Capture / Peek tráfego de dados WiFi?

Navegue suas respostas
1

Meu objetivo: eu quero analisar os protocolos de rede de um dispositivo sem fio na minha rede.

Eu configurei com sucesso meu laptop linux para monitor e modo promíscuo para sua interface wifi. Eu usei o airmon-ng para criar uma interface wifi de rede virtual que está no modo monitor.

E eu posso usar com sucesso o Wireshark para ver o tráfego da rede. Mas ... os pacotes de dados WiFi não são desmontados pelo Wireshark. Eles são exibidos apenas como "dados"

Existe alguma maneira de observar o próprio tráfego de rede nos níveis de protocolo IP / TCP / http etc?

O problema é que o WiFi é criptografado? Suponha que eu configure meu gateway WiFi para não ter segurança. Então, o Ethershark será capaz de mostrar os protocolos de nível superior?

    
por Larry K 09.08.2012 / 05:51

3 respostas

1

Se a sua conexão WiFi for criptografada (WEP, WPA, WPA2), você terá que descriptografá-la (crackar) para ver o que está acontecendo ou desligar a criptografia. O objetivo da criptografia é impedir que alguém monitore a conexão sem fio.

    
por 09.08.2012 / 06:08
0

Após vários dias de investigação:

  1. Conecte-se a uma rede wifi. Uma rede aberta ou criptografada onde você tem a chave. (Ou use o aircrack para obter uma chave de trabalho)
  2. Use ettercap para instalar sua máquina monitor como um homem no ataque middle arp entre a máquina de destino e o gateway da rede local. Postagem no blog .
  3. O Ettercap pode gravar um arquivo que o Wireshark pode ler e exibir. O arquivo mostrará o tráfego para e da máquina de destino.
por 10.08.2012 / 05:30
0

Você pode usar o tcpdump para despejar o tráfego de rede.

No exemplo (digite no terminal): 

sudo tcpdump -i wlan0

Onde wlan0 é sua interface WiFi.

Use os seguintes parâmetros úteis no final para melhorar seus despejos: 

-vvv

(ou menos v's) mostrará mais informações sobre pacotes desmontando as informações, 

-X

mostra o conteúdo dos pacotes (X duplo - mostra ainda mais informações) 

-nl

processamento mais rápido (sem DNS e sem buffer) 

-s1500

mostre o tamanho total do pacote

Você também pode usar alguns filtros como (misturando-os com OR ou AND keywords): 

not udp
not dns
not tcp
arp
not port 80

Então, meu despejo recomendado com a desmontagem das informações de tráfego pode ser: 

sudo tcpdump -i wlan0 -s1500 -nl -XX -vvv

(altere wlan0 para sua interface de rede como eth0 ou qualquer outra coisa)

Veja man tcpdump para mais informações.

    
por 10.08.2012 / 11:13

Tags

VirtualBox não aceita entrada de teclado Os compartilhamentos de samba em montagens fuseiso não funcionam