Eu uso o wireshark no Ubuntu 14.04 e estou tentando detectar o tráfego wifi de outros dispositivos na minha rede. Eu executo wireshark ou tshark no wlan0, começo a capturar pacotes e envio alguns pings ou abro algumas páginas no meu telefone, mas meu laptop Ubuntu não captura isso - ele só vê pacotes de seu próprio IP para outros endereços IP, de outros endereços IP para seu próprio IP e pacotes de transmissão.
Ativar manualmente o modo promíscuo para wlan0 sudo ip link set wlan0 promisc onnão ajuda.
Parece que meu adaptador wifi é capaz de usar o modo promíscuo e o modo monitor porque eu posso fazer isso sudo airmon-ng start wlan0e uma nova mon0interface aparecerá e posso capturar seus pacotes com o wireshark, mas não é disso que eu preciso. Esses pacotes no mon0 são todos do protocolo 802.11 e não tcp, icmp, etc., como no wlan0.
Atualizar
Decidi eliminar a possibilidade de o NetworkManager do Ubuntu ou alguma outra coisa interferir no Wireshark, então tentei o Kali Linux.
Aqui estão as etapas exatas que eu uso:
- Carregar Kali Linux
- Conecte-se à minha rede doméstica usando o widget de redes sem fio do gnome.
- Execute o wireshark, pressione Opções de captura, verifique wlan0, verifique o Prom. O modo está ativado e Mon. O modo está desativado, deixe todo o resto no padrão
- pressione começar
- Faça ping no endereço IP do meu laptop Kali Linux do meu telefone
- Observe que posso ver pacotes ICMP do endereço IP do meu telefone para o IP do meu laptop kali e vice-versa
- Ping 8.8.8.8 do meu telefone
- Observe que não consigo ver nenhum pacote do IP do meu telefone para qualquer lugar, mas posso ver pacotes do protocolo LLC de "Netgear_d9:19:e8" (esse é meu roteador, eu acho) para "SamsungE_2d:ad:da" (esse é meu telefone Eu acho)
Responder1
Acredito que você poderia resolver seu problema com o airmon-ng (este deve ser instalado por padrão no Kali).
Resposta fornecida porKurt Knochnerem ask.wireshark.org Fonte
ifconfig -a
Você vê uma interface wlan0 ou wlan1?
Caso contrário, sua placa wireless não é reconhecida pelo seu kernel e não há nada que o Wireshark possa fazer a respeito. Pare aqui e pergunte às pessoas no fórum de usuários da sua distribuição Linux (Ubuntu, Fedora, etc.) como adicionar um driver funcional para sua placa wireless.
Se você vir wlan0/1, prossiga com
sudo airmon-ng start wlan0
ou
sudo airmon-ng start wlan1
dependendo de qual interface sem fio você deseja capturar. Esse comando deve reportar a seguinte mensagem:
monitor mode enabled on mon0
Agora, capture em mon0 com tcpdump e/ou dumpcap.
sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap
ou
sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap
Em seguida, abra esse arquivo com o Wireshark
wireshark -nr /var/tmp/wlan.pcap
Responder2
O modo promíscuo raramente, ou nunca, faz o que você deseja em dispositivos Wi-Fi; você terá que capturar no modo monitor. (Não, não há solução alternativa aqui.)
Esses pacotes em mon0 são todos do protocolo 802.11
Isso ocorre porque você está em uma rede protegida, usando criptografia WEP ou WPA/WPA2. Você terá que fornecer ao Wireshark a senha da rede e, para redes que usam WPA/WPA2 (o que a maioria das redes protegidas fazem), você terá que, para cada um dos dispositivos cujo tráfego você deseja descriptografar, forçá-los a se desconectarem. conecte-se à rede e reconecte-se à rede após iniciar a captura, para capturar o handshake EAPOL inicial. Para um telefone ou tablet, desligá-los e ligá-los novamente deve ser suficiente; para um laptop, fechar a tampa e reabri-la deve ser suficiente. (Você quer colocá-los para dormir e fazê-los acordar novamente.)
Vera página "Como descriptografar 802.11" do wiki Wiresharkpara detalhes.