Wireshark는 이 장치와 주고받는 패킷만 캡처합니다.

tag-icon tag-icon wireshark
Wireshark는 이 장치와 주고받는 패킷만 캡처합니다.

우분투 14.04에서 Wireshark를 사용하고 있으며 내 네트워크에 있는 다른 장치의 Wi-Fi 트래픽을 스니핑하려고 합니다. wlan0에서 Wireshark 또는 tshark를 실행하고 패킷 캡처를 시작하고 핑을 보내거나 내 전화기에서 일부 페이지를 열었지만 내 우분투 노트북은 이를 캡처하지 않습니다. 자체 IP에서 다른 IP 주소로, 다른 IP 주소에서 패키지만 볼 수 있습니다. 자신의 IP로 전송하고 패킷을 브로드캐스트합니다.

wlan0을 사용하여 무차별 모드를 수동으로 켜는 것은 sudo ip link set wlan0 promisc on도움이 되지 않습니다.

내 Wi-Fi 어댑터는 무차별 모드와 모니터 모드를 모두 사용할 수 있는 것 같습니다. 왜냐하면 sudo airmon-ng start wlan0mon0인터페이스가 나타나고 Wireshark로 해당 패키지를 캡처할 수 있기 때문입니다. 그러나 그것은 내가 필요한 것이 아닙니다. mon0의 패키지는 모두 프로토콜 802.11이며 wlan0의 tcp, icmp 등은 아닙니다.

업데이트

나는 우분투의 NetworkManager나 다른 것들이 Wireshark를 방해할 가능성을 제거하기로 결정하여 kali linux를 사용해 보았습니다.

내가 사용하는 정확한 단계는 다음과 같습니다.

  1. 칼리 리눅스 로드
  2. gnome 무선 네트워크 위젯을 사용하여 홈 네트워크에 연결합니다.
  3. Wireshark를 실행하고 Capture Options를 누르고 wlan0을 확인하고 Prom을 확인하십시오. 모드가 활성화되고 Mon. 모드가 비활성화되었습니다. 다른 모든 항목은 기본값으로 둡니다.
  4. 보도 시작
  5. 내 휴대폰에서 내 Kali Linux 노트북의 IP 주소를 핑합니다.
  6. 내 전화기의 IP 주소에서 내 Kali 노트북 IP로 또는 그 반대로 ICMP 패킷을 볼 수 있습니다.
  7. 내 휴대폰에서 핑 8.8.8.8
  8. 내 전화기의 IP에서 어디로든 패킷을 볼 수는 없지만 "Netgear_d9:19:e8"(내 라우터인 것 같습니다)에서 "SamsungE_2d:ad:da"(내 전화기인 것 같습니다)까지 LLC 프로토콜의 패킷은 볼 수 있습니다. 아마도)

답변1

airmon-ng를 사용하면 문제를 해결할 수 있다고 생각합니다(Kali에서는 기본적으로 설치되어야 함).

답변 제공자:커트 노크너Ask.wireshark.org에서 원천

ifconfig -a

wlan0 또는 wlan1 인터페이스가 보이나요?

그렇지 않다면 무선 카드가 커널에서 인식되지 않으며 Wireshark가 이에 대해 할 수 있는 일은 없습니다. 여기에서 멈춰서 Linux 배포판(Ubuntu, Fedora 등)의 사용자 포럼에 있는 사람들에게 무선 카드용으로 작동하는 드라이버를 추가하는 방법을 문의하세요.

wlan0/1이 표시되면 다음을 진행하세요.

sudo airmon-ng start wlan0

또는

sudo airmon-ng start wlan1

캡처하려는 무선 인터페이스에 따라 다릅니다. 해당 명령은 다음 메시지를 보고해야 합니다.

monitor mode enabled on mon0

이제 tcpdump 및/또는 dumpcap을 사용하여 mon0을 캡처합니다.

sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap

또는

sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap

그런 다음 Wireshark로 해당 파일을 엽니다.

wireshark -nr /var/tmp/wlan.pcap

답변2

무차별 모드는 Wi-Fi 장치에서 원하는 작업을 수행하는 경우가 거의 없습니다. 모니터 모드로 캡쳐해야 합니다. (아니요, 여기에는 해결 방법이 없습니다.)

mon0의 패키지는 모두 프로토콜 802.11입니다.

이는 WEP 또는 WPA/WPA2 암호화를 사용하여 보호된 네트워크에 있기 때문입니다. Wireshark에 네트워크 비밀번호를 제공해야 하며, WPA/WPA2(대부분의 보호 네트워크에서 사용)를 사용하는 네트워크의 경우 트래픽을 해독하려는 각 장치에 대해 강제로 연결을 끊어야 합니다. 캡처를 시작한 후 네트워크에 다시 연결하여 초기 EAPOL 핸드셰이크를 캡처합니다. 휴대폰이나 태블릿의 경우 껐다가 다시 켜면 충분합니다. 노트북의 경우 덮개를 닫았다가 다시 열면 충분합니다. (당신은 그들을 잠들게 하고 다시 깨우기를 원합니다.)

보다Wireshark wiki의 "802.11 암호 해독 방법" 페이지자세한 내용은.

관련 정보