Estou tendo problemas para capturar qualquer coisa que não seja tráfego de transmissão WiFi.
Aqui está minha configuração:
- Kali Linux virtualizado com Parallels no macOS 10.14: 4.19.37-6kali1 (22/07/2019)
- Adaptador Alfa Network AWUS036NHA USB WiFI (passado para a VM, não usado pelo sistema operacional host)
lsusbme mostra:Qualcomm Atheros Communications AR9271 802.11nlsmod | grep 80211dá
mac80211 815104 1 ath9k_htc
cfg80211 761856 4 ath9k_htc,ath9k_common,ath,mac80211
rfkill 28672 5 bluetooth,cfg80211
O adaptador aparece iwconfigcomo wlan0.
Veja como coloco o adaptador no modo de monitoramento:
> airmon-ng check kill
> airmon-ng start wlan0
PHY Interface Driver Chipset
phy1 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
(mac80211 station mode vif disabled for [phy1]wlan0)
> iwconfig
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Agora estou configurando para o canal do AP que quero ouvir: iwconfig wlan0mon channel 3e posso verificar se iwconfigagora mostra Frequency:2.422 GHz. Para fins de teste também bloqueei meu AP neste canal.
Agora estou iniciando o Wireshark e começando a capturar no wlan0mon. Minha máquina host e também o kali vm não estão conectados a nenhuma rede neste momento.
Posso ver todos os tipos de quadros de gerenciamento e controle, mas não muito mais, pois minha rede de destino está criptografada. Então pego outro cliente físico e me conecto ao AP e consigo ver os pacotes EAPOL sendo capturados; a partir daí começo a ver o tráfego descriptografado (minha chave está armazenada no Wireshark).
O problema é: estou vendo apenas tráfego de transmissão: ARP, algumas transmissões UDP, MDNS, anúncios de roteador ICMP, etc. Quando uso meu outro cliente e produzo algum tráfego (ping constante/ICMP, tráfego HTTPs, etc.), simplesmente não aparece/não é capturado.
Quando coloco meu adaptador de volta no modo gerenciado e entro na rede, a captura funciona bem (obviamente, apenas para o tráfego da minha máquina). Vale ressaltar que tenho o mesmo problema aqui, quando não desconecto minha máquina host primeiro, mesmo que ela esteja usando seu próprio adaptador WiFi (ou seja, também capturando apenas o tráfego de transmissão).
Alguma ideia do que poderia causar esse problema/por que apenas o tráfego de transmissão é capturado?
(Capturar os pacotes em airodump-ngvez do Wireshark não faz diferença – também apenas ver a transmissão).
Responder1
Você não pode capturar quadros que foram transmitidos usando esquemas de modulação e codificação que seu hardware de captura não entende. Seu hardware de captura não é MIMO (1x1:1), portanto não pode capturar nada enviado usando dois ou três fluxos espaciais MIMO. Suspeito que seu cliente-alvo e seu AP sejam capazes de pelo menos 2x2:2.
Multicasts e transmissões "From DS" são enviados com taxas baixas para maior confiabilidade porque não são Acked. Então, eles provavelmente estão sendo enviados usando uma modulação lenta não MIMO. É por isso que você vê multicasts e transmissões, mas não unicasts.
Os quadros de gerenciamento e controle, e até mesmo o handshake EAPOL, também são frequentemente enviados com taxas PHY mais baixas para maior confiabilidade. Mas depois que o handshake EAPOL é feito e o tráfego unicast real começa a voar, o hardware começa a usar os MCSes mais altos que ambas as extremidades suportam e que as condições de RF permitem que eles sejam usados de forma confiável.