Wireshark zeigt keine Pakete von anderen Netzwerkgeräten an, auch nicht im Promisc-Modus

5

Systemkonfiguration:

  1. MacBook Air mit Mountain Lion und drahtloser Verbindung zu einem Router.
  2. Wireshark installiert und Pakete erfasst (ich habe "Alle im Promiscuous-Modus erfassen" aktiviert)
  3. Ich filtere alle Pakete mit meiner Quell- und Ziel-IP mit dem folgenden Filter aus ( ip.dst != 192.168.1.104 && ip.src != 192.168.1.104)
  4. Im selben Netzwerk wie das MacBook verwende ich ein Android-Gerät (Verbindung über WLAN), um HTTP-Anfragen zu stellen.

Erwartete Ergebnisse:

  1. Wireshark, das auf dem MacBook ausgeführt wird, erkennt die HTTP-Anforderung vom Android-Gerät.

Tatsächliche Ergebnisse:

  1. Ich sehe nur SSDP-Sendungen von 192.168.1.1

Frage:
Was muss ich tun, damit Wireshark wie Firesheep die Pakete (insbesondere HTTP) von anderen Netzwerkgeräten im selben Netzwerk sehen und verwenden kann?


AKTUALISIEREN

  1. Wie kann ich den Datenverkehr anderer Computer in Wireshark in einem WiFi-Netzwerk erfassen? scheint zu implizieren, dass es nicht möglich ist
  2. Dies scheint mein Problem zu beschreiben: http://seclists.org/wireshark/2010/Jan/70
  3. Ich bin zuversichtlich, dass sich die Netzwerkschnittstelle im Promisc-Modus befindet, da ich beim Ausführen Folgendes ifconfigerhalteen0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
wireshark eb80
quelle

Antworten:

1

Wenn Sie nicht über Ethernet mit Ihrem Heimrouter verbunden sind, verwendet der Heimrouter höchstwahrscheinlich einen Switch für seine LAN-Ports und keinen Hub, sodass jeder Port eine eigene Kollisionsdomäne hat, wohingegen in einem Hub die Kollisionsdomäne ist Wird auf alle Ports aufgeteilt und Sie sehen den gesamten Datenverkehr auf jedem Port.

Wenn Sie drahtlos verbunden sind, kann es einige Probleme geben. Erstens unterstützen bestimmte Treiber für drahtlose Karten das Aktivieren des Promiscous-Modus nicht. Daran kann nichts geändert werden, es sei denn, Sie möchten selbst etwas schreiben. Zweitens: Wenn Ihr Netzwerk verschlüsselt ist und Sie nur Layer-2-Datenverkehr aus verschiedenen Quellen sehen und nicht die erwarteten Protokolle der höheren Ebene (was anscheinend nicht der Fall ist), müssen Sie den WEP-Schlüssel in wireshark eingeben, damit er verarbeitet werden kann die Entschlüsselung. Die WPA- und WPA2-Entschlüsselung wird komplizierter, da ältere Versionen von wireshark dies nicht unterstützen. Wenn dies unterstützt wird, müssen Sie den gesamten Handshake erfassen, der zwischen dem Router und dem Gerät stattfindet ( EAPOL packets), da eindeutige Schlüssel zwischen dem Gerät generiert werden und Router.

