Ich habe Probleme, etwas anderes als den WiFi-Broadcast-Verkehr aufzuzeichnen.
Hier ist mein Setup:
- Kali Linux virtualisiert mit Parallels auf macOS 10.14: 4.19.37-6kali1 (22.07.2019)
- Alfa Network AWUS036NHA USB-WLAN-Adapter (wird an die VM weitergeleitet, wird vom Host-Betriebssystem nicht verwendet)
lsusbzeigt mir:Qualcomm Atheros Communications AR9271 802.11nlsmod | grep 80211gibt
mac80211 815104 1 ath9k_htc
cfg80211 761856 4 ath9k_htc,ath9k_common,ath,mac80211
rfkill 28672 5 bluetooth,cfg80211
iwconfigDer Adapter wird in als angezeigt wlan0.
So versetze ich den Adapter in den Überwachungsmodus:
> airmon-ng check kill
> airmon-ng start wlan0
PHY Interface Driver Chipset
phy1 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
(mac80211 station mode vif disabled for [phy1]wlan0)
> iwconfig
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Ich stelle es jetzt auf den Kanal des APs ein, den ich hören möchte: iwconfig wlan0mon channel 3und ich kann überprüfen, dass iwconfigjetzt angezeigt wird Frequency:2.422 GHz. Zu Testzwecken habe ich meinen AP auch auf diesem Kanal gesperrt.
Ich starte jetzt Wireshark und beginne mit der Aufnahme wlan0mon. Mein Host-Computer und auch die Kali-VM sind zu diesem Zeitpunkt mit keinem Netzwerk verbunden.
Ich kann alle möglichen Verwaltungs- und Kontroll-Frames sehen, aber nicht viel mehr, da mein Zielnetzwerk verschlüsselt ist. Also nehme ich einen anderen physischen Client und verbinde mich mit dem AP. Dort kann ich sehen, wie die EAPOL-Pakete erfasst werden. Von da an sehe ich den entschlüsselten Datenverkehr (mein Schlüssel ist in Wireshark gespeichert).
Das Problem ist: Ich sehe nur Broadcast-Verkehr: ARP, einige UDP-Broadcasts, MDNS, ICMP-Router-Anzeigen usw. Wenn ich meinen anderen Client verwende und etwas Verkehr erzeuge (ständiges Ping/ICMP, HTTPS-Verkehr usw.), wird dieser einfach nicht angezeigt bzw. nicht erfasst.
Wenn ich meinen Adapter wieder in den verwalteten Modus setze und mich selbst mit dem Netzwerk verbinde, funktioniert die Aufzeichnung einwandfrei (natürlich nur für den Datenverkehr meines Computers). Es ist erwähnenswert, dass ich hier das gleiche Problem habe, wenn ich meinen Hostcomputer nicht zuerst trenne, obwohl dieser seinen eigenen WLAN-Adapter verwendet (d. h. auch nur Broadcast-Datenverkehr aufzeichnet).
Irgendeine Idee, was dieses Problem verursachen könnte / warum nur Broadcast-Verkehr erfasst wird?
(Das Erfassen der Pakete mit airodump-ngstatt mit Wireshark macht keinen Unterschied – es wird auch nur die Übertragung angezeigt).
Antwort1
Sie können keine Frames erfassen, die mit Modulations- und Codierungsschemata übertragen wurden, die Ihre Erfassungshardware nicht versteht. Ihre Erfassungshardware ist nicht MIMO (1x1:1), daher kann sie nichts erfassen, das mit zwei oder drei MIMO-Raumströmen gesendet wird. Ich vermute, Ihr Zielclient und Ihr AP sind beide mindestens 2x2:2-fähig.
„Von DS“-Multicasts und Broadcasts werden aus Gründen der Zuverlässigkeit mit niedriger Geschwindigkeit gesendet, da sie nicht bestätigt werden. Daher werden sie wahrscheinlich mit einer langsamen Nicht-MIMO-Modulation gesendet. Deshalb sehen Sie Multicasts und Broadcasts, aber keine Unicasts.
Management- und Kontroll-Frames und sogar der EAPOL-Handshake werden aus Gründen der Zuverlässigkeit häufig mit niedrigeren PHY-Raten gesendet. Aber nachdem der EAPOL-Handshake abgeschlossen ist und echter Unicast-Verkehr beginnt, beginnt die Hardware, die höchsten MCSes zu verwenden, die beide Enden unterstützen und die die HF-Bedingungen eine zuverlässige Verwendung ermöglichen.