Utilizo Wireshark en Ubuntu 14.04 y estoy intentando detectar el tráfico wifi de otros dispositivos en mi red. Ejecuto Wireshark o tshark en wlan0, comienzo a capturar paquetes y envío algunos pings o abro algunas páginas en mi teléfono, pero mi computadora portátil Ubuntu no captura eso; solo ve paquetes desde su propia IP a otras direcciones IP, desde otras direcciones IP. a su propia ip y paquetes de difusión.
Activar manualmente el modo promiscuo para el uso de wlan0 sudo ip link set wlan0 promisc on
no ayuda.
Parece que mi adaptador wifi puede usar tanto el modo promiscuo como el modo monitor porque puedo hacerlo sudo airmon-ng start wlan0
y aparecerá una nueva mon0
interfaz y puedo capturar sus paquetes con Wireshark, sin embargo, eso no es lo que necesito. Esos paquetes en mon0 son todos del protocolo 802.11 y no tcp, icmp, etc. como en wlan0.
Actualizar
Decidí eliminar la posibilidad de que sea NetworkManager de Ubuntu o alguna otra cosa que interfiera con Wireshark, así que probé Kali Linux.
Estos son los pasos exactos que utilizo:
- Cargar Kali Linux
- Conéctese a mi red doméstica usando el widget de redes inalámbricas de gnome.
- Ejecute Wireshark, presione Opciones de captura, verifique wlan0, verifique Prom. El modo está habilitado y lun. El modo está deshabilitado, deja todo lo demás por defecto
- Presiona inicio
- Haga ping a la dirección IP de mi computadora portátil Kali Linux desde mi teléfono
- Observe que puedo ver paquetes ICMP desde la dirección IP de mi teléfono a la IP de mi computadora portátil Kali y viceversa.
- Hacer ping a 8.8.8.8 desde mi teléfono
- Tenga en cuenta que no puedo ver ningún paquete desde la IP de mi teléfono a ninguna parte, pero puedo ver paquetes del protocolo LLC desde "Netgear_d9:19:e8" (ese es mi enrutador, supongo) a "SamsungE_2d:ad:da" (ese es mi teléfono). Supongo)
Respuesta1
Creo que podrías resolver tu problema con airmon-ng (esto debería estar instalado de forma predeterminada en Kali).
Respuesta proporcionada porKurt Knochneren Ask.wireshark.org Fuente
ifconfig -a
¿Ves una interfaz wlan0 o wlan1?
En caso negativo, su kernel no reconoce su tarjeta inalámbrica y Wireshark no puede hacer nada al respecto. Deténgase aquí y pregunte a las personas en el foro de usuarios de su distribución de Linux (Ubuntu, Fedora, etc.) cómo agregar un controlador que funcione para su tarjeta inalámbrica.
Si ve wlan0/1, continúe con
sudo airmon-ng start wlan0
o
sudo airmon-ng start wlan1
dependiendo de qué interfaz inalámbrica desee capturar. Ese comando debería informar el siguiente mensaje:
monitor mode enabled on mon0
Ahora, capture en mon0 con tcpdump y/o dumpcap.
sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap
o
sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap
Luego abre ese archivo con Wireshark
wireshark -nr /var/tmp/wlan.pcap
Respuesta2
El modo promiscuo rara vez, o nunca, hace lo que usted desea en los dispositivos Wi-Fi; Tendrás que capturar en modo monitor. (No, no hay ninguna solución aquí).
Esos paquetes en mon0 son todos del protocolo 802.11
Esto se debe a que estás en una red protegida y utiliza cifrado WEP o WPA/WPA2. Tendrá que proporcionar a Wireshark la contraseña de la red y, para las redes que utilizan WPA/WPA2 (que es lo que hacen la mayoría de las redes protegidas), deberá, para cada uno de los dispositivos cuyo tráfico desee descifrar, forzarlos a desconectarse. la red y volver a conectarse a la red después de comenzar a capturar, para capturar el protocolo de enlace inicial de EAPOL. Para un teléfono o tableta, debería ser suficiente apagarlos y encenderlos nuevamente; para una computadora portátil, cerrar la tapa y volver a abrirla debería ser suficiente. (Quieres ponerlos a dormir y que se despierten nuevamente).
Verla página "Cómo descifrar 802.11" de la wiki de Wiresharkpara detalles.