Não é possível capturar o tráfego usando o Wireshark (somente 802.11)

0

Eu tenho as seguintes configurações:

MacBook Pro 2012

macOS 10.12.4

No Wire Shark

Em Captura > Opções > O cabeçalho da camada de enlace Wifi En1 está definido como 802.11; O modo moniter e promiscuous está ativado

Em Protocolos do Wireshark > > Chaves de decodificação IEEE 802.11 > (Estou tentando descriptografar um WPA2 Personal)

Keytype: wpa-pwd

Chave: senha: ssid

Estou vendo apenas o protocolo 802.11, muito poucos SSDP, muito poucos ICMPv6, muito poucos LLC

Gostaria de ver os protocolos http do meu iPhone ao meu lado.

Se eu for a um site no meu Mac, verei o http, mas não se for do meu iPhone.

Eu atachei algumas imagens:

Configurações

Wifi

Obrigado pela sua ajuda!

    
por JBis 14.05.2017 / 13:46

2 respostas

1

Para descriptografar o tráfego protegido WPA-PSK ou WPA2-PSK, você deve capturar o handshake da chave epol no início da conexão. Portanto, ao tentar capturar o tráfego de sua própria máquina, você deve iniciar a captura antes de ingressar na rede. E mesmo assim não tenho certeza de que funcionaria, já que os pacotes gerados pelo próprio chipset Wi-Fi (como oposto ao que é gerado pelo driver Wi-Fi rodando no espaço do kernel do macOS) não são repassados ao macOS para ser passado para BPF, então sniffers como wireshark nunca os vêem.

    
por 15.05.2017 / 08:40
1

Em vez de tentar interceptar o tráfego entre meu iPad e meu roteador WiFi, criei uma rede WiFi de Compartilhamento de Conexão com a Internet no meu computador e configurei o iPad para usar o ponto de acesso que eu criei. Meu computador também está conectado via Ethernet. Como está no meio da conversa, em vez de tentar espionar de um lado para outro, o exame do tráfego de e para o meu iPad é muito mais direto e não exige a adição de chaves de criptografia ao meu comando tcpdump . / p>

O iPad recebeu o endereço IP 192.168.3.3, na interface EN1, a interface WiFi do meu Mac.

Eu consegui capturar dados no meu iPad sem precisar lidar com chaves de criptografia, capturando o tráfego de e para 192.168.3.3 na EN1.

Estou usando tcpdump , mas acredito que a funcionalidade e a saída do WireShark sejam semelhantes ...

[nevin-mac-mini:~] root# tcpdump -i en1 -n -s 1500 host 192.168.3.3
tcpdump: verbose output suppressed, use -v or -vv 
for full protocol decode

listening on en1, link-type EN10MB (Ethernet), capture size 1500 bytes

23:32:02.470713 IP 192.168.3.3.60922 > #.#.#.#.80: 
Flags [P.], seq 1:368, ack 1, win 2058, options
 [nop,nop,TS val 1300636770 ecr 2646279932], 
length 367: HTTP: GET /~nevin/ HTTP/1.1

    
por 26.08.2018 / 04:41