Espionagem em uma rede WPA2 (PSK)

Question

O modo promíscuo é um conceito no nível Ethernet que deve permitir que você veja os frames de dados de outros dispositivos, mas os frames de dados são apenas um dos vários tipos de frames 802.11. Para ver os outros tipos de quadros 802.11 (gerenciamento, controle, etc.) e possivelmente ver os cabeçalhos 802.11, você precisa usar o que é conhecido como Modo Monitor 802.11.

Então, novamente, os quadros EAPOL-Key usados para o handshake de chave seriam quadros de dados, portanto, se sua placa/driver 802.11 implementou corretamente o modo promíscuo, você ainda poderá vê-los.

Outra coisa a ter em conta é que os dispositivos 802.11 muitas vezes transmitem quadros de dados unicast na taxa mais alta que o transmissor pode transmitir e que o receptor pode receber, dadas as tecnologias que o transmissor e o receptor suportam e as condições de RF entre eles. Portanto, se o seu AP e o laptop de destino tiverem, digamos, uma placa 802.11ac de 3 fluxos (capaz de sinalizar 1300 Mbps com canais de 80 MHz de largura), e seu laptop Wireshark tiver apenas uma placa de 2 fluxos (capaz apenas de taxas de até 867Mbps), então você não conseguirá capturar nenhum dos pacotes enviados usando sinalização de 3 fluxos.

Ou se o seu AP e o laptop alvo estiverem próximos um do outro, onde eles podem usar suas taxas máximas, mas o seu laptop sniffer estiver mais distante, onde não obtém a relação sinal-ruído necessária para receber esses sinais com sucesso, não os verá.

Mesmo se você colocar sua máquina sniffer no meio do caminho entre o AP e o laptop alvo, se o AP e o laptop alvo estiverem fazendo beamforming, os feixes que eles formam podem estar seguindo caminhos que excluem seu laptop sniffer.

Answer 1

O modo promíscuo é um conceito no nível Ethernet que deve permitir que você veja os frames de dados de outros dispositivos, mas os frames de dados são apenas um dos vários tipos de frames 802.11. Para ver os outros tipos de quadros 802.11 (gerenciamento, controle, etc.) e possivelmente ver os cabeçalhos 802.11, você precisa usar o que é conhecido como Modo Monitor 802.11.

Então, novamente, os quadros EAPOL-Key usados para o handshake de chave seriam quadros de dados, portanto, se sua placa/driver 802.11 implementou corretamente o modo promíscuo, você ainda poderá vê-los.

Outra coisa a ter em conta é que os dispositivos 802.11 muitas vezes transmitem quadros de dados unicast na taxa mais alta que o transmissor pode transmitir e que o receptor pode receber, dadas as tecnologias que o transmissor e o receptor suportam e as condições de RF entre eles. Portanto, se o seu AP e o laptop de destino tiverem, digamos, uma placa 802.11ac de 3 fluxos (capaz de sinalizar 1300 Mbps com canais de 80 MHz de largura), e seu laptop Wireshark tiver apenas uma placa de 2 fluxos (capaz apenas de taxas de até 867Mbps), então você não conseguirá capturar nenhum dos pacotes enviados usando sinalização de 3 fluxos.

Ou se o seu AP e o laptop alvo estiverem próximos um do outro, onde eles podem usar suas taxas máximas, mas o seu laptop sniffer estiver mais distante, onde não obtém a relação sinal-ruído necessária para receber esses sinais com sucesso, não os verá.

Mesmo se você colocar sua máquina sniffer no meio do caminho entre o AP e o laptop alvo, se o AP e o laptop alvo estiverem fazendo beamforming, os feixes que eles formam podem estar seguindo caminhos que excluem seu laptop sniffer.

Espionagem em uma rede WPA2 (PSK)

Responder1

informação relacionada