1

Я собираю трафик в моей домашней беспроводной сети с помощью wireshark. Для этого мне пришлось: - установить новый интерфейс монитора из моего беспроводного интерфейса, используя скрипт airmon-ng; включить смешанный режим на интерфейсе моего монитора в Wireshark.

Я не до конца понимаю, что я сделал, и почему это было необходимо. Google не дал никакого соответствующего ответа, так как поиск по ключевым словам airmon-ng или aircrack-ng ведет к обучению взлому защищенных WEP-сетей ... Я нашел исходный код airmon-ng, который бесцельно бродил по моим /sys / устройствам.

Я понимаю, что по умолчанию беспроводные карты фильтруют пакеты так, что только те, которые отправлены на него (правильный MAC-адрес или широковещательный), пересылаются в систему. Вот мои вопросы:

  1. Это аппаратная или программная фильтрация (драйвер?)?
  2. При чем тут airmon-ng?
  3. Почему нельзя включить режим мониторинга на некоторых устройствах? Это проблема с драйверами?
  4. Зачем нужно создавать другой интерфейс?
  5. Есть ли параллель с интернет-интерфейсом, получающим трафик от хаба? Я имею в виду, что пакеты предварительно фильтруются в этой конфигурации?
  6. Какова цель флажка «неразборчивый режим» в wireshark, если вся работа выполняется на более низком уровне?

Я прошу прощения за эти вопросы noob, это не моя область ;-) Спасибо!

|источник

1 ответ1

2

Во-первых, обратите внимание, что режим Promisc и режим монитора - это разные вещи в Wi-Fi:

  • "Случайный" режим отключает фильтрацию кадров L2 с другим MAC-адресом назначения. Но в Wi-Fi вы по-прежнему ограничены получением только данных из одной сети.

  • Режим "Монитор" отключает фильтрацию на L1, так что вы видите все, что может принимать радиостанция (включая другие сети; контрольные кадры, такие как маяки; а иногда даже материал с других каналов).

(Между тем, в сетевом Ethernet это всего лишь один "беспорядочный" режим.)

Это аппаратная или программная фильтрация (драйвер?)?

Обычно это аппаратное обеспечение - экономит значительное количество энергии по сравнению с фильтрацией на основе процессора.

Что делает airmon-ng?

С современными беспроводными драйверами на основе nl80211 это примерно эквивалентно:

iw phy0 interface add mon0 type monitor
...
iw mon0 interface del

Там много кода только для совместимости со старыми драйверами (WEXT и другие странные вещи).

Почему нельзя включить режим мониторинга на некоторых устройствах? Это проблема с драйверами?

Это варьируется - иногда драйвер не поддерживает его, а иногда прошивка на самом устройстве не позволяет это.

Зачем нужно создавать другой интерфейс?

Вот как устроен nl80211. Может быть , можно переключить управляемый интерфейс в режиме мониторинга , хотя.

Есть ли параллель с интернет-интерфейсом, получающим трафик от хаба? Я имею в виду, что пакеты предварительно фильтруются в этой конфигурации?

Да, это немного похоже. И Wi-Fi, и концентратор Ethernet являются сетями с общей средой. все хозяева получают все и просто выбрасывают то, что не хотят.

[W] Какова цель флажка «неразборчивый режим» в wireshark, если вся работа выполняется на более низком уровне?

См. Выше - это намного более старая настройка, которая может быть полезна для Ethernet или других типов соединений.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .