Estoy conectado a mi red WiFi y quiero capturar y analizar los paquetes que otros clientes están intercambiando con la puerta de enlace. No quiero modificar el contenido de estos paquetes y no necesito leer el contenido de cada paquete.
En realidad, la configuración de WLAN es la siguiente:
- un enrutador
192.168.1.1
- la computadora portátil que estoy usando para detectar tráfico
192.168.1.9
- mi teléfono inteligente
192.168.1.2
así que quiero poder ver (parte de) el tráfico entre mi teléfono inteligente y el enrutador.
Para lograr el objetivo, configuro la interfaz inalámbrica en modo promiscuo con sudo ip link wlo1 promiscuous on
y verifico si está habilitada con netstat -i
:
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enp8s0 1500 0 28962 0 1 0 22923 0 0 0 BMU
lo 65536 0 7294 0 0 0 7294 0 0 0 LRU
wlo1 1500 0 29469 0 0 0 12236 0 0 0 BMPRU
El P
en la columna de la bandera indica el modo promiscuo, así que supongo que está habilitado. Dado que el modo promiscuo está activado, debería ver todo el tráfico que puede capturar mi NIC. Luego abro Wirehark y comienzo a capturar el tráfico en la interfaz wlo1
, pero no veo ningún paquete de la fuente 192.168.1.2
y estoy navegando por la red con mi teléfono inteligente (por lo tanto, estoy generando tráfico).
¿Qué estoy haciendo mal?
EDITAR: encontré el problema.
La interfaz todavía está en modo administrado. Intenté agregar manualmente una nueva interfaz. iw phy phy0 info
dice que mi NIC admite el modo de monitor, pero si intento agregar una nueva interfaz con sudo iw phy phy0 interface add mon0 type monitor
, obtengo lo siguiente:
blackbrain@blackbrain-host:~$ iw dev
phy#0
Interface mon0
ifindex 5
wdev 0x3
addr 34:68:95:03:48:17
type managed
Interface wlo1
ifindex 3
wdev 0x1
addr 34:68:95:03:48:17
type managed
channel 7 (2442 MHz), width: 20 MHz, center1: 2442 MHz
ambas interfaces están en modo administrado.
¿Alguna idea?