Wiresharkはこのデバイスとの間のパケットのみをキャプチャします

tag-icon tag-icon wireshark
Wiresharkはこのデバイスとの間のパケットのみをキャプチャします

私は Ubuntu 14.04 で Wireshark を使用しており、ネットワーク内の他のデバイスの Wi-Fi トラフィックをスニッフィングしようとしています。Wireshark または tshark を wlan0 で実行し、パケットのキャプチャを開始して ping を送信したり、電話でいくつかのページを開いたりしますが、Ubuntu ラップトップではそれがキャプチャされません。自分の IP から他の IP アドレスへのパッケージ、他の IP アドレスから自分の IP へのパッケージ、およびブロードキャスト パケットのみが表示されます。

wlan0 の無差別モードを手動でオンにしてもsudo ip link set wlan0 promisc on効果はありません。

私の WiFi アダプターはプロミスキャス モードとモニター モードの両方を使用できるようです。そうするとsudo airmon-ng start wlan0、新しいmon0インターフェイスが表示され、Wireshark でそのパッケージをキャプチャできますが、これは必要なことではありません。mon0 上のパッケージはすべてプロトコル 802.11 であり、wlan0 のような tcp、icmp などではありません。

アップデート

Ubuntu の NetworkManager または他の何かが Wireshark に干渉している可能性を排除することにしたので、Kali Linux を試してみました。

私が実際に使用している手順は次のとおりです。

  1. Kali Linuxをロードする
  2. gnome ワイヤレス ネットワーク ウィジェットを使用してホーム ネットワークに接続します。
  3. Wireshark を実行し、キャプチャ オプションを押して、wlan0 をチェックし、Prom. モードが有効で Mon. モードが無効になっていることを確認します。その他はすべてデフォルトのままにします。
  4. スタートを押す
  5. 携帯電話から Kali Linux ラップトップの IP アドレスを ping する
  6. 私の携帯電話のIPアドレスから私のKaliラップトップのIPへのICMPパケットを見ることができることに注目してください。
  7. 私の携帯電話から8.8.8.8にpingする
  8. 私の携帯電話の IP からどこかへのパケットは確認できませんが、「Netgear_d9:19:e8」(私のルーターだと思います) から「SamsungE_2d:ad:da」(私の携帯電話だと思います) への LLC プロトコルのパケットは確認できます。

答え1

airmon-ng を使用すると問題を解決できると思います (これは Kali にデフォルトでインストールされているはずです)。

回答者カート・ノックナーask.wireshark.org で ソース

ifconfig -a

wlan0 または wlan1 インターフェースが表示されますか?

いいえの場合、ワイヤレス カードはカーネルによって認識されておらず、Wireshark では何もできません。ここで停止し、Linux ディストリビューション (Ubuntu、Fedora など) のユーザー フォーラムのユーザーに、ワイヤレス カード用の動作するドライバーを追加する方法を尋ねてください。

wlan0/1が表示された場合は、

sudo airmon-ng start wlan0

または

sudo airmon-ng start wlan1

キャプチャするワイヤレス インターフェイスによって異なります。このコマンドは、次のメッセージを報告します。

monitor mode enabled on mon0

次に、tcpdump および/または dumpcap を使用して mon0 でキャプチャします。

sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap

または

sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap

次にそのファイルをWiresharkで開きます

wireshark -nr /var/tmp/wlan.pcap

答え2

プロミスキャス モードでは、Wi-Fi デバイスで期待どおりの動作をすることはほとんどありません。モニター モードでキャプチャする必要があります (回避策はありません)。

mon0上のパッケージはすべてプロトコル802.11です

これは、WEP または WPA/WPA2 暗号化を使用して保護されたネットワーク上にいるためです。Wireshark にネットワークのパスワードを提供する必要があります。また、WPA/WPA2 を使用しているネットワーク (ほとんどの保護されたネットワークで使用されています) の場合は、トラフィックを復号化する各デバイスをネットワークから強制的に切断し、キャプチャを開始した後にネットワークに再接続して、最初の EAPOL ハンドシェイクをキャプチャする必要があります。電話やタブレットの場合は、電源をオフにして再度オンにするだけで十分です。ラップトップの場合は、カバーを閉じて再度開くだけで十分です (スリープ状態にして、再度起動する必要があります)。

見るWireshark wiki の「802.11 を復号化する方法」ページ詳細については。

関連情報