Scheda wireless che supporta la modalità promiscua in Windows 7

8

Sto cercando di utilizzare WireShark per imparare qualcosa sulla rete e l'acquisizione di pacchetti. Tuttavia, da quello che ho capito, la combinazione di Windows 7 + vari chip wifi non consente alla scheda di rete di funzionare in "modalità promiscua". Qualcuno ha avuto esperienza per farlo funzionare?

networking  wireless-networking  sniffing 
JPC
fonte
Ci sono altri software per annusare la tua scheda wireless (purtroppo non ne conosco nessuna in particolare).
Diogo,
1
Se la tua scheda non supporta la modalità operativa di cui hai bisogno, cambiare lo sniffer non ti aiuterà affatto.
Spiff,
sì, posso capirlo
JPC,

Risposte:

7

Fai attenzione alle difficoltà terminologiche qui.

La modalità promiscua è un concetto nato su Ethernet cablata, in cui la tua scheda ti mostra tutto il traffico che l'hub si sta ripetendo sulla tua porta, anche se non è indirizzato a te. Molte (ma non tutte) le schede Wi-Fi supportano la modalità promiscua, in un modo che assomiglia molto alla modalità promiscua Ethernet; mostra solo i frame di "dati", solo sulla tua rete attuale (stesso BSSID) e li mostra dopo che sono stati tradotti in pacchetti di tipo cablato-Ethernet (frame Ethernet-II o 802.3). L'idea è di far sembrare lo stesso traffico che vedresti su un'interfaccia Ethernet cablata in modalità promiscua, per il bene degli ingegneri di rete che vogliono guardare le cose a quel livello.

La modalità monitor 802.11 è una sorta di modalità super-promiscua per schede 802.11. In modalità monitor completo, la scheda è sintonizzata su un canale e mostra tutti i pacchetti che può ricevere su quel canale, qualunque cosa accada. Se ci sono altre reti Wi-Fi nel raggio di quel canale, mostra anche i frame di quelle altre reti. Mostra non solo i frame di dati che vedresti su Ethernet cablata, ma anche la "Gestione" specifica per 802.11 (Beacon, Probe, Auth, Assoc, Action, ecc.) E "Control" (Ack, RTS, CTS, PS -poll, ecc.) anche frame. E li mostra non tradotti, con le loro intestazioni complete in stile 802.11.

Il supporto completo della modalità monitor 802.11 è più difficile da trovare nelle schede Wi-Fi consumer e, laddove esiste, è spesso difettoso.

Molti professionisti 802.11 finiscono per acquistare una scheda wireless USB "AirPcap" di CACE Technologies (sponsor aziendale di Wireshark), poiché sono stati progettati da zero per essere fantastiche schede di modalità monitor 802.11 da utilizzare con Wireshark.

Aggiornamento:
è anche importante notare che ci sono davvero solo pochi venditori di chipset Wi-Fi là fuori, e tutti i produttori di carte usano i chip di quei pochi venditori. I maggiori fornitori sono Broadcom, Atheros, Marvell e Intel, e ci sono molti più piccoli distributori meno conosciuti come Ralink. Di questi, Atheros è stato a lungo il miglior fornitore di chipset per supporto in modalità monitor e supporto open source. È possibile controllare la comunità dei driver Wi-Fi Linux per scoprire quali schede utilizzano i chip Atheros e supportano bene il driver "Madwifi", quindi selezionarne una; è più probabile che abbiano un driver Windows che supporti bene la modalità monitor.

spiff
fonte
hmm, bene uso WireShark e suppongo che WireShark utilizza la modalità promiscua per significare "modalità monitor". In entrambi i casi, monitor o promiscuo, non riesco a capire come abilitare entrambe le modalità sulla mia carta in Windows 7. Esistono carte note che supportano questo? Oltre a quelli a filo metallico
JPC,
@JPC Ho aggiunto un aggiornamento. Anche se non posso indicarti una particolare carta, ti consiglio di scegliere carte basate su Atheros. Dei più grandi venditori di chipset Wi-Fi, Atheros è sempre stato il fornitore preferito dalle persone che producono apparecchiature di prova Wi-Fi e simili, quindi scommetto che sarebbe più probabile trovare un buon supporto per la modalità monitor in un Atheros- carta basata che in qualsiasi altra cosa.
Spiff,
3
No, Wireshark non utilizza la modalità promiscua per indicare la modalità monitor. Utilizza la modalità promiscua per indicare la modalità promiscua e la modalità monitor per indicare la modalità monitor. Utilizza anche WinPcap per acquisire il traffico di rete; WinPcap non supporta la modalità monitor (a differenza di libpcap su alcuni UN * Xes, che fa modalità monitor supporto nelle versioni più recenti), e, mentre WinPcap supporta la modalità promiscua, ma non lo fa, se il conducente non lo supporta, e pochi se qualche driver adattatore 802.11 lo supporta (penso che le specifiche Microsoft per i driver 802.11 affermino che non dovrebbero supportare la modalità promiscua!).
@JPC ascolta Guy Harris. Sa qualcosa o due su Wireshark.
Spiff
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.