Wireless-Paket-Sniffing unter Linux. Erfasste Daten sind fast nur Broadcasts

2

Umgebung : Heimnetzwerk, das auf Kanal 8 arbeitet (ich bin der Administrator, daher sind alle Kennwörter bekannt und ich habe physischen Zugriff auf alle Geräte), mit einem PC und einem Laptop verbunden (beide stehen etwa 20 cm vom Router entfernt).
Zielsetzung : Verwenden Sie ein WLAN-Modul auf dem PC (auf einem VM mit Linux), um den Datenverkehr des Laptops zu erfassen
Problem : Erfasste Daten sind nicht wie erwartet

Ich verwende ein RaLink RT5370-Funkmodul, das wiederum den rt2800usb-Treiberteil des Kernels verwendet. Hier ist die Ausgabe von iwconfig:

mon0      IEEE 802.11bgn  Mode:Monitor  Tx-Power=0 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

Und hier ist die Ausgabe von ip link:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: mon0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UNKNOWN mode DEFAULT group default qlen 1000
    link/ieee802.11/radiotap 00:e1:b2:00:36:79 brd ff:ff:ff:ff:ff:ff

Ich habe versucht, den Verkehr auf verschiedene Arten zu erfassen, aber ich bevorzuge tcpdump:

tcpdump -n -w test.pcap -i mon0

Nachdem ich mit dem Aufzeichnen auf dem PC begonnen habe, schalte ich normalerweise den Laptop ein, stelle mich dem Netzwerk (damit ich den EAPOL-Handshake erfassen kann), im Internet ein wenig surfen und stoppe dann die Aufzeichnung. Jetzt fangen meine Probleme an. Ich lade den erfassten Datenverkehr in Wireshark und merke, dass ich in der ungefähr 1 Minute, in der der Laptop das Netzwerk benutzte, ungefähr 600 bis 700 Pakete aufzeichnen konnte. Die überwiegende Mehrheit, etwa 98%, sind Beacon-Frames, die vom Router übertragen werden. Bei meinem letzten Versuch wurden 643 Pakete erfasst, von denen 638 (99,2%) Broadcasts waren und 5 Multicasts, die vom Laptop stammten. Alles in allem ist also nichts Nützliches aufgenommen worden. Was könnte das Problem sein und wie kann ich Unicast zwischen Laptop und Router erfassen?

Die meisten Online-Dokumentationen scheinen mit dem Einrichten der Netzwerkschnittstelle im Überwachungsmodus und dem Entschlüsseln des aufgezeichneten Datenverkehrs befasst zu sein, aber ich habe den ersteren schon festgenagelt, glaube ich, und der letztere nützt mir nichts, wenn ich es habe kein sinnvoller Verkehr zu Beginn.

tl; dr tcpdump scheint den gesamten Müll einzufangen. Wie kann ich Unicast-Dateien erfassen?

Hinweis: Das OP aus dieser Frage ( Warum zeigt Wireshark keine High-Layer-Pakete wie ICMP / IP / UDP? (Nur Broadcast-Pakete werden angezeigt) ) scheint ein ähnliches Problem zu haben, aber es ist fast drei Jahre alt und die vorgeschlagene Ursache (Hardware) scheint auf meinen Fall nicht zutreffend zu sein, da ich ein völlig anderes Gerät verwende.

goblin
quelle

Antworten:

2

Um in einem Wi-Fi-Netzwerk den Unicast-Verkehr zu erfassen, der nicht an den oder vom Erfassungscomputer gesendet wird, müssen Sie ihn wahrscheinlich im Überwachungsmodus erfassen. Der Wireshark Wiki-Artikel über WLAN-Captures enthält viele Details dazu. Die Art und Weise, wie Sie im Monitor-Modus aufzeichnen, ist vom Betriebssystem abhängig. Neuere Versionen von libpcap unter Nicht-Windows-Betriebssystemen und die aktuellen Versionen von Wireshark versuchen dies durch Aktivieren eines Kontrollkästchens zuzulassen Sie arbeiten unter Linux oder * BSD und unter Windows überhaupt nicht. Um unter Windows im Überwachungsmodus zu erfassen, müssen Sie mit einem Tool wie Microsoft Network Monitor oder einem AirPcap-Gerät mit Wireshark aufzeichnen.

Wenn das Netzwerk, in dem Sie sich befinden, mit WEP oder WPA / WPA2 "geschützt" ist, müssen Sie es entschlüsseln können. Details dazu finden Sie im Wireshark Wiki-Artikel zum Entschlüsseln von 802.11. Beachten Sie, dass Sie für WPA / WPA2 den Datenverkehr erfassen müssen, der auftritt, wenn die anderen Hosts sich mit dem Netzwerk verbinden. Daher müssen Sie die Mobiltelefone zuvor deaktivieren Starten Sie Ihre Verkehrserfassung und schalten Sie sie nach dem Erfassungsvorgang wieder ein. Beachten Sie auch, dass Capture-Filter für nicht verschlüsselte Pakete funktionieren. Wenn der Datenverkehr verschlüsselt wird, können Sie keine Capture-Filter auf IP-Ebene (z. B. IP-Adressen) oder darüber verwenden. Sie können nur auf MAC-Ebene (MAC) filtern Adressen, Rahmentypen usw.). Sie können Anzeigefilter jedoch verwenden, wenn der Verkehr entschlüsselt ist.

Richie086
quelle
Im Überwachungsmodus sollte die WLAN-Schnittstelle nicht mit einem Netzwerk verknüpft sein. Wenn Ihr System nicht verkabelt ist oder über zwei WLAN-NICs verfügt, sollte es offline sein. Auf meinem Mac muss ich auch das benutzen -I flag (Hauptstadt i wie in Indien), um vollständige Paketinformationen zu erhalten.
Nevin Williams
Leider ist es nicht so. Wenn Sie meine Frage sorgfältig gelesen haben, stellen Sie fest, dass ich das Gerät bereits in einem Überwachungsmodus betreibe. Nicht gezeigt ist, dass ich das eingestellt habe otherbss auch. Es ist für mich auch unerheblich, ob das Netzwerk geschützt ist oder nicht, weil ich den Unicast-Verkehr sowieso nicht erfassen kann.
goblin