2

Я пытаюсь определить разницу между захватом кадров 802.11 в OSX следующими способами (10.8.5). Это немного эзотерично, но я использую "Вариант 2" для захвата кадров для последующего анализа, и мне интересно, что я что-то упустил.

Вариант 1: используйте "airportd":

$ sudo /usr /libexec /airportd en0 sniff

Вариант 2: используйте "airport", затем tcpdump:

sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport --channel = sudo tcpdump -I -P -i en0 -w /tmp/capture.pcap (или поочередно исключить -w и просмотреть пакеты в режиме реального времени).

Из того, что я могу сказать:

  • Обе команды, согласно значку wifi на OSX, переводят интерфейс в режим «мониторинга».
  • Обе команды выводят файл pcap, который доступен для чтения как в wireshark/tcpdump, так и в Eye PA.
  • Обе команды появляются для захвата кадров управления, контроля и данных.

Проблема: Вариант 1 отключает вас от сети. Это ожидается при переводе интерфейса в режим «монитор».

Вариант 2 НЕ отсоединяет вас, при условии, что вы установили канал на тот же канал, к которому вы сейчас подключены. Это имеет явное преимущество - поддерживать соединение во время захвата в режиме монитора.

Мой вопрос: вариант 2 не похоже, что он должен работать, или, более конкретно, не похоже, что я должен быть в состоянии оставаться подключенным, а также захватывать кадры в режиме монитора. На проводном сетевом адаптере вы можете быть «неразборчивым» и при этом отправлять кадры, хотя я не думал, что то же самое относится и к беспроводному сетевому адаптеру. Я подвергаю сомнению законность захвата кадров с вариантом 2?

|источник

1 ответ1

1

Я не пытался перехватывать пакеты в OSX раньше, но если "Вариант 2" позволяет вам оставаться на связи, это ограничит ваши возможности перехвата, поскольку это фактически "случайный" захват, а не "мониторинг". Я должен был бы предположить тогда, что интерфейс OSX не обеспечивает различие между двумя, и любой "захват" считается монитором (даже когда на самом деле неразборчиво).

Для захвата монитора требуется, чтобы устройство захвата поддерживало радио в пассивном состоянии прослушивания. Случайные захваты позволяют устройству захвата оставаться подключенным и передавать данные и прослушивать только тогда, когда они не передают (и в зависимости от драйвера, захват также может быть отфильтрован по текущему подключенному ESSID/BSSID/SSID). Как правило, для захвата беспроводных данных требуется захват монитора.

Чтобы объяснить, что я имею в виду, имейте в виду, что ваше устройство 802.11 может только передавать или принимать на частоте в любой данный момент времени. По крайней мере, для поддержания соединения существуют моменты, когда оно будет передавать, и вполне вероятно, что данные устройства будут отправлены в сеть в дополнение к этому минимуму.

В то время как это передает, у него нет никакого способа для захвата любых данных, которые могут быть переданы любым другим устройством. Обычно, если одновременно было два устройства, это приводит к коллизии, которую вы иногда можете определить по своему захвату. Если ваше устройство захвата участвовало в столкновении, вы бы не увидели это никоим образом, а имели бы полные данные, которые были переданы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .