Jak ustawić NIC w trybie rozwiązanym na Mac Book Air?

1

Próbuję uruchomić swoją nicość na MacOSx w trybie rozwiązłym, a następnie użyć tshark/tcpdump

Opcja 1:

 ifconfig en0 promisc

ale dostaję tę wiadomość:

ifconfig: promisc: bad value

Opcja 2:

Próbowałem sudo tcpdump -In -i en0 host 10.0.0.2i nie działa zbyt . Śledziłem: tryb rozwiązany tcpdump na OSX 10.8 . 10.0.0.2jest moim lokalnym hostem - i nie drukuje nic do bashowania:

tcpdump: listening on en0, link-type IEEE802_11_RADIO (802.11 plus radiotap header), capture size 65535 bytes
^C
0 packets captured
99 packets received by filter
0 packets dropped by kernel
0x90
źródło

Odpowiedzi:

2

TShark i tcpdump wprowadzą interfejs w tryb rozwiązły, chyba że powiesz im, aby NIE robiło tego z -pflagą - -pnie oznacza to „trybu rozwiązłego”, ale oznacza „tryb wyłączony”.

-Iwłącza tryb monitorowania .

Zauważ, że jeśli jesteś w „chronionej” sieci używającej szyfrowania, tj. Sieci używającej WEP lub WPA / WPA2, filtry przechwytywania inne niż w warstwie łącza nie będą działać, ponieważ pakiety są przekazywane do mechanizmu przechwytywania pakietów (BPF , w przypadku OS X) nie odszyfrowano ładunku. Oznacza to, że filtr taki jak „host 10.0.0.2” nie będzie działać.


źródło
co rozumiesz przez BPF do not have the payload decryptedklucz jest identyczny ze wszystkimi hostami w sieci.
0x90
1
Mam na myśli, że system operacyjny nie odszyfruje pakietów przed przekazaniem ich do kodu, który implementuje filtry, nawet jeśli odszyfruje pakiety wysłane do hosta (ale nie pakietów wysłanych do innego hosta) przed przekazaniem ich do stosu sieciowego . Dlatego każde wyrażenie filtru, które patrzy na warstwę IP, takie jak „host 10.0.0.2”, zakończy się niepowodzeniem.
Jak mogę wąchać pakiety?
0x90
2
Jeśli korzystasz z sieci WEP lub WPA / WPA2: nie używaj filtra przechwytywania, upewnij się, że przechwytujesz wstępne uzgadnianie EAPOL dla wszystkich hostów, na których Ci zależy, jeśli jest to sieć WPA / WPA2, i postępuj zgodnie z tymi instrukcjami w Wireshark ( lub ręcznie dodaj klucze do pliku preferencji Wireshark, jeśli możesz używać tylko TShark).