Wireless Packet Sniffing unter Linux. Erfasste Daten werden fast nur ausgestrahlt

Umgebung: Heimnetzwerk, das auf Kanal 8 betrieben wird (ich bin der Administrator, sodass alle Kennwörter bekannt sind und ich physischen Zugriff auf alle Geräte habe), mit angeschlossenem PC und Laptop (beide stehen etwa 20 cm vom Router entfernt)
Ziel: Verwenden Sie ein drahtloses Modul auf dem PC (auf dem Linux in einer VM ausgeführt wird), um den Datenverkehr des Laptops zu erfassen
Problem: Erfasste Daten sind nicht wie erwartet

Ich benutze ein RaLink RT5370 Funkmodul, welches wiederum verwendet den rt2800usb-Treiberteil des Kernels. Hier ist die Ausgabe von iwconfig: 

mon0      IEEE 802.11bgn  Mode:Monitor  Tx-Power=0 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

Und hier ist die Ausgabe von ip link: 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: mon0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UNKNOWN mode DEFAULT group default qlen 1000
    link/ieee802.11/radiotap 00:e1:b2:00:36:79 brd ff:ff:ff:ff:ff:ff

Ich habe versucht, den Datenverkehr auf verschiedene Arten zu erfassen, aber ich bevorzuge die Verwendung von tcpdump: 

tcpdump -n -w test.pcap -i mon0

Nachdem ich mit der Erfassung auf dem PC begonnen habe, würde ich normalerweise den Laptop einschalten, dem Netzwerk beitreten (damit ich den EAPOL-Handshake erfassen kann), ein wenig im Internet surfen und dann die Erfassung stoppen. Hier beginnen meine Probleme. Ich lade das Video traffic in Wireshark und ich merke, dass ich in der ungefähr 1 Minute, in der der Laptop das Netzwerk benutzte, ungefähr 600 bis 700 Pakete erfassen konnte. Die überwiegende Mehrheit, etwa 98% von ihnen, sind Beacon-Frames, die vom Router gesendet werden. Bei meinem letzten Versuch wurden 643 Pakete erfasst, von denen 638 (99,2%) Sendungen und 5 Multicasts waren, die vom Laptop stammten. Alles in allem wurde also nichts Nützliches aufgezeichnet. Was könnte das problem sein und wie könnte ich erfassen unicasts zwischen dem laptop und dem router?

Der größte Teil der Online-Dokumentation scheint sich mit dem Einrichten der Netzwerkschnittstelle im Monitormodus und dem Entschlüsseln des aufgezeichneten Datenverkehrs zu befassen, aber ich habe ersteres bereits genagelt, glaube ich, und letzteres nützt mir nichts, wenn Ich habe keinen sinnvollen Datenverkehr zu beginnen.

Tl;dr tcpdump scheint den ganzen Müll zu erfassen, wie kann ich Unicasts erfassen?

Hinweis: Das OP aus dieser Frage (Warum Wireshark zeigt keine High-Layer-Pakete wie ICMP/IP/UDP an? (Es werden nur Broadcast-Pakete angezeigt) ) scheint ein ähnliches Problem zu haben, aber es ist fast drei Jahre alt und die vorgeschlagene Ursache (Hardware) scheint auf meinen Fall nicht anwendbar zu sein, da ich ein völlig anderes Gerät verwende.

Author: Community, 2016-01-16
Source

1 answers

Um in einem Wi-Fi-Netzwerk Unicast-Datenverkehr zu erfassen, der nicht an oder von der Erfassungsmaschine gesendet wird, müssen Sie wahrscheinlich im Monitormodus erfassen. Der Wireshark Wiki-Artikel über WLAN-Captures gibt eine Menge Details dazu; Die Art und Weise, wie Sie im Monitormodus erfassen, ist betriebssystemabhängig-neuere Versionen von libpcap auf Nicht-Windows-Betriebssystemen und aktuelle Versionen von Wireshark versuchen, dies durch Aktivieren eines Kontrollkästchens zu tun, aber aus verschiedenen Gründen funktioniert dies nicht unbedingt unter Linux oder *BSD, und es funktioniert nicht unter Windows. arbeiten Sie überhaupt unter Windows (um im Monitormodus unter Windows zu erfassen, müssen Sie mit einem Tool wie Microsoft Network Monitor erfassen oder ein AirPcap-Gerät mit Wireshark verwenden).

Beachten Sie, dass, wenn das Netzwerk, in dem Sie sich befinden, mit WEP oder WPA/WPA2 "geschützt" ist, Sie es entschlüsseln können müssen; Details dazu finden Sie im Wireshark Wiki - Artikel zum Entschlüsseln von 802.11-Beachten Sie, dass Sie für WPA/WPA2 den Datenverkehr erfassen müssen, der angezeigt wird, wenn die anderen Hosts mit dem Netzwerk verbunden sind. möglicherweise müssen Sie die Mobiltelefone ausschalten, bevor Sie mit der Verkehrsaufnahme beginnen, und sie nach dem Start der Erfassung wieder einschalten. Beachten Sie auch, dass Capture-Filter auf unverschlüsselte Pakete arbeiten, so dass, wenn der Verkehr verschlüsselt ist, können Sie nicht Capture-Filter auf etwas auf der IP-Ebene verwenden (wie IP-Adressen) oder höher, können Sie nur auf der MAC-Ebene filtern (MAC-Adressen, Frame-Typen, und so weiter). Sie können jedoch Anzeigefilter verwenden, sobald der Datenverkehr entschlüsselt ist.

 2
Author: Richie086,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2016-01-16 21:15:01