Tengo problemas para capturar cualquier cosa que no sea el tráfico de transmisión WiFi.
Aquí está mi configuración:
- Kali Linux virtualizado con Parallels en macOS 10.14: 4.19.37-6kali1 (22/07/2019)
- Adaptador WiFI USB Alfa Network AWUS036NHA (pasado a la VM, no utilizado por el sistema operativo host)
lsusbme muestra:Qualcomm Atheros Communications AR9271 802.11nlsmod | grep 80211da
mac80211 815104 1 ath9k_htc
cfg80211 761856 4 ath9k_htc,ath9k_common,ath,mac80211
rfkill 28672 5 bluetooth,cfg80211
El adaptador aparece iwconfigcomo wlan0.
Así es como pongo el adaptador en modo de monitoreo:
> airmon-ng check kill
> airmon-ng start wlan0
PHY Interface Driver Chipset
phy1 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
(mac80211 station mode vif disabled for [phy1]wlan0)
> iwconfig
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Ahora lo estoy configurando en el canal del AP que quiero escuchar: iwconfig wlan0mon channel 3y puedo verificar que iwconfigahora muestra Frequency:2.422 GHz. Para fines de prueba, también bloqueé mi AP en este canal.
Ahora estoy iniciando Wireshark y comenzando a capturar wlan0mon. Mi máquina host y también kali vm no están conectados a ninguna red en este momento.
Puedo ver todo tipo de marcos de gestión y control, pero no mucho más ya que mi red de destino está cifrada. Entonces tomo otro cliente físico, me conecto al AP y puedo ver los paquetes EAPOL que se capturan; a partir de ese momento empiezo a ver el tráfico descifrado (mi clave está almacenada en Wireshark).
El problema es: solo veo tráfico de transmisión: ARP, algunas transmisiones UDP, MDNS, anuncios de enrutador ICMP, etc. Cuando uso mi otro cliente y produzco algo de tráfico (ping constante/ICMP, tráfico HTTP, etc.), simplemente no aparece/no se captura.
Cuando vuelvo a poner mi adaptador en modo administrado y me uno a la red, la captura funciona bien (obviamente, solo para el tráfico de mi máquina). Vale la pena señalar que tengo el mismo problema aquí, cuando no desconecto mi máquina host primero, aunque esté usando su propio adaptador WiFi (es decir, también capturando solo el tráfico de transmisión).
¿Alguna idea de qué podría causar este problema/por qué solo se captura el tráfico de transmisión?
(Capturar los paquetes con airodump-ngWireshark en lugar de no hace ninguna diferencia; además, solo se ve la transmisión).
Respuesta1
No puede capturar fotogramas que se hayan transmitido utilizando esquemas de modulación y codificación que su hardware de captura no comprenda. Su hardware de captura no es MIMO (1x1:1), por lo que no puede capturar nada enviado utilizando dos o tres flujos espaciales MIMO. Sospecho que su cliente objetivo y su AP tienen al menos capacidad 2x2:2.
Las multidifusiones y difusiones "desde DS" se envían a velocidades bajas para mayor confiabilidad porque no cuentan con confirmación. Entonces, probablemente se envíen utilizando una modulación lenta que no sea MIMO. Es por eso que ves multidifusiones y transmisiones, pero no unidifusiones.
Las tramas de gestión y control, e incluso el protocolo de enlace EAPOL, a menudo también se envían a tasas PHY más bajas para mayor confiabilidad. Pero una vez finalizado el protocolo de enlace EAPOL y el tráfico unicast real comienza a circular, el hardware comienza a utilizar los MCS más altos que ambos extremos admiten y que las condiciones de RF les permiten usar de manera confiable.