Fred Thomsen
quelle
Ich bin drahtlos verbunden und mit WPA im Netzwerk authentifiziert. Ich sehe immer noch keine Pakete von anderen authentifizierten Geräten im Netzwerk. Muss ich die IP- oder MacAdresse der anderen Computer imitieren?
eb80 31.10.12
1
Nein, Sie müssen Ihren MAC oder Ihre IP nicht fälschen. Gehen Sie zu wiki.wireshark.org/HowToDecrypt802.11 und stellen Sie sicher, dass Sie die Entschlüsselung korrekt eingerichtet haben. Wenn es falsch eingerichtet ist, wird verschlüsselter Datenverkehr nur auf Ebene 2 angezeigt. Außerdem müssen Sie den EAPOL-Handshake erfassen (Sie können EAPOL-Pakete filtern), damit Wireshark im laufenden Betrieb entschlüsselt werden kann. Schalten Sie also das WLAN des Geräts, das Sie erfassen möchten, aus und wieder ein. Einige hilfreiche Details hier, aber für eine Linux-Box: wolfhoundsec.blogspot.com/2010/06/… . Schließlich haben Sie eine ws-Version nach 0.99.5.
Fred Thomsen
ähm ... ich habe gerade eine Stunde damit verbracht und kann es immer noch nicht zum Laufen bringen. 1. Ich habe nach "eapol" gefiltert und sehe vier Paketrahmen. 2. Ich habe meine WPA-PWD-Informationen zu den Schlüsseln hinzugefügt. 3. Ich habe alle verschiedenen Kombinationen von FCS und Schutzbit umgeschaltet. 4. Ich verwende Wireshark 1.8.3.
eb80
1

Um den Wi-Fi-Verkehr anderer Systeme zu erfassen, müssen Sie Ihren Netzwerkadapter in den Überwachungsmodus versetzen. Dies ist eine Wi-Fi-spezifische Anforderung. Unter Windows bedeutet dies, dass Sie einen speziellen Adapter wie AirPcap kaufen. Für Linux benutzen Sie airmon-ng. Im MacBook bin ich mir nicht sicher, wie, aber ich sehe viele Google-Hits zu diesem Thema. Es ist auch wahr, dass Sie im Promiscuous-Modus sein möchten, aber das Hub-Ding wird nur für Ethernet benötigt.

Ich versetzte meine Netzwerkkarte in den Überwachungsmodus und konnte viel anderen Datenverkehr sehen, konnte aber immer noch nicht HTTP / SMTP / etc. Datenverkehr auf Anwendungsebene von meinem lokalen WiFi-Netzwerk.

Auf Anwendungsebene wird der Datenverkehr verschlüsselt, wie Fred Thomsen in seinem Post sagt. Sie müssen untersuchen, wie WireShark und Ihr AP eingerichtet werden, um diesen Datenverkehr zu entschlüsseln.

Matt Shirilla
quelle
Ich habe eine Weile damit verbracht, dies zu googeln, und ich habe auch TCPDump über die Befehlszeile verwendet. Ich konnte meine Netzwerkkarte einfach nicht dazu bringen, drahtlosen Verkehr von anderen Hosts im selben drahtlosen Netzwerk zu erkennen. Ich versetzte meine Netzwerkkarte in den Überwachungsmodus und konnte eine Menge anderen Datenverkehrs sehen, konnte aber immer noch nicht HTTP / SMTP / etc. Datenverkehr auf Anwendungsebene von meinem lokalen WiFi-Netzwerk. Irgendwelche anderen Ideen?
eb80 31.10.12
Wie Matt Shirilla sagte: "Auf Anwendungsebene wird der Datenverkehr verschlüsselt, so wie es Fred Thomsen in seinem Post sagt. Sie müssen untersuchen, wie WireShark und Ihr AP eingerichtet werden, um diesen Datenverkehr zu entschlüsseln." Weitere Informationen finden Sie auf der Wireshark Wiki-Seite "So entschlüsseln Sie 802.11" .
0

Wenn Ihr Macbook über Ethernet mit dem WLAN-Router verbunden ist, könnte dies der Grund sein:

Wahrscheinlich fungiert der WLAN-Router als Switch (und nicht als Hub). Das MacBook kann daher die HTTP-Pakete überhaupt nicht sehen.

Aditya Naidu
quelle
Ich bin über WLAN (Schnittstelle en0) mit dem WLAN-Router verbunden.
Wie kann ich das MacBook dann als Hub einsetzen?