para não ver o tráfego unicast de outros dispositivos em um rastreamento de pacote no modo monitor é que você também esqueceu de configurar o modo promíscuo.

  • Outro motivo comum é que o tráfego que você procurava não estava no canal em que você estava farejando. Isso pode acontecer se você tiver um AP simultâneo de banda dupla e estiver farejando seu canal de 2,4 GHz, mas não seu canal de 5 GHz. Ou se a sua rede é composta de mais de um AP, e você estava farejando o canal de um AP, enquanto o seu cliente alvo estava se juntando a um AP diferente em um canal diferente.

  • Outro motivo pode ser que esses outros dispositivos estejam se comunicando usando um sabor diferente do 802.11 do que o seu cartão sniffer suporta. Por exemplo, se o seu cartão sniffer for apenas 2x2: 2 (2 fluxos espaciais), ele não poderá capturar pacotes enviados usando 3 fluxos espaciais. Ou se for capaz apenas de canais com largura de 20MHz, não será capaz de capturar pacotes que foram enviados usando canais de 40 ou 80MHz. Se a sua placa é apenas 802.11n, ela não conseguirá capturar 802.11ac.

  • Outro motivo seria se o seu farejador não estivesse ao alcance dos outros dispositivos cujo tráfego você esperava capturar. "In range" é complicado porque tecnologias modernas como beamforming otimizam o sinal para a posição onde o destinatário é ; não há garantia de que um destinatário não intencional próximo receba força de sinal suficiente para demodular (isto é, receber com sucesso, muito menos decifrar) os sinais.

por 21.04.2014 / 23:06
0

Eu não testemunhei esse comportamento, então de certa forma você pode dizer que eu não sei do que estou falando.

No entanto, eu possuo a mesma placa de rede, e tenho visto isso se comportando de forma irregular em muitas ocasiões. Em particular, funcionou satisfatoriamente sob o BT, mas muito erraticamente sob Kali. Estranho, você pode dizer, já que os drivers estão conectados ao kernel, não à distro, mas essa é exatamente a minha experiência.

O que eu posso sugerir é o primeiro a usar o aircrack-ng antes de tentar o wireshark, porque ele fornece algumas mensagens de erro mais informativas. Então, matar os programas que o airmon-ng reclama quando você coloca o cartão no modo monitor (tipicamente, network-manager, dhclient, avahi-daemon). Por fim, para realizar o teste de injeção usual, 

 aireplay-ng -9 wlan0

porque é claro que este é o teste final na adequação do driver.

    
por 22.04.2014 / 20:23

Tags

O que a opção de fonte “no_round” no Sublime Text faz? O que posso descobrir sobre uma imagem incorporada na minha mensagem de e-mail recebida?