Configuração do sistema:
- MacBook Air rodando Mountain Lion e conectado sem fio a um roteador.
- Wireshark instalado e capturando pacotes (marquei "capturar tudo em modo promíscuo")
- Eu filtro todos os pacotes com meu IP de origem e destino usando o seguinte filtro (
ip.dst != 192.168.1.104 && ip.src != 192.168.1.104) - Na mesma rede do MacBook, utilizo um dispositivo Android (conectando via WiFi) para fazer solicitações HTTP.
Resultados esperados:
- O Wireshark em execução no MacBook vê a solicitação HTTP do dispositivo Android.
Resultados reais:
- Eu só vejo transmissões do SSDP de
192.168.1.1
Pergunta:
O que preciso fazer para que o Wireshark, assim como o Firesheep, possa ver e usar os pacotes (principalmente HTTP) de outros dispositivos de rede na mesma rede?
ATUALIZAR
- Como posso capturar o tráfego de outros computadores no Wireshark em uma rede WiFi?parece implicar que não é possível
- Isso parece descrever meu problema:http://seclists.org/wireshark/2010/Jan/70
- Estou confiante de que a interface de rede está no modo promisc porque quando executo
ifconfigreceboen0: flags=8967<UP,BROADCAST,DEBUG,SMART,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
Responder1
Se você não estiver conectado via Ethernet ao seu roteador doméstico, provavelmente o roteador doméstico usa um switch para suas portas LAN e não um hub, portanto, cada porta tem seu próprio domínio de colisão, enquanto em um hub o domínio de colisão é compartilhado entre todas as portas e você veria todo o tráfego em todas as portas.
Se você estiver conectado sem fio, pode haver alguns problemas. Primeiro, alguns drivers de placas sem fio não suportam a colocação em modo promíscuo. Nada pode ser feito sobre isso, a menos que você queira escrever o seu próprio. Segundo, se sua rede estiver criptografada e você estiver vendo apenas tráfego de camada 2 de várias fontes e não dos protocolos de camada superior esperados (o que não parece ser o caso), você deverá inserir a chave WEP no wireshark para que ele possa lidar com a descriptografia. A descriptografia WPA e WPA2 fica mais complicada, pois versões mais antigas do wireshark não suportam e, se for compatível, você deve capturar todo o handshake que ocorre entre o roteador e o dispositivo ( EAPOL packets), pois chaves exclusivas são geradas entre o dispositivo e roteador.
Responder2
Para capturar o tráfego Wi-Fi de outros sistemas você terá que colocar seu adaptador de rede no modo monitor, este é um requisito específico para Wi-Fi. No Windows, isso significa comprar um adaptador especial como o AirPcap. Para Linux use airmon-ng. No MacBook não sei como, mas vejo muitos hits do Google sobre o assunto. Também é verdade que você deseja estar no modo promíscuo, mas o hub só é necessário para Ethernet.
Coloquei minha NIC no modo monitor e pude ver muitos outros tráfegos, mas ainda não consegui ver HTTP/SMTP/etc. tráfego em nível de aplicativo da minha rede WiFi local.
No nível do aplicativo, o tráfego será criptografado, exatamente como Fred Thomsen diz em sua postagem. Você precisará pesquisar como configurar o WireShark e seu AP para descriptografar esse tráfego.
Responder3
Se o seu Macbook estiver conectado por Ethernet ao roteador WiFi, este pode ser o motivo:
Provavelmente o roteador WiFi está agindo como um switch (e não um hub). E, portanto, o MacBook não está vendo os pacotes HTTP.