Como colocar o adaptador sem fio do Mac OS X no modo de monitor

17

Estou procurando um equivalente a "iwconfig eth0 mode Monitor" no Mac OS.

No modo man iwconfig, o Monitor faz o seguinte:

"o nó não está associado a nenhuma célula e monitora passivamente todos os pacotes na frequência"

networking osx wifi Hugo
fonte

Respostas:

30

O que você está procurando é /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport. É um comando binário, no qual associei /usr/local/bin/por conveniência.

Criando o link simbólico:

sudo ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/local/bin/airport

Exemplo de sniffing no modo monitor:

sudo airport en1 sniff 1

Fareja no canal 1 e salva um arquivo de captura pcap para /tmp/airportSniffXXXXXX.pcap(onde XXXXXX irá variar). Você pode ver isso com tcpdump -r <filename>ou abrindo wireshark.

Para procurar canais ativos nas proximidades que você pode detectar, execute o seguinte:

sudo airport en1 -s

Embora você possa capturar qualquer tráfego, você só pode ler efetivamente se a rede estiver aberta ou se você tiver a chave de criptografia.

bahamat
fonte
Funciona. Apenas uma observação, a extensão do arquivo de captura é .cape não a .pcapdescrita. (OS X Mavericks 10.9)
Vitim.us
1
Isso funciona no Yosemite bem
jeremyforan
14

Você também pode fazer isso através da GUI, se isso for mais fácil para você.

Em Mavericks:

  • Pesquisar em destaque ( Command+ Space) por "Diagnóstico sem fio"
  • Quando o aplicativo abrir, pressione Command+ 2ou vá para Janela> Utilitários para abrir a Janela Utilitários
  • Clique na guia Captura de quadros
  • Renomeie o arquivo .wcap de saída para .pcap para uso com o Eye PA
skywinder
fonte
Uau, Nárnia! Eu nem sabia que isso existia!
Matt
7

Passe o sinalizador -I para tcpdump ou tshark (utilitário de linha de comando wireshark).

Por exemplo, para salvar tudo, desde os cabeçalhos do radiotap até os pacotes da camada de aplicativo, para um arquivo chamado 'save.pcap':

tcpdump -Ini en0 -w save.pcap

Ou, para examinar os quadros de gerenciamento 802.11 de solicitação de análise ativos:

tshark -Ini en0 -s 256 type mgt subtype probe-req

Observe que em um OS X você terá que executar os comandos como root ou conceder permissão para acessar os filtros de pacotes do kernel:

sudo chmod 0644 /dev/bpf*
uwotm8
fonte
0

por padrão no OSX en0 é sua porta ethernet, enquanto en1 é seu aeroporto

experimentar:

iwconfig en1 mode monitor
h3rrmiller
fonte
2
Não há tal comando no Mac OS X.
bahamat
estranho, eu apenas corri ... e funcionou ... e obrigado por mudar os nomes de interface, esqueci disso
h3rrmiller
1
Você deve ter obtido-lo de algum outro lugar, não é parte do Mac OS X.
bahamat
2
"por padrão no OSX en0 é a sua porta ethernet" Se você possui uma porta Ethernet. O meu MacBook Pro não possui porta Ethernet; en0 é a interface AirPort e, se eu conectar um adaptador Thunderbolt a Ethernet, ele se tornará en2.
3
iwconfig é um comando do Linux; tem certeza de que digitou esse comando em um Mac executando o OS X e, em caso afirmativo, onde conseguiu o programa iwconfig?
0

sudo tcpdump -Ii en0 > sniff

mithunpaul
fonte