¿Cómo detectar paquetes 802.11 sin pasar al modo monitor?

2

¿Es posible detectar o capturar paquetes 802.11 que envían mi computadora al enrutador (AP)? Sé que no puedo rastrear los paquetes que tienen otra dirección MAC de destino sin pasar al modo monitor, pero ¿es posible capturar y ver los paquetes 802.11 que se envían desde mi computadora al AP y se reciben desde el AP?

Quiero usar mi adaptador de red predeterminado para hacer esto (no se admite el modo de monitor). ¿Es posible?

    
pregunta user126623 22.07.2016 - 14:21
fuente

2 respuestas

1

No. Absolutamente puede ver los cuadros que genera o están destinados a su radio sin modo de monitor. Con la excepción del primer saludo 802.1x, desafortunadamente. Necesitarás algo como wireshark o tcpdump. Sin embargo, si está hablando del 802.11 EAP, necesitará un dispositivo que pueda usar en modo monitor, ya que no se pasan como marcos estándar: (podría sugerir un ALFA AWUS036H)

Ambos se basan en algo llamado libpcap para permitirle acceder a los mensajes de capa 2 que ven sus dispositivos de red. Ahora esto no es perfecto y los paquetes pueden modificarse antes de que los vea su NIC. (p. ej., si está capturando en un sistema Windows, es probable que vea errores en los errores de suma de comprobación de TCP e IPv4, esto se debe a una función llamada TCP Offload Engine). El modo de monitoreo debe superarse esas limitaciones.

Lamentablemente, no conozco ninguna forma de capturar los paquetes de autorización previa 802.1x sin modo de monitor. El primer marco que verá dentro de un pcap como este es probablemente el marco de solicitud DHCP.

Lo que podría funcionar, es si instala un entorno de virtualización (VirtualBox o Vmware) y luego intenta configurar el modo de puente en la interfaz y luego usa el adaptador virtual para espiar los marcos 802.1x. Necesitará autenticarse dentro de su máquina virtual, pero entonces podría presumirlo a través de la interfaz virtual.

    
respondido por el Ori 19.04.2017 - 17:37
fuente
0

No lo creo. Cuando la tarjeta inalámbrica está en modo administrado (el modo de cliente habitual), la tarjeta mira el encabezado 802.11 y pasa todo lo demás al kernel, por lo que falta ese encabezado. En el modo de monitor, las aplicaciones pueden obtener más o menos la salida en bruto de la tarjeta inalámbrica, incluido el encabezado 802.11.

    
respondido por el multithr3at3d 22.07.2016 - 21:24
fuente

Lea otras preguntas en las etiquetas