Zunächst einmal könnte dies wie ein Duplikat aussehen vonDasBeitrag, und das ist es irgendwie auch, aber als ich diesen Beitrag schrieb, war mein Ruf nicht hoch genug, um einen Kommentar abzugeben, und ich stieß bei der Anwendung dieser Antwort auf einige Probleme.
Ich habe einen offenen WLAN-AP (Test-Hotspot) eingerichtet und versuche, den WLAN-Verkehr abzuhören, der von ihm kommt und dorthin geht. Ich habe mich mit meinem Telefon damit verbunden, eine nicht sichere Test-Website (nur HTTP, kein SSL oder so) geladen und ein Passwortformular ausgefüllt.
Ich hatte erwartet, dass es in Wireshark angezeigt wird, aber das tat es nicht. Nachdem ich zu meinem Problem recherchiert hatte, stieß ich auf die oben genannte Frage und probierte die dort angegebene Antwort aus, indem ich httpin das Filterfeld eintippte, ohne Ergebnisse, nur einen leeren Bildschirm. Es fängt Daten vom AP ab, weil es anzeigt SSID=testing-hotspot. Weiß jemand, was die Ursache dafür ist und wie ich das beheben kann?
--Bearbeiten:
Ich habe einen Screenshot hinzugefügt
Ich möchte wissen, wie ich HTTP-, TCP-, UDP- und andere Pakete sehen kann, anstatt802.11
Antwort1
Ihr Screenshot zeigt nur Beacon-Frames, keine tatsächlichen Daten zwischen Ihrem Telefon und dem AP.
Entweder (1) erfassen Sie die falsche WLAN-Schnittstelle, oder (2) Sie haben uns die erfassten Nicht-Beacon-Frames nicht gezeigt, oder (3) Ihr Telefon war nicht mit Ihrem Test-Hotspot verbunden, sondern mit einem anderen AP, oder (4) Ihr gesamtes Setup ist so, dass Sie keine Daten zwischen dem Telefon und dem AP erfassen.
Beachten Sie, dass Sie den Datenverkehr zwischen anderen Clients und dem AP im WLAN nicht sehen. Wenn Sie dies also auf einem anderen Client als Ihrem Telefon aufzeichnen, wird es nicht funktionieren.
Sie müssen entweder den Datenverkehr am Telefon oder am AP selbst erfassen. Und der AP muss so konfiguriert sein, dass er die Pakete an eine andere Netzwerkschnittstelle weiterleitet, z. B. LAN. Wenn Sie einen WLAN-AP mit einer WLAN-STATION verbunden haben, werden möglicherweise keine Pakete angezeigt.
Antwort2
Der von Ihnen verwendete überwachbare Adapter muss nicht nur das Band, sondern auch die MIMO- und Modulationsmodi unterstützen, die von Ihrer zu überprüfenden Verbindung verwendet werden.
Wichtig ist auch, den richtigen Kanal mit dem Befehl auszuwählen.
iw dev <name of interface which is in monitor mode> set channel <channel number the AP or client tells you> <channel mode you have to try>
So ist sichergestellt, dass Sie genau die Pakete erhalten, die Sie interessieren.
Sie können die erlaubten Kanalmodi auflisten mit
iw dev <name of interface which is in monitor mode> set channel help
Als nächstes müssen Sie die Entschlüsselung in Wireshark einrichten. Für WPA2:
Einstellungen/Protokoll/IEEE 802.11/Entschlüsselung aktivieren und dann Bearbeiten.
Sie müssen WPA-PWD im Format „WiFi-Pwd:SSID“ eingeben. Stellen Sie sicher, dass Sie alle 4 EAPOL-Pakete zwischen Ihrem AP und Ihrem Client sehen. Dies ist eine Voraussetzung, um die Nutzlast überhaupt sehen zu können.
Es ist nicht einfach, ein 100%iges Ergebnis zu erzielen. Rechnen Sie bitte damit, dass Sie nur eine Richtung sehen, die andere fehlt.