Tryb promiscuous oznacza kompatybilność z trybem monitorowania?

1

Chodzi mi o to, że chcę umieścić mój interfejs karty bezprzewodowej w trybie swobodnym, aby przeskanować moją sieć bezprzewodową, do której jestem podłączony. Czy muszę mieć kompatybilną kartę WiFi w trybie monitorowania?

Czy powinienem koniecznie ustawić swoją flagę jako rozwiązłą, zanim uruchomię Wireshark przy użyciu trybu promiscuous? 

sudo ip link set wlan0 promisc on

Próbowałem już tego bez posiadania karty kompatybilnej z monitorem bez powodzenia. Otrzymuję tylko pakiety broadcast i multicast.

wireshark whitenoisedb
źródło

Odpowiedzi:

1

(Zastrzeżenie: Może zawierać błędy. Napraw, jeśli znasz lepiej sieci).

Tryb promiscuous nie oznacza trybu monitora, jest odwrotnie :

  • „Tryb promiscuous” zarówno w sieci WiFi, jak i Ethernet oznacza, że ​​karta akceptuje pakiety w bieżącej sieci, nawet jeśli są wysyłane na inny adres MAC.

  • „Tryb monitorowania” jest specyficzny dla Wi-Fi i oznacza, że ​​karta akceptuje pakiety każdy sieć, bez konieczności bycia z nią powiązanym.

Zauważ, że oba tryby tylko powiedz karcie, aby akceptowała pakiety - nie mówią sieci nadrzędnej wysłać pakiety w twoim kierunku. Przełączniki Ethernet zwykle nie wysyłają pakietów przez port (lub port WiFi AP), jeśli wiedzą, że odbiorca jest faktycznie podłączony do innego portu.

Wreszcie każdy sniffer sieciowy - w tym Wireshark - automatycznie włącza tryb promiscuous. Tryb monitorowania musi być jednak włączony ręcznie, ponieważ często jest specyficzny dla sterownika i tak, wiele kart nie obsługuje tego trybu. (Miałem szczęście z serią Atheros ath9k.)

The airmon-ng skrypt z aircrack-ng próbuje wykryć bieżący sterownik, ale na początek możesz spróbować: 

iw <device> interface add mon0 type monitor

(gdzie <device> czy jest to interfejs sieciowy wlan0 lub fizyczne urządzenie jak phy0 ), aby utworzyć oddzielny interfejs trybu monitorowania. Zauważ, że jeśli pozostaniesz powiązany z AP na wlan0, wtedy zobaczysz pakiety tylko na tej samej częstotliwości / kanale nawet w trybie monitora.

grawity
źródło
To moje pytanie. Dlaczego powinienem umieścić mój interfejs w trybie monitorowania, jeśli chcę go mieć w trybie swobodnym? Problem polega na tym, że uruchamiam Wireshark w trybie promiscuous i odbieram tylko pakiety broadcast i multicast z innych komputerów WLAN.
whitenoisedb
@redraw: Przeczytaj ponownie to, co napisałem. Nikt ci tego nie powiedział powinien umieść interfejs w trybie monitorowania. Tryb monitorowania nie pomoże: zajmuje się pakietami, które otrzymujesz, które należą do innych identyfikatorów SSID; nic nie zrobi, jeśli AP nie wyśle ​​ci pakietów na pierwszym miejscu .
grawity
1
Mogłem wąchać pakiety za pomocą ettercap z zatruciem ARP i MITM: otrzymałem pakiety od ofiary i poprowadziłem je do routera. Dlaczego więc tryb mieszany nie widziałby tych pakietów po prostu nasłuchujących na moim obszarze sieci Wi-Fi (bez podszywania się pod arp / mitm)?
whitenoisedb
1
Wszystkie komputery są połączone za pośrednictwem WiFi z routerem bezprzewodowym! Robiąc MITM, otrzymywałem je faktycznie, ale myślę, że powinienem je widzieć tylko przez ustawienie interfejsu w trybie promiscuous, prawda?
whitenoisedb
1
@redraw MITM z Ettercap działał na mojej chronionej sieci WPA2 w porównaniu z trybem promiscuous z Wireshark, gdzie nie otrzymałem ruchu innych osób (nawet zaszyfrowanego z potrzebą deszyfrowania Wireshark wpa-pwd). Podobnie jak ty, myślę, że powinniśmy zobaczyć ruch innych osób w trybie swobodnym w tej samej sieci WiFi bez ataku MITM. Z mojego doświadczenia wiem, że moja laptopowa karta jest kompatybilna z trybem monitora (nie wiem dla trybu promiscuous), ponieważ byłem w stanie sniffować żądania HTTP otwartej sieci Wifi bez połączenia.
baptx