¿Cómo puedo capturar paquetes del dispositivo LAN en Wireshark?

Navega tus respuestas
3

EDITAR: Al ver cómo esta pregunta es tan popular, la reformularé y mejoraré para permitir una respuesta. Es casi imposible de responder en su forma antigua.

Configurar

  • PC que ejecuta Wireshark, conectado a la red inalámbrica (si la variación del sistema operativo es un problema, use Wireshark en Linux).

  • Otro dispositivo conectado, inalámbrico, a la misma LAN.

  • La red inalámbrica utiliza el cifrado WPA2

Pregunta

Al utilizar Wireshark en mi PC, ¿cómo capturo TODOS los paquetes enviados y recibidos por el otro dispositivo en la LAN?

Ejemplo

Quiero usar Wireshark, que se ejecuta en Debian, para capturar todos los paquetes de YouTube que entran y salen de un dispositivo Android en mi misma red.

    
pregunta Mars 20.07.2014 - 20:50
fuente

4 respuestas

5

Si ambos usan WiFi (con cifrado de clave precompartida basado en WPA), las cosas son realmente simples (lo cual no habría sido el caso si estuviera en una red cableada):

  • Inicia Wireshark en tu computadora
  • Establezca la clave WPA en la configuración de Wireshark
  • Comience la captura de paquetes en su interfaz inalámbrica (en Linux debería poner su dispositivo inalámbrico en modo Monitor para reunir todos los paquetes)
  • Forzar el dispositivo de destino para volver a asociarse con el AP (activar / desactivar wifi, activar / desactivar AP, etc.)
  • Observe el apretón de manos de 4 vías con Wireshark (gracias al paso anterior)
  • Haz lo que quieras en tu dispositivo Android para generar tráfico
  • Vea su tráfico inalámbrico sin cifrar en Wireshark
  • ¡Disfruta!

Con las claves WPA establecidas en Wireshark, descifrará paquetes sobre la marcha, permitiéndole ver el tráfico de su dispositivo Android.

Editado para incluir el paso necesario para descifrar el tráfico protegido por WPA, que está observando un protocolo de enlace de cuatro vías

    
respondido por el mdeous 21.07.2014 - 03:00
fuente
2

bueno, no sería la más fácil (o la mejor idea) capturar el tráfico directamente desde su computadora o dispositivo Android. cuando quiero hacer este tipo de cosas, enciendo ssh en mi enrutador inalámbrico y hago tcpdump -i br0 para poder capturar el tráfico de CADA dispositivo que esté accediendo a Internet a través de mi enrutador. Si pudiera ingresar a su enrutador wifi y tener tcpdump en la caja ocupada de su enrutador (o cualquier otro Linux integrado), entonces está listo para comenzar. solo haz el comando de arriba.

    
respondido por el H3lp3ingth3p33ps 20.07.2014 - 21:00
fuente
0

Supongamos que no desea realizar un ataque MITM (hombre en el ataque central), lo que es un poco más difícil de configurar, sugeriría una solución basada en la red:

  1. configurar un punto de acceso
  2. Conecte su punto de acceso a un concentrador (utilizando un cable de red normal)
  3. Conecte su computadora (donde se supone que Wirehark se está ejecutando) a un concentrador (usando un cable de red normal)
  4. Conecte su hub a un enrutador (nuevamente, usando un cable de red normal)
  5. Comienza a olfatear con wireshark :)
  6. Conecte su Android o cualquier otro dispositivo móvil al punto de acceso (Wifi)
respondido por el user575915 21.07.2014 - 00:24
fuente
0

En realidad estaba jugando con esto hace unas semanas , aunque utilizando Burp en lugar de Wireshark. Enruté el tráfico a través de mi cuadro de pentesting utilizando un enrutador definido por software y redireccionando con el objetivo REDIRECT de IPTables a través de un túnel SSH. Es posible que esto sea una exageración, pero permite redirigir el tráfico donde lo desee. También puede hacer esto desde un enrutador que ejecute linux.

Otras opciones incluyen configurar su computadora como un punto de acceso y conectar su dispositivo a ella, o usar la técnica descrita por @MatToufoutu, hacer que Wireshark descifre el tráfico, pero luego puede perder algo de tráfico que está oculto por el ruido o fuera de él. rango.

    
respondido por el David 21.07.2014 - 03:23
fuente

Lea otras preguntas en las etiquetas

Reglas del cortafuegos por URL ¿Es un kernel monolítico más seguro que un microkernel para un sistema operativo pequeño?