Annusare la rete LAN wireless utilizzando tcpdump


4

Se ho compreso correttamente le basi del funzionamento wireless, dovrei essere in grado di annusare il traffico di altri computer sulla LAN wireless. Quindi ho collegato un secondo computer alla mia LAN wireless e ho provato a vedere se ero in grado di annusare il suo httptraffico attraverso la rete, usando tcpdumpcon un comando come questo:

sudo tcpdump -v -i wlan0 dst 10.0.0.7

mentre 10.0.0.7è l'ip del computer che voglio annusare sulla LAN. Ma sfortunatamente, non ottengo nulla come output (tranne le richieste di eco ICMP se io ping 10.0.0.7, quindi tcpdumpfunziona bene :)).

Cosa mi sto perdendo?


cosa dstsignifica tcpdump?
schroeder,

@schroeder: dstsignifica che sto ascoltando solo i pacchetti per i quali il destinationcampo è10.0.0.7
Sam Bruns

giusto - e come sarebbe il caso dalla tua macchina?
schroeder,

@schroeder: pensavo di poter semplicemente annusare il pacchetto diretto dal gateway predefinito al computer che voglio annusare. Perché dal momento che i pacchetti vengono trasmessi tramite Wi-Fi, dovrei essere in grado di farlo hearanche se non sono il destinatario. 10.0.0.7è l'indirizzo IP del computer che voglio annusare ed 10.0.0.8è il mio indirizzo IP.
Sam Bruns,

Dipende dal tipo di wifi che stai usando ... Non si comporta come un hub, ma un interruttore.
schroeder,

Risposte:


9

Dovrai impostare l'interfaccia di rete in modalità monitor per essere in grado di annusare tutto il traffico sulla rete wireless. Quindi, prima di avviare tcpdump, procedi come segue:

sudo ifconfig wlan0 down
sudo iwconfig wlan0 mode Monitor
sudo ifconfig wlan0 up

Ciò disattiverà semplicemente la tua interfaccia, abiliterà la modalità monitor e la riaccenderà. Si noti che non tutte le schede di interfaccia di rete supportano la modalità monitor.

Per ripristinare la normale scheda di rete, emettere gli stessi comandi, ma con mode Managed.

In una nota a margine, molto probabilmente il traffico sul tuo sniffer non avrà l'aspetto che ti aspetti, a causa di eventuali schemi di crittografia utilizzati dal tuo router. Considerando che stai annusando la tua rete, nella maggior parte dei casi sarai in grado di decrittografare il traffico. Ecco una breve panoramica su come farlo Wireshark, un'alternativa a tcpdumpquella presenta anche un'interfaccia utente grafica. Se preferisci conservare tcpdumpper l'acquisizione, puoi anche utilizzare la sua -wopzione per scaricare il traffico su un .pcapfile e successivamente aprirlo in Wireshark (o in qualsiasi altro analizzatore di pacchetti).

Nota che se la tua rete utilizza la crittografia WPA o WPA2, dovrai catturare i rispettivi handshake tra il router e ogni dispositivo che desideri monitorare. L'articolo della wiki di Wireshark che ho collegato spiega come farlo:

WPA e WPA2 utilizzano chiavi derivate da una stretta di mano EAPOL, che si verifica quando una macchina si unisce a una rete Wi-Fi, per crittografare il traffico. A meno che non siano presenti tutti e quattro i pacchetti di handshake per la sessione che si sta tentando di decrittografare, Wireshark non sarà in grado di decrittografare il traffico. È possibile utilizzare il filtro di visualizzazione eapol per individuare i pacchetti EAPOL nell'acquisizione.

Per acquisire l'handshake di una macchina, è necessario forzare la macchina a (ri) unirsi alla rete mentre è in corso l'acquisizione.


@zinfandel: grazie mille! Ho capito adesso. Quindi, se ho compreso correttamente la connessione tra ciascun computer e il punto di accesso è crittografato, durante l'utilizzo della crittografia WPA o WPA2?
Sam Bruns,

1
Sì, il traffico è crittografato su una rete "protetta", ovvero una che utilizza WEP, WPA o WPA2.

@zinfandel: potresti spiegare perché devo scegliere la modalità Monitor piuttosto che la modalità Promiscua? Grazie :)
Sam Bruns,

1
La modalità Monitor @SamBruns è la versione WiFi della modalità Promiscua.
David Poole,

2

Prima di tutto, non hai specificato se si trattava di una rete aperta o protetta da WPA. Questo fa la differenza. Presumo sia WPA perché stai riscontrando problemi.

Non sei l'uomo nel mezzo. I pacchetti da 10.0.0.7 vanno da quel computer direttamente al gateway (cioè 10.0.0.1) e vanno su Internet, bypassandoti. Devi effettuare lo spoofing e inserirti tra il gateway e l'utente (10.0.0.7). Ci sono molti strumenti per farlo. In genere si imposta prima l'inoltro ip nel kernel, quindi si esegue un comando similearpspoof <victim ip> <gateway ip>


1
Prima di tutto: grazie per aver risposto! Vedo. Ma non riesco a capire la necessità dello spoofing arp. Perché non riesco semplicemente ad annusare il pacchetto trasmesso sulla LAN? Potresti spiegarmi o reindirizzarmi a del materiale didattico? Grazie!
Sam Bruns,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.