Ich verwende Wireshark auf Ubuntu 14.04 und versuche, den WLAN-Verkehr anderer Geräte in meinem Netzwerk abzuhören. Ich führe Wireshark oder Tshark auf WLAN0 aus, fange an, Pakete zu erfassen und sende einige Pings oder öffne einige Seiten auf meinem Telefon, aber mein Ubuntu-Laptop erfasst das nicht – es sieht nur Pakete von seiner eigenen IP zu anderen IP-Adressen, von anderen IP-Adressen zu seiner eigenen IP und Broadcast-Pakete.
Das manuelle Aktivieren des Promiscuous-Modus für wlan0 sudo ip link set wlan0 promisc onhilft nicht.
Es sieht so aus, als ob mein WLAN-Adapter sowohl den Promiscuous-Modus als auch den Monitor-Modus verwenden kann, denn ich kann das tun sudo airmon-ng start wlan0und eine neue mon0Schnittstelle wird angezeigt und ich kann ihre Pakete mit Wireshark erfassen, aber das ist nicht das, was ich brauche. Diese Pakete auf mon0 sind alle vom Protokoll 802.11 und nicht TCP, ICMP usw. wie auf wlan0.
Aktualisieren
Ich wollte die Möglichkeit ausschließen, dass der NetworkManager von Ubuntu oder ein anderes Programm Wireshark stört, und habe es daher mit Kali Linux versucht.
Hier sind die genauen Schritte, die ich verwende:
- Kali Linux laden
- Stellen Sie mithilfe des Widgets „Drahtlosnetzwerke“ von Gnome eine Verbindung zu meinem Heimnetzwerk her.
- Führen Sie Wireshark aus, drücken Sie Capture Options, überprüfen Sie wlan0, überprüfen Sie, ob der Prom.-Modus aktiviert und der Mon.-Modus deaktiviert ist, lassen Sie alles andere auf den Standardeinstellungen
- drücke Start
- Pingen Sie die IP-Adresse meines Kali-Linux-Laptops von meinem Telefon aus
- Beachten Sie, dass ich ICMP-Pakete von der IP-Adresse meines Telefons zur IP-Adresse meines Kali-Laptops und umgekehrt sehen kann
- Ping 8.8.8.8 von meinem Telefon
- Beachten Sie, dass ich keine Pakete von der IP meines Telefons irgendwohin sehen kann, aber ich kann Pakete des LLC-Protokolls von „Netgear_d9:19:e8“ (das ist wohl mein Router) zu „SamsungE_2d:ad:da“ (das ist wohl mein Telefon) sehen.
Antwort1
Ich glaube, Sie könnten Ihr Problem mit airmon-ng lösen (dies sollte auf Kali standardmäßig installiert sein).
Antwort bereitgestellt vonKurt Knochnerauf ask.wireshark.org Quelle
ifconfig -a
Sehen Sie eine WLAN0- oder WLAN1-Schnittstelle?
Wenn nein, wird Ihre WLAN-Karte von Ihrem Kernel nicht erkannt und Wireshark kann nichts dagegen tun. Hören Sie hier auf und fragen Sie die Leute im Benutzerforum Ihrer Linux-Distribution (Ubuntu, Fedora usw.), wie Sie einen funktionierenden Treiber für Ihre WLAN-Karte hinzufügen.
Wenn Sie wlan0/1 sehen, fahren Sie mit fort
sudo airmon-ng start wlan0
oder
sudo airmon-ng start wlan1
abhängig davon, welche drahtlose Schnittstelle Sie erfassen möchten. Dieser Befehl sollte die folgende Meldung ausgeben:
monitor mode enabled on mon0
Erfassen Sie jetzt auf mon0 mit tcpdump und/oder dumpcap.
sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap
oder
sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap
Öffnen Sie dann die Datei mit Wireshark
wireshark -nr /var/tmp/wlan.pcap
Antwort2
Der Promiscuous-Modus führt auf Wi-Fi-Geräten selten oder nie zu dem gewünschten Ergebnis. Sie müssen im Monitormodus aufnehmen. (Nein, hier gibt es keine Problemumgehung.)
Diese Pakete auf mon0 sind alle vom Protokoll 802.11
Das liegt daran, dass Sie sich in einem geschützten Netzwerk befinden, das WEP- oder WPA/WPA2-Verschlüsselung verwendet. Sie müssen Wireshark das Passwort für das Netzwerk mitteilen und bei Netzwerken, die WPA/WPA2 verwenden (was bei den meisten geschützten Netzwerken der Fall ist), müssen Sie für jedes Gerät, dessen Datenverkehr Sie entschlüsseln möchten, die Verbindung zum Netzwerk trennen und nach Beginn der Aufzeichnung erneut herstellen, damit Sie den anfänglichen EAPOL-Handshake erfassen. Bei einem Telefon oder Tablet sollte es ausreichen, sie aus- und wieder einzuschalten; bei einem Laptop sollte es ausreichen, den Deckel zu schließen und wieder zu öffnen. (Sie möchten sie in den Ruhezustand versetzen und wieder aufwecken.)
Sehendie Seite „So entschlüsseln Sie 802.11“ im Wireshark-Wikifür Details.