Systemkonfiguration:
- MacBook Air mit Mountain Lion und drahtloser Verbindung zu einem Router.
- Wireshark ist installiert und erfasst Pakete (ich habe „alles im Promiscuous-Modus erfassen“ aktiviert)
- Ich filtere alle Pakete mit meiner Quell- und Ziel-IP mit dem folgenden Filter heraus (
ip.dst != 192.168.1.104 && ip.src != 192.168.1.104) - Im selben Netzwerk wie das MacBook verwende ich ein Android-Gerät (Verbindung über WLAN), um HTTP-Anfragen zu stellen.
Erwartete Ergebnisse:
- Auf dem MacBook ausgeführtes Wireshark erkennt die HTTP-Anfrage vom Android-Gerät.
Tatsächliche Ergebnisse:
- Ich sehe nur SSDP-Sendungen von
192.168.1.1
Frage:
Was muss ich tun, damit Wireshark, ähnlich wie Firesheep, die Pakete (insbesondere HTTP) von anderen Netzwerkgeräten im gleichen Netzwerk sehen und nutzen kann?
AKTUALISIEREN
- Wie kann ich in Wireshark den Datenverkehr anderer Computer in einem WLAN-Netzwerk erfassen?scheint zu implizieren, dass es nicht möglich ist
- Dies scheint mein Problem zu beschreiben:http://seclists.org/wireshark/2010/Jan/70
- Ich bin zuversichtlich, dass sich die Netzwerkschnittstelle im Promisc-Modus befindet, da ich beim
ifconfigAusführenen0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
Antwort1
Wenn Sie nicht über Ethernet mit Ihrem Heimrouter verbunden sind, verwendet dieser höchstwahrscheinlich einen Switch für seine LAN-Ports und keinen Hub. Somit hat jeder Port seine eigene Kollisionsdomäne. In einem Hub hingegen wird die Kollisionsdomäne von allen Ports gemeinsam genutzt und Sie würden den gesamten Datenverkehr auf jedem Port sehen.
Wenn Sie drahtlos verbunden sind, kann es zu einigen Problemen kommen. Erstens unterstützen die Treiber bestimmter drahtloser Karten den Promiscous-Modus nicht. Dagegen lässt sich nichts tun, es sei denn, Sie möchten Ihren eigenen Treiber schreiben. Zweitens: Wenn Ihr Netzwerk verschlüsselt ist und Sie nur Layer-2-Datenverkehr aus verschiedenen Quellen sehen und nicht die erwarteten Protokolle der höheren Schichten (was nicht der Fall zu sein scheint), müssen Sie den WEP-Schlüssel in Wireshark eingeben, damit es die Entschlüsselung durchführen kann. Die Entschlüsselung von WPA und WPA2 wird komplizierter, da ältere Versionen von Wireshark dies nicht unterstützen. Wenn es unterstützt wird, müssen Sie den gesamten Handshake zwischen dem Router und dem Gerät aufzeichnen ( EAPOL packets), da zwischen dem Gerät und dem Router eindeutige Schlüssel generiert werden.
Antwort2
Um den WLAN-Verkehr anderer Systeme zu erfassen, müssen Sie Ihren Netzwerkadapter in den Monitormodus versetzen. Dies ist eine spezielle WLAN-Anforderung. Unter Windows bedeutet dies, dass Sie einen speziellen Adapter wie AirPcap kaufen müssen. Verwenden Sie für Linux airmon-ng. Beim MacBook bin ich mir nicht sicher, wie das geht, aber ich sehe viele Google-Treffer zu diesem Thema. Es stimmt auch, dass Sie im Promiscuous-Modus sein möchten, aber das Hub-Ding wird nur für Ethernet benötigt.
Ich habe meine Netzwerkkarte in den Überwachungsmodus versetzt und konnte jede Menge anderen Datenverkehr in der Umgebung sehen, konnte aber immer noch keinen HTTP-/SMTP-/usw.-Datenverkehr auf Anwendungsebene von meinem lokalen WLAN-Netzwerk sehen.
Auf Anwendungsebene wird der Datenverkehr verschlüsselt, genau wie Fred Thomsen in seinem Beitrag sagt. Sie müssen recherchieren, wie Sie WireShark und Ihren AP einrichten, um diesen Datenverkehr zu entschlüsseln.
Antwort3
Wenn Ihr MacBook per Ethernet mit dem WLAN-Router verbunden ist, kann dies der Grund sein:
Wahrscheinlich fungiert der WLAN-Router als Switch (und nicht als Hub). Daher sieht das MacBook die HTTP-Pakete überhaupt nicht.