¿Es el modo promiscuo suficiente para detectar paquetes en una red wifi?

Navega tus respuestas
4

Estoy conectado a mi red WiFi y quiero capturar y analizar los paquetes que otros clientes están intercambiando con la puerta de enlace. No quiero modificar el contenido de estos paquetes y no necesito leer el contenido de cada paquete.

En realidad, la configuración de WLAN es la siguiente:

  • un enrutador 192.168.1.1
  • la computadora portátil que estoy usando para detectar tráfico 192.168.1.9
  • mi teléfono inteligente 192.168.1.2

así que quiero poder ver (parte de) el tráfico entre mi teléfono inteligente y el enrutador.

Para lograr el objetivo, configuro la interfaz inalámbrica en modo promiscuo con sudo ip link wlo1 promiscuous on y verifico si está habilitada con netstat -i : 

Kernel Interface table
Iface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enp8s0     1500 0     28962      0      1 0         22923      0      0      0 BMU
lo        65536 0      7294      0      0 0          7294      0      0      0 LRU
wlo1       1500 0     29469      0      0 0         12236      0      0      0 BMPRU

El P en la columna de la bandera indica el modo promiscuo, así que supongo que está habilitado. Dado que el modo promiscuo está activado, debería ver todo el tráfico que puede capturar mi NIC. Luego abro Wirehark y comienzo a capturar el tráfico en la interfaz wlo1 , pero no veo ningún paquete de la fuente 192.168.1.2 y estoy navegando por la red con mi teléfono inteligente (por lo tanto, estoy generando tráfico).

¿Qué estoy haciendo mal?

EDITAR: encontré el problema.

La interfaz todavía está en modo administrado. Intenté agregar manualmente una nueva interfaz. iw phy phy0 info dice que mi NIC admite el modo de monitor, pero si intento agregar una nueva interfaz con sudo iw phy phy0 interface add mon0 type monitor , obtengo lo siguiente: 

blackbrain@blackbrain-host:~$ iw dev
phy#0
    Interface mon0
        ifindex 5
        wdev 0x3
        addr 34:68:95:03:48:17
        type managed
    Interface wlo1
        ifindex 3
        wdev 0x1
        addr 34:68:95:03:48:17
        type managed
        channel 7 (2442 MHz), width: 20 MHz, center1: 2442 MHz

ambas interfaces están en modo administrado.

¿Alguna idea?

    
pregunta BlackBrain 05.06.2016 - 21:52
fuente

1 respuesta

2

Para responder a la pregunta de la línea del asunto, "¿Es el modo promiscuo suficiente para detectar paquetes en una red wifi?", la respuesta es sí, la captura de los paquetes solo requiere un adaptador de red que se pueda colocar en "monitor" o "promiscuo" modo, es decir, ambos modos funcionan ... esa parte no es tan difícil. (Mencionó ambos modos en su edición) Suponiendo que está utilizando un enrutador NAT junto con un servidor DHCP ... y lo está, ¿verdad?

Admito que todo lo que he aprendido sobre la creación de redes no ha sido a través de la escuela pero, siendo este el escenario, ¿tengo la sensación de que el cambio de red podría ser un problema?

También he estado bebiendo vino, jajaja, pero en mi antiguo lugar en Victoria, si te conectas a un puerto de mi enrutador, no verías el tráfico que envié a Internet. Esto se debe a que el conmutador de red sabía dónde enviar el tráfico y solo enviaba el tráfico entre los puertos que necesitaban verlo.

Alternativamente, pero más a tu pregunta, si miras mi red inalámbrica, no tendrías ni idea de lo que estoy haciendo ... el conmutador solo transmite Tráfico de Transmisión o Tráfico a donde no conoce el destino a todos los puertos . Luego, la conexión inalámbrica, que es un puente, solo transmitirá a la red inalámbrica lo que NECESITA que se envíe a la parte inalámbrica del puente.

Dicho esto, existen varios métodos para la CLASIFICACIÓN de un conmutador, utilizando un ataque Man in the middle o una inundación de puertos.

De todos modos, no se trata de detectar paquetes, sino de descifrar, comprender y utilizar el tráfico interceptado, que es una forma de arte en sí mismo. Usted mencionó que también quería analizar los paquetes ... Es bastante difícil, y en algunos casos, simplemente no es práctico hacerlo. Quiero decir, para analizar realmente, está más allá del nivel de habilidad de la mayoría de los usuarios, aunque estoy seguro de que hay algunos genios en Stack Exchange con los que deberías tomarte una cerveza ...

¡La mejor de las suertes en tus experiencias de aprendizaje!

    
respondido por el Suzy Easton 06.06.2016 - 10:45
fuente

Lea otras preguntas en las etiquetas

Registrar todas las llamadas de API durante la ejecución de una aplicación de Android ¿Necesito OAuth para pasar una clave API de un servicio (ahora se pasa a través de copiar y pegar)?