Question Wireshark (Linux) ne capture que les paquets en provenance et à destination de mon PC en mode espion


J'ai installé Wireshark et l'ai configuré pour permettre à mon utilisateur de l'exécuter avec tous les privilèges nécessaires (j'ai activé dumpcap et a ajouté mon utilisateur à wireshark groupe, puis redémarré).

Les périphériques sont affichés et la capture commence bien. Le problème est que seulement les paquets envoyé à et dirigé vers le PC sur lequel Wireshark s'exécute est capturé. Evidemment j'ai activé Mode promiscuité dans la boîte de dialogue des options de capture.

Par exemple, si je lance Wireshark et que je surfe ensuite sur Firefox, les paquets sont capturés. Si je commence à naviguer avec mon smartphone, aucun paquet n’est capturé (le PC et le smartphone sont connectés au même Réseau WiFi).

Je travaille avec un Wifi dispositif wlan0 avec ath9k les chauffeurs Ici vous êtes la sortie de ifconfig wlan0 et lspci | grep Wireless:

lorenzo@XUBUNTU:~$ ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 5c:ac:4c:32:dc:1d  
          indirizzo inet:192.168.1.100  Bcast:192.168.1.255  Maschera:255.255.255.0
          indirizzo inet6: fe80::5eac:4cff:fe32:dc1d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1585 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1782 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:970355 (970.3 KB)  Byte TX:401610 (401.6 KB)

lorenzo@XUBUNTU:~$ lspci | grep Wireless
03:00.0 Network controller: Atheros Communications Inc. AR9287 Wireless Network Adapter (PCI-Express) (rev 01)

Ce que je veux réaliser est de examiner le trafic réseau de mon smartphone à l'aide de mon PC exécutant Wireshark, tous deux connectés au même point d’accès WiFi domestique personnel.

Aidez-moi, s'il vous plaît!!


PS: j'ai posté cette question sur AskUbuntu aussi, mais ça ne m'a pas aidé. Je suis re-posté ici juste parce que je vois qu'il y a plus de réponses liées à Wireshark ici que là… Désolé pour ça.


3
2017-12-29 10:09


origine




Réponses:


Utiliser une connexion filaire serait le moyen le plus simple de le faire.

Je suppose que vous n'utilisez pas WEP, car cela "fonctionnerait", vous devez donc utiliser WPA. Wireshark ne peut pas déchiffrer automatiquement les paquets WPA, il doit connaître la clé pré-partagée (PSK) configurée dans la configuration wifi.

Dans brideshark, accédez au menu Affichage, puis choisissez la barre d'outils sans fil. Cliquez ensuite sur Clés et entrez le SSID et le PSK pour votre réseau local. Sélectionnez cette option dans la barre d’outils une fois saisie, et utilisez wireshark comme décrypteur.

Ensuite, vous pouvez commencer à capturer. Notez que pour décrypter les paquets d'un autre périphérique, wireshark doit voir le handshake complet d'EOPOL. La meilleure façon de procéder consiste à désactiver et réactiver le sans fil sur le smartphone une fois la capture lancée.


4
2017-12-29 10:28



Je ne peux pas utiliser une connexion filaire avec le smartphone :RÉ Et oui, j'utilise WPA (je vais essayer de passer temporairement au WEP, mais je suis intéressé à le faire fonctionner avec WPA). Merci, je vais essayer ces paramètres Wireshark dès que possible, je ne suis pas chez moi en ce moment. Mais, cela signifie que le renifleur Le PC doit être déconnecté du réseau sans fil inspecté pendant reniflement? - lorenzo-s
@ lorenzo-s Non, cela devrait fonctionner connecté, mais essayez les deux, certaines parties de la façon dont tout cela fonctionne dépendent de l'implémentation du pilote. Donner également à airpcap une alternative aux fils de fer faisant le déchiffrement (wireshark détectera sa présence et pourra le configurer) - Paul
juste désactiver le cryptage et essayez. - Vineet Menon


Un réseau sans fil ne fonctionne pas comme un réseau câblé. Vous recevrez du routeur uniquement les paquets envoyés à votre propre PC. Vous devez comprendre que les fréquences et autres paramètres de transport physique utilisés par votre téléphone ne sont pas nécessairement les mêmes que ceux utilisés par votre PC, que les deux flux sont probablement cryptés, etc. Vous pouvez toujours essayer de tout surveiller à l'aide d'outils tels que airodump ou Kismet, mais cela ne signifie pas que vous serez en mesure d’obtenir quelque chose d’utilisable. Le seul moyen fiable de détecter le trafic de votre téléphone depuis votre PC est de le regarder directement dans le routeur (qui voit l’ensemble du réseau). J'espère que cela pourra aider.


