Configuración del sistema:
- MacBook Air con Mountain Lion y conectado de forma inalámbrica a un enrutador.
- Wireshark instalado y capturando paquetes (tengo marcado "capturar todo en modo promiscuo")
- Filtré todos los paquetes con mi IP de origen y destino usando el siguiente filtro (
ip.dst != 192.168.1.104 && ip.src != 192.168.1.104) - En la misma red que la MacBook, uso un dispositivo Android (conectándome a través de WiFi) para realizar solicitudes HTTP.
Resultados previstos:
- Wireshark que se ejecuta en la MacBook ve la solicitud HTTP del dispositivo Android.
Resultados actuales:
- Sólo veo transmisiones SSDP de
192.168.1.1
Pregunta:
¿Qué debo hacer para que Wireshark, como Firesheep, pueda ver y usar los paquetes (particularmente HTTP) de otros dispositivos de red en la misma red?
ACTUALIZAR
- ¿Cómo puedo capturar el tráfico de otras computadoras en Wireshark en una red WiFi?parece implicar que no es posible
- Esto parece describir mi problema:http://seclists.org/wireshark/2010/Jan/70
- Estoy seguro de que la interfaz de red está en modo prometedor porque cuando ejecuto
ifconfigobtengoen0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
Respuesta1
Si no está conectado a través de Ethernet a su enrutador doméstico, lo más probable es que ese enrutador doméstico utilice un conmutador para sus puertos LAN y no un concentrador, por lo que cada puerto tiene su propio dominio de colisión, mientras que en un concentrador el dominio de colisión es compartido entre todos los puertos y vería todo el tráfico en cada puerto.
Si está conectado de forma inalámbrica, puede haber algunos problemas. Primero, los controladores de ciertas tarjetas inalámbricas no admiten el modo promiscuo. No se puede hacer nada al respecto a menos que quieras escribir el tuyo propio. En segundo lugar, si su red está cifrada y solo ve tráfico de capa 2 de varias fuentes y no los protocolos de capa superior esperados (lo cual no parece ser el caso), entonces debe ingresar la clave WEP en Wireshark para que pueda manejar el descifrado. El descifrado WPA y WPA2 se vuelve más complicado, ya que las versiones anteriores de Wireshark no lo admiten y, si lo son, debe capturar todo el protocolo de enlace que se produce entre el enrutador y el dispositivo ( EAPOL packets), ya que se generan claves únicas entre los dispositivos. y enrutador.
Respuesta2
Para capturar el tráfico Wi-Fi de otros sistemas tendrás que poner tu adaptador de red en modo monitor, este es un requisito específico del Wi-Fi. En Windows, eso significa comprar un adaptador especial como AirPcap. Para Linux utilice airmon-ng. En el MacBook no estoy seguro de cómo, pero veo muchos resultados de Google sobre el tema. También es cierto que quieres estar en modo promiscuo, pero lo del hub solo sirve para ethernet.
Puse mi NIC en modo monitor y pude ver mucho tráfico, pero aún así no pude ver HTTP/SMTP/etc. Tráfico a nivel de aplicación de mi red WiFi local.
A nivel de aplicación, el tráfico se cifrará tal como dice Fred Thomsen en su publicación. Deberá investigar cómo configurar WireShark y su AP para descifrar este tráfico.
Respuesta3
Si su Macbook está conectada por Ethernet al enrutador WiFi, esta podría ser la razón:
Probablemente el enrutador WiFi esté actuando como un conmutador (y no como un concentrador). Y, por lo tanto, la MacBook no ve los paquetes HTTP en absoluto.