Fallo al capturar paquetes en wlan0 en modo monitor

Navega tus respuestas
2

He leído una gran cantidad de preguntas y respuestas, ya que han tenido éxito en las capturas de paquetes de solicitudes de sondas de Wifi, lo que implica capturar IEEE802_11_RADIO (802.11 más el encabezado de radiotap) en modo monitor. Pero encuentro que no puedo capturar ningún paquete en modo monitor (aunque no tengo problemas con las capturas de paquetes en modo administrado en una red). Estoy sentado junto a mi iPhone, en el que estoy transmitiendo videos y, a veces, estoy comprobando la presencia de redes inalámbricas adicionales.

¿No debería al menos estar recogiendo balizas de AP? ¿Alguien puede sugerir cuál podría ser mi obstáculo?

He configurado mi tarjeta inalámbrica en modo monitor, luego ejecuto tcpdump: 

ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
tcpdump -fni wlan0              # TCPDUMP

También he intentado usar airmon-ng para crear un nuevo dispositivo en el que intentar capturar: 

stop network-manager            # AIRMON-NG WARNS THAT THIS COULD CAUSE PROBLEMS IF NOT KILLED
service avahi-daemon stop       # AIRMON-NG WARNS THAT THIS COULD CAUSE PROBLEMS IF NOT KILLED
killall wpa_supplicant          # AIRMON-NG WARNS THAT THIS COULD CAUSE PROBLEMS IF NOT KILLED
airmon-ng start wlan0           # AIRMON-NG
tcpdump -fni mon0               # TCPDUMP

En el bloque de comandos anterior, airmon-ng genera lo siguiente: 

Interface   Chipset     Driver

wlan0       Unknown     iwlwifi - [phy0]
                (monitor mode enabled on mon0)

tcpdump produce de forma consistente lo siguiente y luego nada (sin capturas): 

tcpdump: WARNING: mon0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on mon0, link-type IEEE802_11_RADIO (802.11 plus radiotap header), capture size 65535 bytes

Estoy corriendo:
tcpdump version 4.5.1
libpcap version 1.5.3
Ubuntu 14.04 LTS

También probé airodump-ng para escanear los canales 1-12.

En cuanto a mi hardware, lspci ouputs: 

03:00.0 Network controller: Intel Corporation Wireless 7260 (rev 83)
    Subsystem: Intel Corporation Dual Band Wireless-AC 7260
    Flags: bus master, fast devsel, latency 0, IRQ 64
    Memory at f0400000 (64-bit, non-prefetchable) [size=8K]
    Capabilities: [c8] Power Management version 3
    Capabilities: [d0] MSI: Enable+ Count=1/1 Maskable- 64bit+
    Capabilities: [40] Express Endpoint, MSI 00
    Capabilities: [100] Advanced Error Reporting
    Capabilities: [140] Device Serial Number e8-b1-fc-ff-ff-e8-fa-80
    Capabilities: [14c] Latency Tolerance Reporting
    Capabilities: [154] Vendor Specific Information: ID=cafe Rev=1 Len=014 <?>
    Kernel driver in use: iwlwifi
    
pregunta JellicleCat 24.07.2015 - 18:41
fuente

1 respuesta

2

tcpdump volcará todos los paquetes IP capturados desde la red a la que está conectado actualmente. De acuerdo con su explicación y elementos, ha hecho que la interfaz sea up pero no se ha conectado a ninguna red Wi-Fi: no hay red, no hay paquetes de red para capturar, por lo tanto no hay salida de tcpdump , todo es tan simple como que.

Primero debe conectarse a un punto de acceso, luego puede examinar la actividad de IP de otros dispositivos conectados al mismo punto de acceso que usted.

Por último, no confunda tcpdump , que capturará paquetes claros de la capa de red, con herramientas dedicadas de nivel inferior y wifi como airodump-ng , que permitirán capturar cuadros en bruto "Wifi" a medida que salen al aire (es decir, . en su mayoría cifrados). Sin embargo, no todos los adaptadores wifi lo permiten (el conjunto de chips clasificado como "Desconocido" por airmon-ng me deja bastante pesimista sobre el suyo ...). Es frecuente, incluso en dispositivos que ya están equipados con un adaptador Wifi interno (computadoras portátiles, etc.) para usar otro externo, generalmente USB, para las pruebas de seguridad de Wifi.

    
respondido por el WhiteWinterWolf 24.07.2015 - 22:30
fuente

Lea otras preguntas en las etiquetas

¿Existe un sistema criptográfico que permita a un conjunto de auditores confirmar que tienen firmas de grupo o Shamir válidas? Fuente de base de datos de vulnerabilidad confiable [cerrado]