Wireshark (Linux) перехватывает только пакеты с и на мой компьютер в случайном режиме

Question

Я установил Wireshark и настроил его так, чтобы мой пользователь мог запускать его со всеми необходимыми привилегиями (я включил dumpcap и добавил моего пользователя в группу wireshark , а затем перезапустил).

Устройства показаны, и захват начинается хорошо. Проблема заключается в том, что захватываются только пакеты, отправленные и направленные на ПК, на котором работает Wireshark. Очевидно, я включил режим Promiscuous в диалоговом окне параметров захвата.

Например, если я запускаю Wireshark, а затем работаю в Интернете на Firefox, пакеты захватываются. Если я начну просматривать с помощью смартфона, пакет не будет перехвачен (ПК и смартфон подключены к одной и той же домашней сети WiFi).

Я работаю с WiFi- устройством wlan0 с драйверами ath9k . Здесь вы видите выходные данные ifconfig wlan0 и lspci | grep Wireless:

lorenzo@XUBUNTU:~$ ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 5c:ac:4c:32:dc:1d  
          indirizzo inet:192.168.1.100  Bcast:192.168.1.255  Maschera:255.255.255.0
          indirizzo inet6: fe80::5eac:4cff:fe32:dc1d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1585 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1782 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:970355 (970.3 KB)  Byte TX:401610 (401.6 KB)

lorenzo@XUBUNTU:~$ lspci | grep Wireless
03:00.0 Network controller: Atheros Communications Inc. AR9287 Wireless Network Adapter (PCI-Express) (rev 01)

Чего я хочу добиться, так это исследовать сетевой трафик моего смартфона, используя мой компьютер, на котором установлен Wireshark, оба подключены к одной и той же домашней точке доступа WiFi.

Пожалуйста, помогите мне!!

---

PS: я тоже публиковал этот вопрос на AskUbuntu , но он мне не помог. Я опубликовал здесь только потому, что вижу больше ответов, связанных с Wireshark, чем здесь ... Простите за это.

Answer 1

Использование проводного соединения было бы самым простым способом сделать это.

Я предполагаю, что вы не используете WEP, поскольку он "просто работает", поэтому вы должны использовать WPA. Wireshark не может дешифровать пакеты WPA автоматически, ему нужно знать предварительный общий ключ (PSK), настроенный в настройке Wi-Fi.

В wireshark, перейдите в меню View и выберите Wireless Toolbar. Затем нажмите «Ключи» и введите SSID и PSK для своей локальной сети. Выберите это на панели инструментов после ввода и используйте wireshark в качестве расшифровщика.

Тогда вы можете начать захват. Обратите внимание, что для расшифровки пакетов других устройств wireshark должен увидеть полное подтверждение связи EOPOL. Лучший способ сделать это - отключить и снова включить беспроводную связь на смартфоне после начала захвата.

Answer 2

Случайный режим - это не то, что вы думаете в современной сети Ethernet, которая использует топологию "звезда" с коммутаторами. Беспроводная связь 802.11 - это многоточечная конфигурация. Проводной 802.3 обычно является двухточечным при использовании коммутаторов. Хост будет получать только кадры, адресованные ему, или кадры, которые были переданы или многоадресные хост не сможет получать одноадресные пакеты, не адресованные ему, как только коммутатор узнает порт для этого адреса. Если вы хотите видеть все кадры Ethernet, то ваш порт Ethernet должен быть в режиме Promiscuous и подключен к концентратору (а не к коммутатору). Помните, что некоторые поздние модели "концентраторы" на самом деле являются коммутаторами; На сайте Wireshark есть страница, на которой есть больше информации по этой теме.

Одним из способов захвата большей части трафика Ethernet является установка концентратора Ethernet между кабельным /ADSL-модемом / маршрутизатором и точкой беспроводного доступа. Подключите хост-проволоку ПК к концентратору, и вы сможете захватывать весь трафик между маршрутизатором и WAP. Если ваш модем / маршрутизатор и WAP объединены в одно устройство, вам потребуется другая точка беспроводного доступа для настройки. Вы должны настроить wireshark как посредника для прослушивания всего локального интернет-трафика.

WAN--- modem/router ------ HUB ----- wireless access   ~~~~   smartphone
                            |              point
                            |
                            |
                            PC

Answer 3

Беспроводная сеть не работает как проводная. Вы получите от маршрутизатора только те пакеты, которые отправлены на ваш компьютер. Вы должны понимать, что частоты и другие физические транспортные параметры, используемые вашим телефоном, не обязательно совпадают с используемыми вашим компьютером, что оба потока, вероятно, зашифрованы и т.д. Вы всегда можете попробовать все контролировать, используя такие инструменты, как airodump или Кисмет, но это не значит, что ты сможешь извлечь из этого что-то полезное. Единственный надежный способ перехватить трафик вашего телефона с вашего компьютера - посмотреть на него прямо внутри маршрутизатора (который видит всю сеть). Надеюсь, это поможет.

Answer 4

Что я не знал, так это то, почему перехват пакетов не работает в беспроводной сети так же, как в многоточечной кабельной сети.

Потому что WEP и WPA/WPA2 были специально разработаны, чтобы не работать! Трафик зашифрован, чтобы произвольные люди не могли наблюдать за трафиком в беспроводных сетях. Чтобы расшифровать этот трафик (который вам придется захватывать в режиме мониторинга), см. Вики-статью Wireshark по расшифровке трафика 802.11.

Answer 5

При поиске решения я обнаружил следующую настройку для прослушивания беспроводного соединения смартфона, возможно, это поможет:

http://www.zinus.de/index.html%3Fp=603.html