modo promíscuo não funciona

Navegue suas respostas
0

Eu pesquisei e ouvi dizer que o modo promíscuo nos permite ouvir todo o tráfego sem fio no ponto de acesso ao qual estamos associados. Mas quando eu uso este modo com wireshark, eu não recebo os resultados exatos que eu estava esperando, eu só recebo o tráfego da minha máquina e os pacotes de transmissão.

Quando eu vi isso, eu pensei que poderia ser que não houvesse tráfego no meu ponto de acesso, então eu fiz algum arp spoofing com a minha outra máquina (para se tornar o homem no meio entre uma das minhas máquinas e o AP), neste caso, o wireshark mostra-me esse tráfego de máquinas.

Então, o que há de errado ?? pode ser meu cartão sem fio não suporta o modo promíscuo? ou pode ser meu ponto de acesso usa algum technologie que impede o sniffing ?? Em ambos os casos, por favor, dê-me uma explicação e pode ser uma solução, se houver uma.

PS: Eu uso o Ubuntu 15.10 com o kernel do linux > 4.

PS2: Isso é legal, eu tenho um projeto de sniffing e todos os testes que estou fazendo, estou fazendo no meu material.

    
por Sidahmed 08.02.2016 / 17:13

1 resposta

2

O modo Promiscious nem sempre permite que você veja o tráfego enquanto o isolamento do Cliente está em jogo. O modo promíscuo significa apenas que o seu PC processará todos os quadros recebidos e decodificados. Em muitos APs / wnics / oses, o modo promíscuo não verá tráfego para outros sistemas.

Na documentação do Wireshark:

Monitor mode

In monitor mode the SSID filter mentioned above is disabled and all packets of all SSID's from the currently selected channel are captured.

Even in promiscuous mode, an 802.11 adapter will only supply to the host packets of the SSID the adapter has joined, assuming promiscuous mode works at all; even if it "works", it might only supply to the host the same packets that would be seen in non-promiscuous mode. Although it can receive, at the radio level, packets on other SSID's, it will not forward them to the host.

Monitor Mode (que eu acredito que é o que você quer) irá capturar todo o tráfego do SSID, e outros SSIDs em alcance.

A documentação do Wireshark continua:

Therefore, in order to capture all traffic that the adapter can receive, the adapter must be put into "monitor mode", sometimes called "rfmon mode". In this mode, the driver will put the adapter in a mode where it will supply to the host packets from all service sets. Depending on the adapter and the driver, this might disassociate the adapter from the SSID, so that the machine will not be able to use that adapter for network traffic, or it might leave the adapter associated, so that it can still be used for network traffic. If it disassociates the adapter from the SSID, and the host doesn't have any other network adapters, it will not be able to:

* resolve addresses to host names using a network protocol such as DNS;
* save packets to a file on a network file server;
* etc..

Monitor mode is not supported by WinPcap, and thus not by Wireshark or TShark, on Windows. It is supported, for at least some interfaces, on some versions of Linux, FreeBSD, NetBSD, OpenBSD, DragonFly BSD, and Mac OS X.

You might have to perform operating-system-dependent and adapter-type-dependent operations to enable monitor mode, described below in the "Turning on monitor mode" section.

Fonte: link

    
por 08.02.2016 / 17:50

Tags

Usando o Notepad ++ para exibir arquivos de texto que também contenham caracteres de controle ASCII mais baixos Verificação do Win7 ISO - Win7IsoVerifier diz que não está ok