Ich versuche, mit Wireshark etwas über das Vernetzen und Erfassen von Paketen zu lernen. Soweit ich weiß, erlaubt die Kombination von Windows 7 + verschiedenen WLAN-Chips der Netzwerkkarte jedoch nicht, im "Promiscuous-Modus" zu arbeiten. Hat jemand Erfahrung damit, dies zum Laufen zu bringen?
8
Antworten:
Achten Sie hier auf terminologische Schwierigkeiten.
Der Promiscuous-Modus ist ein Konzept, das auf kabelgebundenem Ethernet basiert. Auf Ihrer Karte wird der gesamte Datenverkehr angezeigt, den Ihr Hub auf Ihrem Port wiederholt, auch wenn er nicht an Sie gerichtet ist. Viele (aber nicht alle) Wi-Fi-Karten unterstützen den Promiscuous-Modus, der dem Ethernet-Promiscuous-Modus sehr ähnlich sieht. Es werden nur die "Daten" -Frames angezeigt, nur in Ihrem aktuellen Netzwerk (dieselbe BSSID), und es werden sie angezeigt, nachdem sie in Pakete im Wired-Ethernet-Stil (Ethernet-II- oder 802.3-Framing) übersetzt wurden. Die Idee ist, dass es genau so aussieht wie der Verkehr, den Sie auf einer kabelgebundenen Ethernet-Schnittstelle im Promiscuous-Modus sehen würden, für Netzwerkingenieure, die sich die Dinge auf dieser Ebene ansehen möchten.
Der 802.11-Überwachungsmodus ist eine Art Super-Promiscuous-Modus für 802.11-Karten. Im Vollmonitor-Modus ist die Karte auf einen Kanal eingestellt und zeigt alle Pakete an, die sie auf diesem Kanal empfangen kann, egal was passiert. Wenn sich auf diesem Kanal andere Wi-Fi-Netzwerke in Reichweite befinden, werden Ihnen auch die Frames dieser anderen Netzwerke angezeigt. Es werden nicht nur die Datenrahmen angezeigt, die auf kabelgebundenem Ethernet angezeigt werden, sondern auch das 802.11-spezifische "Management" (Beacon, Probe, Auth, Assoc, Action usw.) und "Control" (Ack, RTS, CTS, PS) -Poll usw.) Frames ebenfalls. Und es zeigt sie unübersetzt mit ihren vollständigen Headern im 802.11-Stil.
Die vollständige Unterstützung des 802.11-Überwachungsmodus ist bei Wi-Fi-Karten für Endverbraucher schwieriger zu finden, und wo sie vorhanden ist, ist sie häufig fehlerhaft.
Viele 802.11-Profis entscheiden sich dafür, eine USB-Wireless-Karte "AirPcap" von CACE Technologies (Wiresharks Unternehmenssponsor) zu kaufen, da sie von Grund auf als großartige 802.11-Überwachungsmoduskarten für die Verwendung mit Wireshark konzipiert wurden.
Update:
Es ist auch wichtig zu beachten, dass es wirklich nur wenige Anbieter von Wi-Fi-Chipsätzen gibt und alle Kartenhersteller Chips von diesen wenigen Anbietern verwenden. Die größten Anbieter sind Broadcom, Atheros, Marvell und Intel, und es gibt mehrere kleinere, weniger bekannte Anbieter wie Ralink. Von diesen ist Atheros seit langem der beste Chipsatzanbieter für Monitor-Modus-Unterstützung und Open Source-Unterstützung. Sie können die Linux Wi-Fi-Treiber-Community überprüfen, um herauszufinden, welche Karten Atheros-Chips verwenden und den "Madwifi" -Treiber gut unterstützen, und dann eine davon auswählen. Es ist wahrscheinlicher, dass sie einen Windows-Treiber haben, der den Überwachungsmodus gut unterstützt.
quelle