Среда: Домашняя сеть, работающая на канале 8 (я являюсь администратором, поэтому все пароли известны, и у меня есть физический доступ ко всем устройствам), к которому подключен ПК и ноутбук (оба находятся на расстоянии около 20 см от маршрутизатора)
Цель: использовать беспроводной модуль на ПК (под управлением Linux на виртуальной машине), чтобы прослушивать трафик ноутбука
Проблема: полученные данные не соответствуют ожиданиям
Я использую беспроводной модуль RaLink RT5370, который, в свою очередь, использует часть драйвера rt2800usb ядра. Вот вывод iwconfig
:
mon0 IEEE 802.11bgn Mode:Monitor Tx-Power=0 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
А вот и вывод ip link
:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: mon0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UNKNOWN mode DEFAULT group default qlen 1000
link/ieee802.11/radiotap 00:e1:b2:00:36:79 brd ff:ff:ff:ff:ff:ff
Я пытался захватывать трафик разными способами, но я предпочитаю использовать tcpdump:
tcpdump -n -w test.pcap -i mon0
После того, как я начал снимать на ПК, я обычно включал ноутбук, подключался к сети (чтобы я мог перехватить рукопожатие EAPOL), немного просматривал Интернет и затем прекращал захват. Теперь вот где начинаются мои проблемы. Я загружаю захваченный трафик в wireshark и замечаю, что примерно за 1 минуту, когда ноутбук использовал сеть, мне удалось перехватить от 600 до 700 пакетов. Подавляющее большинство, около 98% из них, - это кадры радиомаяка, передаваемые через маршрутизатор. Глядя на мою последнюю попытку, было захвачено 643 пакета, из которых 638 (99,2%) были широковещательными, а 5 - многоадресными, исходящими от ноутбука. В общем, ничего полезного не было записано. В чем может быть проблема и как я могу перехватить одноадресные передачи между ноутбуком и маршрутизатором?
Кажется, что большая часть документации в Интернете связана с настройкой сетевого интерфейса в режиме мониторинга и расшифровкой записанного трафика, но, я полагаю, я уже прибил первый, и последний бесполезен для меня, если я получил нет значимого трафика для начала.
tl; dr tcpdump, кажется, захватывает весь мусор, как мне сделать так, чтобы он захватывал одноадресные рассылки?
Примечание: OP из этого вопроса (Почему Wireshark не показывает пакеты высокого уровня, такие как ICMP/IP/UDP?(Отображаются только широковещательные пакеты). Похоже, что проблема похожая, но ей уже почти три года, и предложенная причина (аппаратная), по-видимому, не применима к моему случаю, так как я использую совершенно другое устройство.