Karta bezprzewodowa obsługująca tryb rozwiązły w systemie Windows 7

8

Próbuję użyć Wireshark, aby dowiedzieć się trochę o sieci i przechwytywaniu pakietów. Jednak z tego, co rozumiem, połączenie systemu Windows 7 + różnych układów Wi-Fi nie pozwala karcie sieciowej działać w „trybie rozwiązłym”. Czy ktoś miał jakieś doświadczenie, żeby to zadziałało?

JPC
źródło
Istnieje jeszcze inne oprogramowanie do wąchania twojej karty bezprzewodowej (niestety nie znam żadnego konkretnego).
Diogo,
1
Jeśli twoja karta nie obsługuje wymaganego trybu działania, zmiana sniffera w ogóle nie pomoże.
Spiff
tak, rozumiem to
JPC,

Odpowiedzi:

7

Uważaj tutaj na problemy terminologiczne.

Tryb promiscuous to koncepcja, która powstała w przewodowym Ethernecie, gdzie masz kartę, która pokazuje cały ruch, który koncentruje się na twoim porcie, nawet jeśli nie jest do ciebie adresowany. Wiele (ale nie wszystkie) karty Wi-Fi obsługują tryb rozwiązły, w sposób podobny do trybu rozproszonego Ethernet; pokazuje tylko ramki „danych”, tylko w twojej bieżącej sieci (ten sam BSSID) i pokazuje je po ich przetłumaczeniu na pakiety typu przewodowego Ethernet (ramkowanie Ethernet-II lub 802.3). Chodzi o to, aby wyglądał tak samo jak ruch, który można zobaczyć na przewodowym interfejsie Ethernet w trybie wyróżniającym, ze względu na inżynierów sieciowych, którzy chcą patrzeć na rzeczy na tym poziomie.

Tryb monitorowania 802.11 to rodzaj bardzo rozwiązłego trybu dla kart 802.11. W trybie pełnego monitorowania karta jest dostrojona do kanału i pokazuje wszystkie pakiety, które może odebrać na tym kanale, bez względu na wszystko. Jeśli na tym kanale znajdują się inne sieci Wi-Fi, wyświetla także ramki z tych innych sieci. Pokazuje nie tylko ramki danych, które można zobaczyć w przewodowym Ethernecie, ale także specyficzne dla 802.11 „Zarządzanie” (Beacon, Sonda, Auth, Assoc, Action itp.) I „Control” (Ack, RTS, CTS, PS -poll, itp.) również ramki. I pokazuje, że są nieprzetłumaczone, z pełnymi nagłówkami w stylu 802.11.

Pełne wsparcie dla trybu monitorowania 802.11 jest trudniejsze do znalezienia na kartach Wi-Fi konsumentów, a tam, gdzie istnieje, często jest wadliwe.

Wielu profesjonalistów 802.11 ostatecznie decyduje się na zakup do tego celu bezprzewodowej karty USB „AirPcap” firmy CACE Technologies (sponsor firmy Wireshark), ponieważ od samego początku są one świetnymi kartami w trybie monitorowania 802.11 do użytku z Wireshark.

Aktualizacja:
Należy również zauważyć, że tak naprawdę jest tylko kilku dostawców chipsetów Wi-Fi, a wszyscy producenci kart używają chipów od tych kilku dostawców. Największymi dostawcami są Broadcom, Atheros, Marvell i Intel, a istnieje kilku mniejszych mniej znanych dostawców, takich jak Ralink. Spośród nich Atheros od dawna jest najlepszym producentem mikroukładów do obsługi trybu monitorowania i obsługi oprogramowania typu open source. Możesz sprawdzić społeczność sterowników Linux Wi-Fi, aby dowiedzieć się, które karty używają układów Atheros i dobrze obsługują sterownik „Madwifi”, a następnie wybrać jedną z nich; częściej mają sterownik Windows, który dobrze obsługuje tryb monitorowania.

Spiff
źródło
hmm, cóż, używam wireshark i przypuszczam, że wireshark używa trybu rozwiązłego, co oznacza „tryb monitorowania”. Tak czy inaczej, monitoruj lub rozwiązłe, nie mogę wymyślić, jak włączyć dowolny tryb na mojej karcie w systemie Windows 7. Czy są jakieś znane karty, które to obsługują? Inne niż wireshark
JPC
@JPC Dodałem aktualizację. Chociaż nie mogę wskazać konkretnej karty, polecam wybrać karty oparte na Atheros. Spośród największych dostawców chipsetów Wi-Fi, Atheros zawsze był preferowanym dostawcą dla osób produkujących testowe urządzenia Wi-Fi itp., Więc założę się, że bardziej prawdopodobne jest znalezienie dobrego wsparcia dla trybu monitorowania w Atheros- karta oparta na czymkolwiek innym.
Spiff,
3
Nie, Wireshark nie używa trybu rozwiązłego w trybie monitorowania. Używa trybu rozwiązłego, aby oznaczać tryb rozwiązły, i trybu monitorowania, aby oznaczać tryb monitorowania. Używa także WinPcap do przechwytywania ruchu sieciowego; WinPcap nie obsługuje trybu monitora (w przeciwieństwie libpcap na jakimś ONZ * XES, co robi tryb monitora wsparcie w nowszych wersjach), a podczas WinPcap obsługuje tryb promiscuous, nie robi tego, czy kierowca nie obsługuje, a mało jeśli jakikolwiek sterownik karty 802.11 go obsługuje (myślę, że specyfikacje Microsoftu dotyczące sterowników 802.11 mówią, że nie powinny obsługiwać trybu rozwiązanego!).
@JPC słuchać Guy Harris. Wie coś o Wireshark.
Spiff