Пакетный сниффинг по Wi-Fi
У меня есть некомпьютерный беспроводной клиент, и я задаюсь вопросом о некоторых его соединениях. Я хочу видеть, что действительные пакеты обменены с сети на мое устройство по соединению Wi-Fi.
У меня есть Wireshark, работающий на ПК, и наблюдаю, что трафик проходит в сети, но каждый раз, когда устройство загружает информацию из сети, это не обнаруживается на сниффере. У меня есть он набор к неразборчивому режиму, но тем не менее ничему.
Кто-либо знает, как заставить что-то быть замеченным анализатором пакетов?
3 ответа
Это все слишком твердо, если Вы используете Linux. Большинство беспроводных карт в наше время поддерживает режим монитора, который позволяет использовать их для получения всех пакетов, включая 802,11 управления и Кадры управления, на одном канале.
Если Ваша беспроводная карта поддерживает этот режим (возможности, что это делает), то сделайте следующее (я предполагаю, что Вы используете находящийся в Debian дистрибутив:
$ sudo su
# aptitude install aircrack-ng
# airmon-ng start wlan0
# airodump-ng mon0
На данном этапе необходимо видеть список беспроводных сетей и соединенных клиентов. Отметьте номер канала, на котором работает Ваша сеть/клиент. Вам будет нужен он для блокировки NIC на конкретном канале: теперь это переключает все каналы последующим образом для обнаружения каждой сети.
^C
# airodump-ng mon0 -c $channel
Вам действительно не нужен ни один вывод airodump-ng, он просто используется для установки канала. Также можно использовать iw/iwconfig использовать его или просто соединиться с сетью (да, Вы можете одновременно быть подключены к сети и режиму монитора использования), но это - самый легкий и подверженный ошибкам путь.
Теперь можно запустить Wireshark и указать на него на mon0 интерфейс. Вы сможете видеть, что все пакеты перемещаются через Вашу сеть. Если Вы хотите видеть только пакеты данных, используйте этот фильтр: wlan.fc.type_subtype == 0x20.
Как примечание, я хочу сказать, что это, вероятно, возможно в Windows, но более твердо, и диапазон поддерживаемых адаптеров является намного более узким, поскольку нет никакого стандартного API для режима монитора в Windows.
Я столкнулся с этим также. У меня есть управляемый коммутатор в моем проводном / беспроводном маршрутизаторе, зеркально отражая весь трафик к порту датчика, который я направляю во вторичный NIC на моем основном ПК, который позволяет мне видеть в основном весь трафик, кроме беспроводной связи. Одно решение, которое я рассматриваю, состоит в том, чтобы добавить другой управляемый коммутатор (они являются удивительно дешевыми в эти дни) вне маршрутизатора, между модемом и маршрутизатором, который позволит мне получать беспроводной трафик. Существует всего одна проблема: это будет также видеть тонну бесполезного трафика из Интернета, который иначе проигнорирован маршрутизатором и который я обычно не вижу вообще. Я не уверен, квалифицирует ли это как ответ, но я определенно интересуюсь тем, что все остальные должны прибавить эту тему.
В зависимости от того, что Вы ищете - отравление ARP могло бы быть решением. Тем путем Вы могли получить пакеты и исследовать их... Они будут немного отличаться, чем исходные (заголовки IP будут иметь Ваш компьютерный IP как поступающий/исходящий в зависимости от того, если они выйдут или в Вашу сеть, но не имеет значения..., что пакеты останутся такими же, и Вы сможете распознать то, в чем Вы нуждаетесь).