Estoy usando el programa Wirehark para rastrear mi tráfico. Cuando cambio el modo de mi tarjeta de red del modo administrado al modo monitor, solo veo "marcos de baliza" y paquetes "RTS y CTS" en Wireshark. ¿Hay alguna manera de oler?Tráficos tcp/ip con formato de trama 802.11x en lugar de ethernet en Wireshark¿o algo mas?
Por separado,
¿Hay alguna manera de¿Detectar el tráfico TCP/IP de mi tarjeta inalámbrica sin cambiar al modo monitor?Porque cuando cambié el modo de mi tarjeta inalámbrica al modo monitor, la conexión a Internet no funciona y no puedo conectarme a ningún sitio web. Como resultado, no puedo detectar mi tráfico TCP/IP usando Wireshark en una conexión inalámbrica.
Gracias de antemano.
Respuesta1
En mi experiencia, la mayoría de las tarjetas inalámbricas no son buenas para mantener una conexión de red funcional y al mismo tiempo capturar paquetes en modo monitor 802.11. Por lo general, cuando uno intenta hacer ambas cosas simultáneamente en la misma tarjeta, no termina viendo todos los paquetes 802.11 que se suponía debía ver; especialmente 802.11 confirma el firmware de la tarjeta transmitido.
Así que recomiendo no intentar hacer lo que estás haciendo.
Si desea capturar todo el tráfico 802.11 entre un AP y un cliente, configure una máquina rastreadora inalámbrica separada a medio camino entre los dos dispositivos y póngala en modo de monitor 802.11 completo (desasociado de todas las redes, simplemente sintonizado en el canal que el AP objetivo y el cliente están encendidos). Asegúrese de que la tarjeta inalámbrica de la máquina rastreadora sea capaz de soportar todos los esquemas de modulación y codificación que admiten tanto el AP objetivo como el cliente. Por ejemplo, si el AP y el cliente son 802.11ac de 3 flujos que admiten MCS 9x3, necesita que su rastreador admita 802.11ac MCS 9x3 de 3 flujos para poder ver cualquier tráfico que el AP o el cliente transmita usando ese esquema. Incluso cuando tenga el hardware correcto, tenga en cuenta que la naturaleza misma de los flujos espaciales MIMO y la formación de haces significa que cualquier señal transmitida está tan adaptada para ser perfecta para el receptor previsto, que no hay garantía de que tendrá la calidad suficiente para cualquier espía/ sniffer para recibir en cualquier otro lugar.
Si realiza la configuración del rastreador independiente que sugiero, asegúrese de que su red no utilice seguridad o, si usa WPA2-PSK, asegúrese de iniciar el rastreador antes de que el cliente objetivo se una al AP. Debe capturar el protocolo de enlace de la clave WPA2 y conocer la frase de contraseña WPA2-PSK de la red para poder descifrar el tráfico del cliente de destino.
Si simplemente no puede configurar un rastreador independiente, le sugiero que capture los paquetes en el estilo Ethernet normal si cree que su problema está en la capa IP o superior, y que capture los paquetes en "modo de monitor asociado" si cree que el problema es en la capa 802.11. Sin embargo, nuevamente, probablemente no podrá diagnosticar completamente los problemas de 802.11 de esta manera, ya que probablemente no verá los Acks que envía su cliente. Por lo tanto, habrá lagunas en su conocimiento de lo que sucedió por aire, lo que dificultará el diagnóstico de problemas.