WiFi 캡처에서는 브로드캐스트 트래픽만 표시됩니다.

tag-icon tag-icon linux networking wireless-networking wireshark aircrack-ng
WiFi 캡처에서는 브로드캐스트 트래픽만 표시됩니다.

WiFi 브로드캐스트 트래픽 이외의 다른 트래픽을 캡처하는 데 문제가 있습니다.

내 설정은 다음과 같습니다.

  • macOS 10.14에서 Parallels를 사용하여 가상화된 Kali Linux: 4.19.37-6kali1(2019-07-22)
  • Alfa Network AWUS036NHA USB WiFI 어댑터(VM으로 전달, 호스트 OS에서 사용되지 않음)
  • lsusb나에게 보여줍니다 :Qualcomm Atheros Communications AR9271 802.11n
  • lsmod | grep 80211준다
mac80211              815104  1 ath9k_htc
cfg80211              761856  4 ath9k_htc,ath9k_common,ath,mac80211
rfkill                 28672  5 bluetooth,cfg80211

어댑터는 iwconfig로 표시됩니다 wlan0.

어댑터를 모니터링 모드로 전환하는 방법은 다음과 같습니다.

> airmon-ng check kill
> airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy1    wlan0       ath9k_htc   Qualcomm Atheros Communications AR9271 802.11n

        (mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
        (mac80211 station mode vif disabled for [phy1]wlan0)

> iwconfig

wlan0mon  IEEE 802.11  Mode:Monitor  Frequency:2.457 GHz  Tx-Power=20 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

이제 듣고 싶은 AP의 채널로 설정하고 있습니다. 이제 표시되는 iwconfig wlan0mon channel 3것을 확인할 수 있습니다 . 테스트 목적으로 이 채널의 AP도 잠갔습니다.iwconfigFrequency:2.422 GHz

이제 Wireshark를 시작하고 wlan0mon. 내 호스트 컴퓨터와 kali vm은 현재 어떤 네트워크에도 연결되어 있지 않습니다.

모든 종류의 관리 및 제어 프레임을 볼 수 있지만 대상 네트워크가 암호화되어 있기 때문에 그 이상은 볼 수 없습니다. 그래서 다른 물리적 클라이언트를 가져와 AP에 연결하면 EAPOL 패킷이 캡처되는 것을 볼 수 있습니다. 그때부터 해독된 트래픽이 보이기 시작합니다(내 키는 Wireshark에 저장되어 있습니다).

문제는 다음과 같은 브로드캐스트 트래픽만 표시된다는 것입니다: ARP, 일부 UDP 브로드캐스트, MDNS, ICMP 라우터 광고 등. 다른 클라이언트를 사용하고 일부 트래픽(지속적인 핑/ICMP, HTTPs 트래픽 등)을 생성할 때, 단지 표시되지 않거나 캡처되지 않습니다.

어댑터를 다시 관리 모드로 전환하고 네트워크에 직접 연결하면 캡처가 제대로 작동합니다(분명히 내 컴퓨터의 트래픽에 대해서만). 주목할 만한 점은 호스트 컴퓨터가 자체 WiFi 어댑터를 사용하고 있음에도 불구하고(즉, 브로드캐스트 트래픽만 캡처) 먼저 호스트 컴퓨터의 연결을 끊지 않으면 동일한 문제가 발생한다는 것입니다.

이 문제의 원인이 무엇인지, 왜 브로드캐스트 트래픽만 캡처되는지 아시나요?

(Wireshark 대신 패킷을 캡처해도 airodump-ng아무런 차이가 없습니다. 또한 브로드캐스트만 볼 수도 있습니다.)

답변1

캡처 하드웨어가 이해하지 못하는 변조 및 코딩 체계를 사용하여 전송된 프레임은 캡처할 수 없습니다. 캡처 하드웨어는 MIMO(1x1:1)가 아니므로 2개 또는 3개의 MIMO 공간 스트림을 사용하여 전송된 어떤 것도 캡처할 수 없습니다. 귀하의 대상 클라이언트와 AP가 모두 최소한 2x2:2를 ​​지원하는 것 같습니다.

"DS에서" 멀티캐스트 및 브로드캐스트는 승인되지 않기 때문에 안정성을 위해 낮은 속도로 전송됩니다. 따라서 이는 MIMO가 아닌 느린 변조를 사용하여 전송되는 것일 수 있습니다. 이것이 바로 멀티캐스트와 브로드캐스트가 표시되지만 유니캐스트는 표시되지 않는 이유입니다.

관리 및 제어 프레임은 물론 EAPOL 핸드셰이크까지 안정성을 위해 낮은 PHY 속도로 전송되는 경우가 많습니다. 그러나 EAPOL 핸드셰이크가 완료되고 실제 유니캐스트 트래픽이 전송되기 시작한 후 하드웨어는 양쪽 끝에서 지원하는 가장 높은 MCS를 사용하기 시작하며 RF 조건을 통해 안정적으로 사용할 수 있습니다.

관련 정보