O que faz o airmon-ng quando habilita o modo promíscuo em uma placa wireless

Navegue suas respostas
1

Estou capturando o tráfego na minha rede sem fio doméstica usando o wireshark. Para isso, eu tive que: - configurar uma nova interface de monitor da minha interface sem fio usando o script airmon-ng; - ativar o modo promíscuo na interface do meu monitor em wireshark.

Eu não entendo completamente o que fiz nem por que foi necessário. O Google não forneceu nenhuma resposta relevante, pois uma pesquisa com palavras-chave airmon-ng ou aircrack-ng leva a tutoriais para invadir redes protegidas por WEPs ... Eu encontrei o código-fonte do airmon-ng que me leva a vagar sem rumo em meu / sys / devices.

Eu entendo que, por padrão, as placas de rede sem fio filtram os pacotes de modo que somente aqueles que são enviados a ele (endereço MAC apropriado ou transmissão) são encaminhadores para o sistema. Aqui estão minhas perguntas:

  1. Esse filtro de hardware ou software (driver?)?
  2. O que o airmon-ng?
  3. Por que não é possível ativar o modo de monitor em alguns dispositivos? É um problema com drivers?
  4. Por que é necessário criar outra interface?
  5. Existe algum paralelo com uma interface de internet que recebe tráfego de um hub? Quero dizer, os pacotes são "pré-filtrados" nessa configuração?
  6. hat é a finalidade da caixa de seleção "promiscuous mode" no wireshark se todo o trabalho é feito em um nível inferior?

Me desculpe por essas perguntas noob, este não é o meu campo ;-) Obrigado!

    
por Nicolas Garnier 23.02.2017 / 13:24

1 resposta

2

Primeiro, observe que o modo promisc e o modo monitor são coisas diferentes no Wi-Fi:

  • O modo "promíscuo" desabilita a filtragem de quadros L2 com um MAC de destino diferente. Mas no Wi-Fi, você ainda está limitado a receber apenas dados da mesma rede.

  • O modo "Monitor" desativa a filtragem em L1, para que você veja qualquer coisa que o rádio seja capaz de receber (incluindo outras redes; quadros de controle como balizas; e às vezes até coisas de outros canais).

(Enquanto isso, na Ethernet concentrada, é apenas um único modo "promíscuo").

Is this hardware or software filtering (driver?)?

Geralmente é baseado em hardware - economiza uma quantidade considerável de energia em comparação com a filtragem baseada em CPU.

What does airmon-ng [do]?

Com os modernos drivers sem fio baseados em nl80211, é aproximadamente equivalente a: 

iw phy0 interface add mon0 type monitor
...
iw mon0 interface del

Um monte de código é apenas para compatibilidade com drivers mais antigos (WEXT e coisas estranhas).

Why isn't it possible to enable monitor mode on some devices? Is it a problem with drivers?

Isso varia - às vezes o driver não suporta, e às vezes o firmware no próprio dispositivo não permite isso.

Why is it necessary to create another interface?

É assim que o nl80211 é arquitetado. pode ser possível mudar uma interface gerenciada para monitorar o modo embora.

Is there any parallel with an internet interface receiving traffic from a hub? I mean are packets 'pre-filtered' in that configuration?

Sim, é um pouco parecido. Tanto o Wi-Fi quanto a Ethernet hubbed são redes compartilhadas-médias ; todos os hosts recebem tudo e simplesmente jogam fora o que não querem.

[W]hat is the purpose of 'promiscuous mode' checkbox in wireshark if all the work is done at a lower level?

Veja acima - é uma configuração muito mais antiga e ainda pode ser útil para Ethernet ou outros tipos de conexão.

    
por 23.02.2017 / 13:44

Tags

Por que o segundo roteador está conectado à linha telefônica, mas está desligado com velocidade de conexão de banda larga lenta? Como montar o disco local como C: no Windows XP