Umgebung : Heimnetzwerk, das auf Kanal 8 arbeitet (ich bin der Administrator, daher sind alle Kennwörter bekannt und ich habe physischen Zugriff auf alle Geräte), mit einem PC und einem Laptop verbunden (beide stehen etwa 20 cm vom Router entfernt).
Zielsetzung : Verwenden Sie ein WLAN-Modul auf dem PC (auf einem VM mit Linux), um den Datenverkehr des Laptops zu erfassen
Problem : Erfasste Daten sind nicht wie erwartet
Ich verwende ein RaLink RT5370-Funkmodul, das wiederum den rt2800usb-Treiberteil des Kernels verwendet. Hier ist die Ausgabe von iwconfig
:
mon0 IEEE 802.11bgn Mode:Monitor Tx-Power=0 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Und hier ist die Ausgabe von ip link
:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: mon0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UNKNOWN mode DEFAULT group default qlen 1000
link/ieee802.11/radiotap 00:e1:b2:00:36:79 brd ff:ff:ff:ff:ff:ff
Ich habe versucht, den Verkehr auf verschiedene Arten zu erfassen, aber ich bevorzuge tcpdump:
tcpdump -n -w test.pcap -i mon0
Nachdem ich mit dem Aufzeichnen auf dem PC begonnen habe, schalte ich normalerweise den Laptop ein, stelle mich dem Netzwerk (damit ich den EAPOL-Handshake erfassen kann), im Internet ein wenig surfen und stoppe dann die Aufzeichnung. Jetzt fangen meine Probleme an. Ich lade den erfassten Datenverkehr in Wireshark und merke, dass ich in der ungefähr 1 Minute, in der der Laptop das Netzwerk benutzte, ungefähr 600 bis 700 Pakete aufzeichnen konnte. Die überwiegende Mehrheit, etwa 98%, sind Beacon-Frames, die vom Router übertragen werden. Bei meinem letzten Versuch wurden 643 Pakete erfasst, von denen 638 (99,2%) Broadcasts waren und 5 Multicasts, die vom Laptop stammten. Alles in allem ist also nichts Nützliches aufgenommen worden. Was könnte das Problem sein und wie kann ich Unicast zwischen Laptop und Router erfassen?
Die meisten Online-Dokumentationen scheinen mit dem Einrichten der Netzwerkschnittstelle im Überwachungsmodus und dem Entschlüsseln des aufgezeichneten Datenverkehrs befasst zu sein, aber ich habe den ersteren schon festgenagelt, glaube ich, und der letztere nützt mir nichts, wenn ich es habe kein sinnvoller Verkehr zu Beginn.
tl; dr tcpdump scheint den gesamten Müll einzufangen. Wie kann ich Unicast-Dateien erfassen?
Hinweis: Das OP aus dieser Frage ( Warum zeigt Wireshark keine High-Layer-Pakete wie ICMP / IP / UDP? (Nur Broadcast-Pakete werden angezeigt) ) scheint ein ähnliches Problem zu haben, aber es ist fast drei Jahre alt und die vorgeschlagene Ursache (Hardware) scheint auf meinen Fall nicht zutreffend zu sein, da ich ein völlig anderes Gerät verwende.
-I
flag (Hauptstadt i wie in Indien), um vollständige Paketinformationen zu erhalten.otherbss
auch. Es ist für mich auch unerheblich, ob das Netzwerk geschützt ist oder nicht, weil ich den Unicast-Verkehr sowieso nicht erfassen kann.