1
2017-12-29 10:33



Mettre mon wlan0 interface en mode moniteur utilisant ifconfig wlan0 down; iwconfig wlan0 mode monitor; ifconfig wlan0 up Je peux voir le trafic de et vers mon smartphone, mais crypté et avec tous les points d'accès WiFi visibles (qui sont nombreux chez moi)! Je pense que c'est la même chose que je peux faire avec airdump, ne pas? Je peux les filtrer, bien sûr, mais je dois aussi les déchiffrer plus tard. En outre, cette méthode ne me permet pas de me connecter à mon propre réseau tant que je ne suis pas revenu à iwconfig wlan0 mode managed. - lorenzo-s
@ Lorenzo-s: Une interface ne peut pas être dans deux modes à la fois. Cependant, vous pouvez parfois avoir deux interfaces faisant référence au même périphérique physique ... le iw outil peut créer et supprimer des interfaces sans fil manuellement, et airmon-ng automatise cela. - grawity


Le mode promiscuous n'est pas ce que vous pensez être sur un réseau Ethernet moderne qui utilise une topologie en étoile avec des commutateurs. La technologie sans fil 802.11 est une configuration point à multipoint. Le 802.3 câblé est généralement point à point lors de l'utilisation de commutateurs. Un hôte ne recevra que des trames adressées à lui ou des trames diffusées ou multidiffusées; un hôte ne pourra pas recevoir de paquets de monodiffusion qui ne lui sont pas adressés une fois que le commutateur a appris le port pour cette adresse. Si tu veux voir tout les trames Ethernet passant, votre port Ethernet doit être en mode Promiscuous et connecté à un centre (pas un interrupteur). Attention, certains "hubs" récents sont en fait des switchs; il y a une page sur le site de wireshark qui a plus d'informations sur ce sujet.

L'un des moyens de capturer la majeure partie du trafic Ethernet consisterait à installer un concentrateur Ethernet entre le modem / routeur câble / ADSL et le point d'accès sans fil. Connectez un ordinateur hébergeantF vers le concentrateur et vous pourrez capturer tout le trafic entre le routeur et le WAP. Si votre modem / routeur et votre WAP sont combinés en une seule unité, vous devrez alors vous procurer un autre point d'accès sans fil pour le configurer. Vous devez configurer wireshark en tant que l'homme au milieu écouter sur tout le trafic Internet local.

WAN--- modem/router ------ HUB ----- wireless access   ~~~~   smartphone
                            |              point
                            |
                            |
                            PC

1
2017-12-29 23:32



Je connais les topologies Ethernet, les commutateurs, le concentrateur, etc., et pourquoi, sur un réseau commuté, il est impossible de renifler les paquets sans utiliser le l'homme au milieutour. Ce que je ne savais pas, c'est pourquoi le reniflage de paquets ne fonctionne pas sur un réseau sans fil point à multipoint réseau câblé. Votre solution est hors de mes possibilités car je n'ai pas de concentrateur, et le modem, le routeur et le point d'accès WiFi se trouvent physiquement sur le même appareil Linksys. Quoi qu'il en soit, merci beaucoup pour votre aide dans l'explication du problème. - lorenzo-s


Ce que je ne savais pas, c'est pourquoi le reniflage de paquets ne fonctionne pas sur un réseau sans fil comme dans un réseau câblé point à multipoint.

Parce que WEP et WPA / WPA2 étaient explicitement conçus pour le rendre ne pas travail! Le trafic est crypté pour empêcher les personnes arbitraires de regarder le trafic sur les réseaux sans fil. Pour déchiffrer ce trafic (que vous devrez capturer en mode moniteur), voir l'entrée wiki Wireshark sur le décryptage du trafic 802.11.


1
2017-08-07 07:42





Lors de la recherche d'une solution, j'ai trouvé la configuration suivante pour détecter la connexion sans fil d'un smartphone, peut-être que cela vous aide:

http://www.zinus.de/index.html%3Fp=603.html


0
2017-08-07 09:09