Placa sem fio compatível com o modo promíscuo no Windows 7

8

Estou tentando usar o wireshark para aprender um pouco sobre rede e captura de pacotes. No entanto, pelo que entendi, a combinação de vários chips wifi do Windows 7 + não permite que a placa de rede opere no "modo promíscuo". Alguém já teve alguma experiência em fazer isso funcionar?

networking wireless-networking sniffing JPC
fonte
Existem outros softwares para cheirar sua placa sem fio (infelizmente não conheço nenhum em específico).
Diogo
11
Se o seu cartão não suportar o modo operacional necessário, alterar o seu sniffer não ajudará em nada.
Spiff
sim eu posso entender isso
JPC

Respostas:

7

Cuidado com as dificuldades terminológicas aqui.

O modo promíscuo é um conceito originado na Ethernet com fio, na qual sua placa mostra todo o tráfego que seu hub está repetindo na porta, mesmo que não seja endereçado a você. Muitos cartões Wi-Fi (mas não todos) oferecem suporte ao modo promíscuo, de maneira que se parece muito com o modo promíscuo Ethernet; mostra apenas os quadros de "dados", apenas na sua rede atual (o mesmo BSSID) e mostra-os após serem traduzidos em pacotes de estilo Ethernet com fio (enquadramento Ethernet-II ou 802.3). A idéia é fazer com que pareça o mesmo tráfego que você veria em uma interface Ethernet com fio no modo promíscuo, para o bem dos engenheiros de rede que desejam ver as coisas nesse nível.

O modo de monitor 802.11 é um modo super promíscuo para cartões 802.11. No modo monitor completo, a placa é sintonizada em um canal e mostra todos os pacotes que pode receber nesse canal, não importa o quê. Se houver outras redes Wi-Fi ao alcance nesse canal, também serão mostrados os quadros dessas outras redes. Ele mostra não apenas os quadros de dados que você veria na Ethernet com fio, mas também o "Gerenciamento" específico do 802.11 (Beacon, Probe, Auth, Assoc, Action, etc.) e o "Controle" (Ack, RTS, CTS, PS quadros, etc.) também. E mostra a eles sem tradução, com seus cabeçalhos completos no estilo 802.11.

O suporte total ao modo de monitor 802.11 é mais difícil de encontrar nos cartões Wi-Fi dos consumidores e, onde existe, costuma ser de buggy.

Muitos profissionais de 802.11 acabam optando por comprar uma placa sem fio USB "AirPcap" da CACE Technologies (patrocinadora corporativa da Wireshark), pois eles são projetados desde o início para serem ótimas placas de modo de monitor 802.11 para uso com o Wireshark.

Atualização:
Também é importante observar que existem realmente apenas alguns fornecedores de chipsets Wi-Fi por aí, e todos os fabricantes de cartões usam chips desses poucos fornecedores. Os maiores fornecedores são Broadcom, Atheros, Marvell e Intel, e existem vários fornecedores menores e menos conhecidos, como Ralink. Desses, a Atheros é há muito o melhor fornecedor de chipset para suporte ao modo monitor e suporte a código aberto. Você pode verificar a comunidade de drivers Wi-Fi do Linux para descobrir quais placas usam os chips Atheros e oferecer suporte adequado ao driver "Madwifi" e escolher uma delas; é mais provável que eles tenham um driver do Windows compatível com o modo de monitor.

Spiff
fonte
hmm, bem, eu uso o wireshark e suponho que o wireshark use o modo promíscuo para significar "modo de monitor". De qualquer forma, monitor ou promíscuo, não consigo descobrir como ativar um dos modos na minha placa no Windows 7. Existem placas conhecidas que suportam isso? Diferente dos wireshark
JPC
@JPC Adicionei uma atualização. Embora eu não possa apontar um cartão específico, recomendo que você escolha cartões baseados no Atheros. Entre os maiores fornecedores de chipsets Wi-Fi, a Atheros sempre foi o fornecedor escolhido por pessoas que fabricam equipamentos de teste Wi-Fi e similares, então aposto que seria mais provável que você encontrasse um bom suporte ao modo de monitor em um Atheros- cartão de memória do que em qualquer outra coisa.
Spiff
3
Não, o Wireshark não usa o modo promíscuo para significar o modo de monitor. Ele usa o modo promíscuo para significar o modo promíscuo e o modo monitor para significar o modo monitor. Ele também usa o WinPcap para capturar o tráfego da rede; Não WinPcap não suporta o modo monitor (ao contrário libpcap em algum UN * Xes, o que faz modo monitor suporte em versões mais recentes), e, enquanto WinPcap suporta o modo promíscuo, ele não faz isso, se o motorista não apoiá-lo, e poucos se algum driver do adaptador 802.11 suportar (acho que as especificações da Microsoft para drivers 802.11 dizem que não devem oferecer suporte ao modo promíscuo!).
@JPC ouça Guy Harris. Ele sabe uma coisa ou duas sobre o Wireshark.
Spiff