Wireshark не отображает пакеты с других сетевых устройств, даже в режиме Promisc

Question

Настройка системы:

1. MacBook Air работает под управлением Mountain Lion и без проводов подключается к роутеру.
   
2. Wireshark установлен и перехватывает пакеты (я проверил "захватить все в случайном режиме")
   
3. Я отфильтровываю все пакеты с моим IP-адресом источника и назначения, используя следующий фильтр (ip.dst != 192.168.1.104 && ip.src != 192.168.1.104)
   
4. В той же сети, что и MacBook, я использую устройство Android (подключение через WiFi) для выполнения HTTP-запросов.
   

Ожидаемые результаты:

1. Wireshark, работающий на MacBook, видит HTTP-запрос от устройства Android.
   

Фактические результаты:

1. Я вижу только SSDP трансляции с 192.168.1.1
   

Вопрос:
Что мне нужно сделать, чтобы Wireshark, как и Firesheep, мог видеть и использовать пакеты (особенно HTTP) от других сетевых устройств в той же сети?

ОБНОВИТЬ

1. Как мне перехватить трафик других компьютеров в Wireshark по WiFi-сети? кажется, подразумевает, что это невозможно
   
2. Это, кажется, описывает мою проблему: http://seclists.org/wireshark/2010/Jan/70
3. Я уверен, что сетевой интерфейс находится в режиме promisc, потому что когда я запускаю ifconfig я получаю en0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500

Answer 1

Чтобы захватывать трафик Wi-Fi других систем, вам необходимо перевести сетевой адаптер в режим мониторинга, это требование относится к Wi-Fi. В Windows это означает покупку специального адаптера, такого как AirPcap. Для Linux используйте airmon-ng. В MacBook я не уверен, как, но вижу много хитов Google по этому вопросу. Также верно, что вы хотите быть в случайном режиме, но хаб нужен только для Ethernet.

Я перевел сетевой адаптер в режим мониторинга, и я мог видеть много другого трафика, но все равно не мог видеть HTTP/SMTP/ и т.д. трафик на уровне приложения из моей локальной сети WiFi.

На уровне приложений трафик будет зашифрован так, как говорит Фред Томсен в своем посте. Вам нужно будет изучить, как настроить WireShark и вашу точку доступа для расшифровки этого трафика.

Answer 2

Если вы не подключены через Ethernet к домашнему маршрутизатору, скорее всего, домашний маршрутизатор, а не домашний маршрутизатор, использует коммутатор для своих портов LAN, а не концентратор, поэтому у каждого порта есть свой собственный домен коллизий, тогда как в концентраторе домен коллизий общий для всех портов, и вы увидите весь трафик на каждом порту.

Если вы подключены по беспроводной сети, могут возникнуть некоторые проблемы. Во-первых, некоторые драйверы беспроводных карт не поддерживают перевод в смешанный режим. С этим ничего не поделаешь, если ты не хочешь написать свой. Во-вторых, если ваша сеть зашифрована и вы видите только трафик 2-го уровня из различных источников, а не ожидаемые протоколы более высокого уровня (что не соответствует действительности), то вы должны ввести ключ WEP в wireshark, чтобы он мог обрабатывать расшифровка. Расшифровка WPA и WPA2 усложняется, так как старые версии wireshark не поддерживают его, и, если он поддерживается, необходимо зафиксировать полное рукопожатие, происходящее между маршрутизатором и устройством (EAPOL packets), поскольку между ключами генерируются уникальные ключи устройство и роутер.

Answer 3

Если ваш Macbook подключен через Ethernet к WiFi-маршрутизатору, это может быть причиной:

Вероятно, маршрутизатор WiFi действует как коммутатор (а не концентратор). И, следовательно, MacBook вообще не видит HTTP-пакетов.