У меня возникли проблемы с захватом чего-либо, кроме широковещательного трафика WiFi.
Вот моя установка:
- Kali Linux, виртуализированный с помощью Parallels на macOS 10.14: 4.19.37-6kali1 (2019-07-22)
- Адаптер USB WiFI Alfa Network AWUS036NHA (проходит через виртуальную машину, не используется хостовой ОС)
lsusbпоказывает мне:Qualcomm Atheros Communications AR9271 802.11nlsmod | grep 80211дает
mac80211 815104 1 ath9k_htc
cfg80211 761856 4 ath9k_htc,ath9k_common,ath,mac80211
rfkill 28672 5 bluetooth,cfg80211
Адаптер отображается iwconfigкак wlan0.
Вот как я перевожу адаптер в режим мониторинга:
> airmon-ng check kill
> airmon-ng start wlan0
PHY Interface Driver Chipset
phy1 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
(mac80211 station mode vif disabled for [phy1]wlan0)
> iwconfig
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Теперь я настраиваю его на канал точки доступа, которую хочу слушать: iwconfig wlan0mon channel 3и могу проверить, что iwconfigтеперь отображается Frequency:2.422 GHz. В целях тестирования я также заблокировал свою точку доступа на этом канале.
Сейчас я запускаю Wireshark и начинаю захват на wlan0mon. Моя хост-машина, а также kali vm на данный момент не подключены ни к какой сети.
Я могу видеть все виды кадров управления и контроля, но не более того, поскольку моя целевая сеть зашифрована. Поэтому я беру другого физического клиента, подключаюсь к точке доступа и вижу, как захватываются пакеты EAPOL; с этого момента я начинаю видеть расшифрованный трафик (мой ключ хранится в Wireshark).
Проблема в следующем: я вижу только широковещательный трафик: ARP, некоторые широковещательные сообщения UDP, MDNS, объявления маршрутизатора ICMP и т. д. Когда я использую другой клиент и создаю какой-то трафик (постоянный пинг/ICMP, трафик HTTPs и т. д.), он просто не отображается/не захватывается.
Когда я возвращаю свой адаптер в управляемый режим и сам подключаюсь к сети, захват работает нормально (очевидно, тогда только для трафика моей машины). Стоит отметить, что у меня та же проблема здесь, когда я не отключаю сначала свою хост-машину, даже если она использует свой собственный адаптер WiFi (т. е. также захватывает только широковещательный трафик).
Есть ли идеи, что может быть причиной этой проблемы/почему захватывается только широковещательный трафик?
(Захват пакетов с airodump-ngпомощью Wireshark не дает никаких результатов — также видны только широковещательные пакеты).
решение1
Вы не можете захватывать кадры, которые были переданы с использованием схем модуляции и кодирования, которые ваше оборудование захвата не понимает. Ваше оборудование захвата не является MIMO (1x1:1), поэтому оно не может захватывать ничего, отправленного с использованием двух или трех пространственных потоков MIMO. Я подозреваю, что ваш целевой клиент и точка доступа оба поддерживают как минимум 2x2:2.
Многоадресные и широковещательные рассылки "From DS" отправляются на низких скоростях для надежности, поскольку они не подтверждены. Так что они, вероятно, отправляются с использованием медленной модуляции non-MIMO. Вот почему вы видите многоадресные и широковещательные рассылки, но не одноадресные.
Кадры управления и контроля, и даже рукопожатие EAPOL, часто отправляются на более низких скоростях PHY для надежности. Но после того, как рукопожатие EAPOL выполнено и реальный одноадресный трафик начинает летать, оборудование начинает использовать самые высокие MCS, которые поддерживают оба конца и которые условия RF позволяют им использовать надежно.