Capturando o tráfego sem fio (usando o Wireshark)

8

Quando executo o wireshark em uma rede com fio, ele funciona bem e relata todos os pacotes.
Quando o executo em uma rede sem fio, vejo apenas meu próprio tráfego. A placa sem fio que eu tenho deve oferecer suporte à captura de pacotes e entrar no modo premiscous, mas não vejo nenhum outro tráfego do sistema.

O que está errado?

wireless-networking network-adapter wireshark sniffing packet Daisetsu
fonte
Eu estou tendo o mesmo problema. Rodando o wireshark 1.8.6 mais recente em um Macbook Pro que captura pacotes wifi, se eu ativar o modo monitor, posso ver todos os tipos de tráfego, mas não sei dizer o que é, porque diz que tudo é um pacote 802.11 (não decodifica em TCP / IP). Se eu desativar o modo de monitor, posso ver apenas meu próprio tráfego. Qualquer ajuda?
GaryO
Você provavelmente está em uma rede criptografada (WEP / WPA). Para dissecar o tráfego, ele teria que ser criptografado; consulte a página Wiki do Wireshark sobre descriptografar o tráfego 802.11 . (Afinal de contas, todo o ponto de criptografar redes Wi-Fi é para tornar mais difícil para farejar a rede!)

Respostas:

4

Veja o Wi-Fi (WLAN, IEEE 802.11) na página Wiki do Wireshark.

Consulte a página CaptureSetup / WLAN para obter instruções sobre como capturar a partir de WLAN (incluindo o modo de monitor) e consulte a página CaptureSetup para obter informações gerais sobre como capturar em WLAN e outras mídias.

Indo além, se você estiver usando o Windows (está?)

A captura do tráfego WLAN no Windows depende do WinPcap e dos adaptadores e drivers de rede subjacentes. Infelizmente, a maioria dos drivers / adaptadores não suporta o modo de monitor, nem vê os cabeçalhos 802.11 ao capturar, nem captura quadros que não são de dados.

O modo promíscuo pode ser definido; infelizmente, muitas vezes é aleijado. Nesse modo, muitos drivers não fornecem pacotes ou não enviam pacotes enviados pelo host.
Se você tiver algum problema ao capturar pacotes nas WLANs, tente desativar o modo promíscuo. Nesse caso, você precisará capturar o tráfego no host em que está interessado.

Os adaptadores AirPcap da CACE Technologies permitem capturas brutas de 802.11 no Windows, incluindo informações de radiotap.

Aqui está outra referência que você pode querer ler.
Uma rápida introdução aos farejadores :
Wireshark / Ethereal, ARPSpoof, Ettercap, envenenamento por ARP e outras sutilezas.

nik
fonte
Funciona melhor no Linux?
Daisetsu
@Daisetsu, acredito que sim. Ainda não tentei lá. Talvez, alguém aqui tem experiência em primeira mão ...
nik
Apenas um FYI para quem deseja encomendar o pacote airPcap Cace NX3. Eu pedi o pacote de três pacotes há mais de três semanas e ainda não o recebi. A terceira pessoa que estou pedindo, no entanto, vem tentando diariamente colocar isso em minhas mãos. Ainda não recebi o pacote e tenho um teste de rede muito importante no domingo. Esta empresa realmente me ferrou e nunca esquecerei. Eu tenho a opção de escolher o OmniPeak Pro, Fluke ou AirPcap Cace NX3. Decidi usar o AirPcap Case NX 3 por causa das críticas que vi na internet. Eu trabalho com sistemas sem fio muito complexos e nunca será para