2

Среда: Домашняя сеть, работающая на канале 8 (я являюсь администратором, поэтому все пароли известны, и у меня есть физический доступ ко всем устройствам), к которому подключен ПК и ноутбук (оба находятся на расстоянии около 20 см от маршрутизатора)
Цель: использовать беспроводной модуль на ПК (под управлением Linux на виртуальной машине), чтобы прослушивать трафик ноутбука
Проблема: полученные данные не соответствуют ожиданиям

Я использую беспроводной модуль RaLink RT5370, который, в свою очередь, использует часть драйвера rt2800usb ядра. Вот вывод iwconfig:

mon0      IEEE 802.11bgn  Mode:Monitor  Tx-Power=0 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

А вот и вывод ip link:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: mon0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UNKNOWN mode DEFAULT group default qlen 1000
    link/ieee802.11/radiotap 00:e1:b2:00:36:79 brd ff:ff:ff:ff:ff:ff

Я пытался захватывать трафик разными способами, но я предпочитаю использовать tcpdump:

tcpdump -n -w test.pcap -i mon0

После того, как я начал снимать на ПК, я обычно включал ноутбук, подключался к сети (чтобы я мог перехватить рукопожатие EAPOL), немного просматривал Интернет и затем прекращал захват. Теперь вот где начинаются мои проблемы. Я загружаю захваченный трафик в wireshark и замечаю, что примерно за 1 минуту, когда ноутбук использовал сеть, мне удалось перехватить от 600 до 700 пакетов. Подавляющее большинство, около 98% из них, - это кадры радиомаяка, передаваемые через маршрутизатор. Глядя на мою последнюю попытку, было захвачено 643 пакета, из которых 638 (99,2%) были широковещательными, а 5 - многоадресными, исходящими от ноутбука. В общем, ничего полезного не было записано. В чем может быть проблема и как я могу перехватить одноадресные передачи между ноутбуком и маршрутизатором?

Кажется, что большая часть документации в Интернете связана с настройкой сетевого интерфейса в режиме мониторинга и расшифровкой записанного трафика, но, я полагаю, я уже прибил первый, и последний бесполезен для меня, если я получил нет значимого трафика для начала.

tl; dr tcpdump, кажется, захватывает весь мусор, как мне сделать так, чтобы он захватывал одноадресные рассылки?

Примечание: OP из этого вопроса (Почему Wireshark не показывает пакеты высокого уровня, такие как ICMP/IP/UDP?(Отображаются только широковещательные пакеты). Похоже, что проблема похожая, но ей уже почти три года, и предложенная причина (аппаратная), по-видимому, не применима к моему случаю, так как я использую совершенно другое устройство.

1 ответ1

2

Для захвата в сети Wi-Fi одноадресного трафика, который не отправляется или не захватывает компьютер, вам, вероятно, потребуется захватить в режиме мониторинга. Статья Wireshark Wiki о захвате WLAN дает много подробностей об этом; способ захвата в режиме монитора зависит от ОС - более новые версии libpcap в ОС, отличных от Windows, и текущие версии Wireshark пытаются разрешить вам это, установив флажок, но по разным причинам это не обязательно работать в Linux или * BSD, и совсем не работает в Windows (для захвата в режиме монитора в Windows вам потребуется захватить с помощью такого инструмента, как Microsoft Network Monitor или использовать устройство AirPcap с Wireshark).

Обратите внимание, что если сеть, в которой вы находитесь, "защищена" с использованием WEP или WPA/WPA2, вам потребуется ее расшифровка; подробности об этом есть в статье Wireshark Wiki по расшифровке 802.11 - обратите внимание, что для WPA/WPA2 вам нужно будет захватывать трафик, который появляется, когда другие хосты связываются с сетью, поэтому вам может потребоваться отключить мобильные телефоны до того, как начните захват трафика и включите их снова после начала захвата. Также обратите внимание, что фильтры захвата работают с незашифрованными пакетами, поэтому, если трафик зашифрован, вы не можете использовать фильтры захвата для чего-либо на уровне IP (например, IP-адреса) или выше, вы можете фильтровать только на уровне MAC (MAC). адреса, типы фреймов и т. д.). Однако вы можете использовать фильтры отображения после расшифровки трафика.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .