Dovrai impostare l'interfaccia di rete in modalità monitor per essere in grado di annusare tutto il traffico sulla rete wireless. Quindi, prima di avviare tcpdump
, procedi come segue:
sudo ifconfig wlan0 down
sudo iwconfig wlan0 mode Monitor
sudo ifconfig wlan0 up
Ciò disattiverà semplicemente la tua interfaccia, abiliterà la modalità monitor e la riaccenderà. Si noti che non tutte le schede di interfaccia di rete supportano la modalità monitor.
Per ripristinare la normale scheda di rete, emettere gli stessi comandi, ma con mode Managed
.
In una nota a margine, molto probabilmente il traffico sul tuo sniffer non avrà l'aspetto che ti aspetti, a causa di eventuali schemi di crittografia utilizzati dal tuo router. Considerando che stai annusando la tua rete, nella maggior parte dei casi sarai in grado di decrittografare il traffico.
Ecco una breve panoramica su come farlo Wireshark
, un'alternativa a tcpdump
quella presenta anche un'interfaccia utente grafica. Se preferisci conservare tcpdump
per l'acquisizione, puoi anche utilizzare la sua -w
opzione per scaricare il traffico su un .pcap
file e successivamente aprirlo in Wireshark (o in qualsiasi altro analizzatore di pacchetti).
Nota che se la tua rete utilizza la crittografia WPA o WPA2, dovrai catturare i rispettivi handshake tra il router e ogni dispositivo che desideri monitorare. L'articolo della wiki di Wireshark che ho collegato spiega come farlo:
WPA e WPA2 utilizzano chiavi derivate da una stretta di mano EAPOL, che si verifica quando una macchina si unisce a una rete Wi-Fi, per crittografare il traffico. A meno che non siano presenti tutti e quattro i pacchetti di handshake per la sessione che si sta tentando di decrittografare, Wireshark non sarà in grado di decrittografare il traffico. È possibile utilizzare il filtro di visualizzazione eapol per individuare i pacchetti EAPOL nell'acquisizione.
Per acquisire l'handshake di una macchina, è necessario forzare la macchina a (ri) unirsi alla rete mentre è in corso l'acquisizione.
dst
significa tcpdump?