O Wireshark captura apenas pacotes para ou deste dispositivo

Navegue suas respostas
1

Eu uso o wireshark no Ubuntu 14.04 e estou tentando farejar o tráfego de outros dispositivos na minha rede. Eu corro wireshark ou tshark em wlan0, começo a capturar pacotes e envio alguns pings ou abro algumas páginas em meu celular, mas meu laptop ubuntu não captura isso - só vê pacotes de seu próprio ip para outros endereços ip, de outros endereços ip para seu próprio ip e pacotes de transmissão.

Ativar manualmente o modo promíscuo para wlan0 usando sudo ip link set wlan0 promisc on não ajuda.

Parece que meu adaptador wifi é capaz de usar tanto o modo promíscuo quanto o modo monitor porque eu posso fazer sudo airmon-ng start wlan0 e uma nova interface mon0 aparecerá e eu posso capturar seus pacotes com wireshark, mas não é isso que eu preciso . Esses pacotes no mon0 são todos do protocolo 802.11 e não tcp, icmp, etc. como no wlan0.

Atualizar

Eu decidi eliminar a possibilidade de que o NetworkManager do ubuntu ou alguma outra coisa interferisse no wireshark, então eu tentei o kali linux.

Aqui estão os passos exatos que uso:

  1. Carregar o kali linux
  2. Conecte-se à minha rede doméstica usando o widget de redes sem fio do gnome.
  3. Execute o wireshark, pressione Opções de captura, verifique wlan0, verifique o Prom. O modo está ativado e seg. O modo está desativado, deixe todo o resto no padrão
  4. Pressione Iniciar
  5. Ping no endereço IP do meu laptop kali linux do meu telefone
  6. Repare que consigo ver os pacotes ICMP do endereço IP do meu telefone para o meu IP do laptop kali e vice-versa
  7. Ping 8.8.8.8 do meu telefone
  8. Repare que não consigo ver nenhum pacote do IP do meu telefone em qualquer lugar, mas vejo pacotes do protocolo LLC de "Netgear_d9: 19: e8" (esse é meu roteador) em "SamsungE_2d: ad: da" ( esse é o meu telefone, eu acho)
por CrabMan 16.03.2015 / 22:20

2 respostas

1

Eu acredito que você poderia resolver seu problema com o airmon-ng (isso deve ser instalado por padrão no Kali).

Resposta fornecida por Kurt Knochner em ask.wireshark.org Source 

ifconfig -a

Você vê uma interface wlan0 ou wlan1?

Se não, sua placa wireless não é reconhecida pelo seu kernel e não há nada que o Wireshark possa fazer sobre isso. Pare aqui e pergunte às pessoas no fórum de usuários da sua distribuição Linux (Ubuntu, Fedora, etc.) como adicionar um driver funcional para sua placa wireless.

Se você vir wlan0 / 1, continue com 

sudo airmon-ng start wlan0

ou 

sudo airmon-ng start wlan1

dependendo de qual interface sem fio você deseja capturar. Esse comando deve relatar a seguinte mensagem: 

monitor mode enabled on mon0

Agora, capture em mon0 com tcpdump e / ou dumpcap. 

sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap

ou 

sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap

Em seguida, abra o arquivo com o Wireshark 

wireshark -nr /var/tmp/wlan.pcap
    
por 17.03.2015 / 01:40
0

O modo promíscuo raramente, ou nunca, faz o que você deseja em dispositivos Wi-Fi; você terá que capturar no modo monitor. (Não, não há solução aqui.)

Those packages on mon0 are all of protocol 802.11

Isso porque você está em uma rede protegida, usando criptografia WEP ou WPA / WPA2. Você terá que fornecer ao Wireshark a senha para a rede e, para redes que usam WPA / WPA2 (que a maioria das redes protegidas faz), você terá que, para cada um dos dispositivos cujo tráfego deseja descriptografar, forçá-los a se desconectarem a rede e reconecte-se à rede depois de iniciar a captura, para que você capture o handshake inicial do EAPOL. Para um telefone ou tablet, desligá-los e ligá-los novamente deve ser suficiente; para um laptop, fechar a tampa e reabri-la deve ser suficiente. (Você quer colocá-los para dormir e fazê-los acordar novamente.)

Veja o wiki do Wireshark "Como descriptografar 802.11" página para detalhes.

    
por 17.03.2015 / 05:05

Tags

Como evito que o chrome pesquise URLs que começam com http Como fazer com que o Sublime Text 3 leve a entrada do usuário?