Беспорядочный режим не работает с ubuntu и wirehark [закрыто]
Я использую Ubuntu Linux и установил на нем wirehark. Я прекрасно вижу входящий и исходящий трафик. Теперь я хочу видеть трафик с других устройств в моей локальной сети. Итак, я сделал:
$ ifconfig wlan0 promisc
Теперь я беру свой телефон, который находится в той же сети (LAN), и перехожу на stackoverflow.com. Теперь я возвращаюсь к wirehark, останавливаю захват, а затем фильтрую трафик с помощью http, но ничего не происходит. Что я пропустил?
Что вы пропустили, так это то, что неразборчивый режим захватывает только трафик, который видит ваша беспорядочная сетевая карта . У него нет волшебных сил выходить в сеть и собирать пакеты, предназначенные для других сетевых адаптеров. В современных сетях используются коммутаторы, которые проверяют адреса назначения пакетов и только отправляют его на порт, на который он должен перейти, вместо того, чтобы транслировать его на все порты (что и является традиционным Ethernet, воплощенным в разделяемых сетях).
Кроме того, несмотря на стандарты серии 802.11, использующие беспорядочный режим совместно используемой среды (радиоволны) (более правильно называемый «режимом монитора» в беспроводном мире), применялись методы среды передачи данных, такие как 10Base2, и эмуляция «концентраторов» на основе витой пары). ) может работать или не работать в зависимости от беспроводного набора микросхем и драйвера, потому что многие устройства реализованы таким образом, что они не позволяют достаточный контроль, чтобы фактически заставить физическое оборудование передавать пакеты, не предназначенные для станции, до ОС. Это также зависит от режима безопасности сети; WPA использует сеансовые ключи для каждого устройства, поэтому вы не можете видеть трафик к другим станциям, поскольку он зашифрован неизвестным вам ключом.
По "wlan0" я сделал вывод, что это сеть Wi-Fi. Это означает, что вам нужно снимать в режиме монитора . Если это "защищенная" сеть, использующая WEP или WPA / WPA2 для шифрования трафика, вам также потребуется предоставить пароль для сети в Wireshark, а для сетей WPA / WPA2 (которые, вероятно, являются наиболее защищенными сетями в наши дни. ), вам также необходимо будет захватить начальное «рукопожатие EAPOL» телефона, когда он подключается к сети, поэтому вам нужно перевести телефон в спящий режим (выключение должно перевести его в спящий режим), начать захват, а затем вывести его из спящего режима. включите его (включите) и получите доступ к переполнению стека.
См. раздел Linux на странице «Как выполнять захват в сети 802.11» и страницу «Как расшифровать трафик 802.11» в Wireshark Wiki.