Este modul promiscuu suficient pentru a adulmeca pachete într-o rețea wifi? (Securitatea informațiilor, Rețea, Sniffing)

BlackBrain a intrebat.
a intrebat.

Sunt conectat la rețeaua mea WiFi și vreau să capturez și să analizez pachetele pe care alți clienți le schimbă cu gateway-ul. Nu vreau să modific conținutul acestor pachete și nu am nevoie să citesc conținutul fiecărui pachet.

De fapt, configurația wlan este următoarea:

  • un router 192.168.1.1
  • laptopul pe care îl folosesc pentru a adulmeca traficul 192.168.1.9
  • smartphone-ul meu 192.168.1.2

deci vreau să pot vedea (o parte din) traficul dintre smartphone și router.


Pentru a atinge obiectivul am setat interfața wireless în modul promiscuu cu sudo ip link wlo1 promiscuous on și verific dacă acesta este activat cu netstat -i:

Kernel Interface table
Iface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enp8s0     1500 0     28962      0      1 0         22923      0      0      0 BMU
lo        65536 0      7294      0      0 0          7294      0      0      0 LRU
wlo1       1500 0     29469      0      0 0         12236      0      0      0 BMPRU

Site-ul P de pe coloana flag indică modul promiscuu, așa că presupun că este activat. Din moment ce modul promiscuu este activat, ar trebui să văd tot traficul pe care NIC-ul meu îl poate capta. Apoi deschid wireshark și încep să capturez traficul pe wlo1 interfață, dar nu văd niciun pachet de la sursa 192.168.1.2 și navighez pe internet cu smartphone-ul meu (deci, generez trafic).

Ce fac greșit?

EDIT: Am găsit problema.

Interfața este încă în modul gestionat. Am încercat să adaug manual o nouă interfață. iw phy phy0 info spune că NIC-ul meu suportă modul monitor, dar dacă încerc să adaug o nouă interfață cu sudo iw phy phy0 interface add mon0 type monitor primesc următorul mesaj:

[email protected]:~$ iw dev
phy#0
    Interface mon0
        ifindex 5
        wdev 0x3
        addr 34:68:95:03:48:17
        type managed
    Interface wlo1
        ifindex 3
        wdev 0x1
        addr 34:68:95:03:48:17
        type managed
        channel 7 (2442 MHz), width: 20 MHz, center1: 2442 MHz

ambele interfețe sunt în modul gestionat.

Aveți vreo idee?

Comentarii

  • V-ați uitat prin întrebările conexe de pe acest site?Există multe despre acest subiect –  > Por Neil Smithline.
  • Mi-am editat întrebarea. –  > Por BlackBrain.
  • De ce încercați modul monitor în partea de jos a întrebării când anterior vorbeați despre modul promiscuu? De asemenea, Wireshark are o opțiune pentru a activa automat modul promiscuu pe interfețele de captură. –  > Por multithr3at3d.
2 răspunsuri
Suzy Easton

Pentru a răspunde la întrebarea din linia subiectului, „Este modul promiscuu suficient pentru a adulmeca pachete într-o rețea wifi?”, răspunsul este da, capturarea pachetelor necesită doar un adaptor de rețea care poate fi pus în modul „monitor” sau „promiscuu”, adică ambele moduri funcționează….partea asta nu este atât de dificilă. (Ați menționat ambele moduri în editarea dvs.) Asta presupunând că folosiți un router NAT împreună cu un server DHCP… și așa este, nu-i așa?

Recunosc că tot ce am învățat despre rețele nu a fost prin școală, dar, acesta fiind scenariul, am sentimentul că switch-ul de rețea ar putea fi o problemă?

Am băut și eu vin, lol, dar la vechea mea locuință din Victoria, dacă te conectai la un port al routerului meu, nu vedeai NICI un trafic pe care îl trimiteam pe internet. Asta pentru că switch-ul de rețea știa unde să trimită traficul și trimitea traficul doar între porturile care trebuiau să îl vadă.

În mod alternativ, dar mai mult în direcția întrebării dvs., dacă v-ați uita la rețeaua mea wireless, nu ați avea nicio idee despre ce fac… switch-ul transmite doar traficul de difuzare sau traficul către care nu cunoaște destinația către toate porturile. Apoi, Wireless-ul, care este un Bridge, va transmite către Wireless doar ceea ce TREBUIE să fie trimis către partea Wireless a bridge-ului.

Acestea fiind spuse, există mai multe metode de a SNIFFING un switch, folosind fie un atac Man-in-the-middle, fie un atac de tip „flooding” al porturilor.

În orice caz, nu este vorba de adulmecarea pachetelor, ci mai degrabă de descifrarea, înțelegerea și utilizarea traficului interceptat, ceea ce reprezintă o formă de artă în sine. Ați menționat că doriți să analizați și pachetele… Este destul de dificil și, în câteva cazuri, pur și simplu nu este practic să se facă acest lucru. Adică, pentru a analiza cu adevărat, este dincolo de nivelul de îndemânare al majorității utilizatorilor, deși sunt sigur că există câteva genii pe Stack Exchange cu care ar trebui să bei o bere…

Mult succes în experiențele tale de învățare!

Comentarii

  • Nu, modul promiscuu nu va funcționa. Vedeți răspunsul meu pentru mai multe detalii. –  > Por multithr3at3d.
multithr3at3d

Nu, modul promiscuu nu este suficient pentru a adulmeca pachetele într-o rețea fără fir și va avea un efect foarte mic. Consultați acest răspuns pentru detalii de nivel scăzut.

Ceea ce aveți nevoie în schimb este modul monitor. Modul monitor permite plăcii de rețea să primească toate cadrele wireless de pe canalul curent.

Comanda pe care ați rulat-o ar trebui să funcționeze:

iw phy phy0 interface add mon0 type monitor

A existat vreo ieșire de eroare sau mesaje de eroare în dmesg? Puteți încerca și acest lucru pentru a obține același efect:

iw dev wlo1 interface add mon0 type monitor

Alternativ, dacă nu reușiți să creați un vif în modul monitor și sunteți sigur că placa acceptă acest mod, încercați să setați vif-ul existent în modul monitor:

ip link set down wlo1
iw dev wlo1 set monitor none
ip link set down wlo1

Desigur, cu acest mod, veți pierde conexiunea wireless actuală, deoarece nu mai aveți un vif în modul gestionat. Cu toate acestea, acest mod ar trebui să vă ofere cea mai mare flexibilitate, deoarece veți putea schimba liber canalul.