So versetzen Sie den drahtlosen Mac OS X-Adapter in den Überwachungsmodus

17

Ich suche nach einer Entsprechung von "iwconfig eth0 mode Monitor" in Mac OS.

Vom man iwconfig-Modus aus führt Monitor Folgendes aus:

"Der Knoten ist keiner Zelle zugeordnet und überwacht passiv alle Pakete auf der Frequenz"

networking osx wifi Hugo
quelle

Antworten:

30

Was Sie suchen, ist /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport. Es ist ein Binärbefehl, mit dem ich der Einfachheit halber ein Symbol gesetzt habe /usr/local/bin/.

Symlink erstellen:

sudo ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/local/bin/airport

Beispiel für das Schnüffeln im Monitormodus:

sudo airport en1 sniff 1

Dies tastet Kanal 1 ab und speichert eine PCAP- Erfassungsdatei in /tmp/airportSniffXXXXXX.pcap(wobei XXXXXX variiert). Sie können dies mit tcpdump -r <filename>oder durch Öffnen in anzeigen wireshark.

Führen Sie Folgendes aus, um nach aktiven Kanälen in der Nähe zu suchen, die Sie schnüffeln können:

sudo airport en1 -s

Obwohl Sie jeden Datenverkehr erfassen können, können Sie nur dann effektiv lesen, wenn das Netzwerk geöffnet ist oder Sie über den Verschlüsselungsschlüssel verfügen.

Bahamat
quelle
Es klappt. Nur eine Randnotiz, die Capture-Dateierweiterung ist .capund nicht .pcapwie beschrieben. (OS X Mavericks 10.9)
Vitim.us
1
das funktioniert auch in yosemite
jeremyforan
14

Sie können dies auch über die grafische Benutzeroberfläche tun, wenn dies für Sie einfacher ist.

In Mavericks:

  • Suchscheinwerfer ( Command+ Space) für "Drahtlose Diagnose"
  • Drücken Sie beim Öffnen der Anwendung Command+ 2oder gehen Sie zu Fenster> Dienstprogramme, um das Dienstprogrammfenster zu öffnen
  • Klicken Sie auf die Registerkarte Frame Capture
  • Benennen Sie die Ausgabedatei .wcap in .pcap um, um sie mit Eye PA zu verwenden
skywinder
quelle
Woah, Narnia! Ich wusste nicht einmal, dass es das gibt!
Matt
7

Übergeben Sie das Flag -I an tcpdump oder tshark (wireshark-Befehlszeilenprogramm).

Um zum Beispiel alles von den Radiotap-Headern bis zu den Paketen der Anwendungsschicht in einer Datei mit dem Namen 'save.pcap' zu speichern:

tcpdump -Ini en0 -w save.pcap

Oder um die 802.11-Verwaltungsrahmen für Prüfanforderungen live zu überprüfen:

tshark -Ini en0 -s 256 type mgt subtype probe-req

Beachten Sie, dass Sie unter OS X die Befehle als root ausführen oder sich selbst die Berechtigung erteilen müssen, auf die Paketfilter des Kernels zuzugreifen:

sudo chmod 0644 /dev/bpf*
uwotm8
quelle
0

Unter OSX ist en0 standardmäßig Ihr Ethernet-Port, während en1 Ihr Flughafen ist

Versuchen:

iwconfig en1 mode monitor
h3rrmiller
quelle
2
Es gibt keinen solchen Befehl unter Mac OS X.
Bahamat
seltsam, ich habe es gerade ausgeführt ... und es hat funktioniert ... und danke für das Ändern der Schnittstellennamen, habe das vergessen
h3rrmiller
1
Sie müssen es von einer anderen Stelle erhalten haben, es ist nicht Teil von Mac OS X.
Bahamat
2
„standardmäßig auf OSX en0 ist Ihr Ethernet - Port“ Wenn Sie haben einen Ethernet - Anschluss. Mein MacBook Pro hat keinen Ethernet-Anschluss. en0 ist die AirPort-Schnittstelle, und wenn ich einen Thunderbolt-to-Ethernet-Adapter einstecke, wird sie zu en2.
3
iwconfig ist ein Linux-Befehl. Sind Sie sicher, dass Sie diesen Befehl auf einem Mac mit OS X eingegeben haben und wenn ja, woher haben Sie das Programm iwconfig?
0

sudo tcpdump -Ii en0 > sniff

mithunpaul
quelle