Sniff de tráfego sem fio (Wi-Fi) com o Wireshark

0

Eu tenho uma placa wireless (ALFA AWUS036H) no modo monitor (com airmon-ng start wlan0) na minha máquina Debian. No Wireshark, em "opções de captura", todas as minhas interfaces estão no modo promíscuo.

A rede de teste é uma rede Wi-Fi protegida por WEP (eu tenho a chave).

No Wireshark, vejo apenas pacotes de informações (solicitações de sonda, quadros de sinalização etc.), mas nenhum tráfego "real", mesmo se eu estiver usando a rede com outro dispositivo conectado à rede. Tentei seguir a documentação oficial ( https://wiki.wireshark.org/HowToDecrypt802.11 ), mas não consigo ver o botão "Decryption Keys…" (parte "Adding Keys: Wireless Toolbar"). E eu pensei que eu poderia ver o tráfego não decifrado, no entanto, o que não é o caso.

Então, como posso ver o tráfego e decifrá-lo? Por fim, quero usar o scapy, então estou aberto a sugestões com o scapy e / ou o Wireshark.

networking wireless-networking encryption wireshark Shan-x
fonte

Respostas:

2

Você precisa ter certeza de que sua placa de captura é capaz de todos os tipos de modulação de sinal que os dispositivos alvo podem usar. Seu AWUS036H é um dispositivo B / G. Se o seu ponto de acesso e cliente de destino (os dispositivos cujo tráfego você deseja capturar) forem dispositivos compatíveis com 802.11a, 802.11n ou 802.11ac, sua placa B / G não poderá capturar seu tráfego.

Mesmo apenas procurando, por exemplo, "802.11ac" não é suficiente, pois existem variações do 802.11ac que nem todos os dispositivos suportam: 2, 3, 4 e mais fluxos espaciais; 80MHz, 80 + 80 e canais de 160MHz de largura; MCS 8 e 9 (256-QAM), vários canais que são legais / ilegais em diferentes países, que equipamentos projetados para diferentes países podem ou não oferecer suporte e muito mais.

Você também deve certificar-se de que seu dispositivo de captura esteja posicionado "entre" o AP de destino e o cliente de destino. Isto é, onde ele pode receber transmissões do AP de destino, assim como o cliente de destino, e onde ele pode receber transmissões do cliente de destino, pelo menos, assim como o AP de destino.

Você também precisa ter certeza de que sua interface está no modo monitor e no modo promíscuo (essas duas configurações podem ser ortogonais; não presuma que o modo monitor implica modo promíscuo em seu hardware / driver), mas parece que você já cuidou de que.

Spiff
fonte
Eu já uso o cartão para ataques clássicos (com a suíte aircrack), então eu suponho que seja compatível com o sinal Wi-Fi. E está posicionada ao lado do AP (há uns 30cm entre eles, deve estar ok).
Shan-x
@ Shan-x Espere, você está tentando capturar o próprio tráfego da caixa do Debian ou o tráfego de algum outro cliente? Porque se você está tentando capturar o tráfego de algum outro cliente, o que eu disse ainda se aplica. Se o cliente-alvo for compatível com N e o AP tiver capacidade para N, ele conversará entre si usando N esquemas de modulação que sua antiga placa B / G não tem a menor esperança de ser capaz de desmodular. Simplesmente falta o hardware de rádio para lidar com N.
Spiff
Na configuração do roteador, eu tenho Band: 2.4GHz (802.11B/g), então deve ficar ok, certo? O roteador é um Trendnet TEW-670AP.
Shan-x
1
@ Shan-x Esse TRENDnet TEW-670AP é um dispositivo de banda dupla simultânea. Se o cliente alvo (o cliente cujo tráfego você deseja capturar) for capaz de 5GHz, ele pode estar se unindo ao BSS de 5GHz do seu TEW-670AP, fazendo com que seu dongle ALFA de 2.4GHz não consiga vê-lo.
Spiff
Você deve fazer uma resposta, e eu poderia lhe dar pontos por isso. ;)
Shan-x