Estou usando o programa wireshark para detectar meu tráfego. Quando mudo o modo da minha placa de rede do modo gerenciado para o modo monitor, vejo apenas pacotes "beacon frames" e "RTS & CTS" no wireshark. Existe alguma maneira de cheirartráfego tcp/ip com formato de quadro 802.11x em vez de ethernet no wiresharkou alguma outra coisa?
Separadamente,
Existe alguma maneira dedetectar tráfego tcp/ip da minha placa wireless sem mudar para o modo monitor?Porque quando mudei o modo da minha placa wireless para o modo monitor, a conexão com a Internet caiu e não consigo conectar nenhum site. Como resultado, não consigo detectar meu tráfego TCP/IP usando o wireshark na conexão sem fio.
Desde já, obrigado.
Responder1
Na minha experiência, a maioria das placas sem fio não é boa em manter uma conexão de rede funcional e, ao mesmo tempo, capturar pacotes no modo monitor 802.11. Normalmente, quando alguém tenta fazer as duas coisas simultaneamente no mesmo cartão, não acaba vendo todos os pacotes 802.11 que deveria ver; especialmente 802.11 reconhece o firmware do cartão transmitido.
Portanto, não recomendo tentar fazer o que você está fazendo.
Se você deseja capturar todo o tráfego 802.11 entre um AP e um cliente, configure uma máquina sniffer sem fio separada no meio do caminho entre os dois dispositivos e coloque-a no modo monitor 802.11 completo (desassociado de todas as redes, apenas sintonizado no canal que o AP e o cliente de destino estão ativados). Certifique-se de que a placa sem fio da máquina sniffer seja capaz de suportar todos os esquemas de modulação e codificação suportados pelo AP e pelo cliente alvo. Por exemplo, se o AP e o cliente forem 802.11ac de 3 fluxos com suporte para MCS 9x3, você precisará que seu sniffer suporte MCS 9x3 802.11ac de 3 fluxos para ver qualquer tráfego que o AP ou o cliente transmita usando esse esquema. Mesmo quando você acerta o hardware, tome cuidado, pois a própria natureza dos fluxos espaciais MIMO e da formação de feixe significa que qualquer sinal transmitido é tão adaptado para ser perfeito para o receptor pretendido, que não há garantia de que será de qualidade suficiente para qualquer bisbilhoteiro/ sniffer para receber em qualquer outro local.
Se você fizer a configuração do sniffer independente que sugiro, certifique-se de que sua rede não use segurança ou, se estiver usando WPA2-PSK, certifique-se de iniciar o sniffer antes que o cliente alvo entre no AP. Você precisa capturar o handshake da chave WPA2 e conhecer a senha WPA2-PSK da rede para descriptografar o tráfego do cliente de destino.
Se você simplesmente não consegue configurar um sniffer independente, sugiro que você capture pacotes no estilo Ethernet normal se achar que seu problema está na camada IP ou superior, e capture pacotes no "modo monitor associado" se achar que o problema é na camada 802.11. No entanto, novamente, você provavelmente não será capaz de diagnosticar completamente os problemas do 802.11 dessa maneira, pois provavelmente não verá os Acks que seu cliente está enviando. Portanto, haverá lacunas no seu conhecimento sobre o que aconteceu no ar, o que dificultará o diagnóstico de problemas.