Wireshark / TCPdump captura solo parte de los paquetes de solicitud HTTP

Navega tus respuestas
1

Quería hacer una investigación interna y verificar cuántos y qué tipo de paquetes puedo capturar desde / hacia mi enrutador de Wi-Fi abierto interno.

Instalé Kali Linux en la máquina con Windows 10 (Virtualbox) y uso el adaptador Wi-Fi TP-Link TL-WN722N para capturar el tráfico en modo monitor. Puedo ponerlo en modo monitor y puedo ver los paquetes capturados.

Sin embargo, solo se captura una pequeña cantidad de tráfico, especialmente los paquetes HTTP. Hice algunas solicitudes de prueba desde mi teléfono / tableta / computadora portátil y algunas veces obtengo un conteo bastante razonable de paquetes capturados, pero a veces no puedo ver ninguno de ellos o solo una parte de la solicitud (por ejemplo, algunas secuencias de comandos se cargan desde CDN, pero no la solicitud original es capturada).

Como mi conocimiento sobre la creación de redes es realmente básico, me interesa qué puede causar eso.

P.S .: La tarjeta Wi-Fi está configurada para corregir el canal, al igual que mi enrutador Wi-Fi está transmitiendo.

    
pregunta Arturas Tamulaitis 20.03.2017 - 17:22
fuente

2 respuestas

1

Utilizo Wirehark a diario para el análisis de la red.

En primer lugar, querrá asegurarse de que está olfateando la interfaz correcta y de que tiene habilitado el analizador requerido (HTTP en este caso).

Usted querrá verificar que también está reensamblando los encabezados:

También verificaría que la resistencia de su enrutador sea adecuada y que no esté perdiendo ningún paquete.

    
respondido por el 0xBEEF 21.03.2017 - 15:10
fuente
0

Mi primera suposición sería la fuerza de la señal wifi, ¿estás lo suficientemente cerca del enrutador Y del equipo de destino? Tal vez esté cerca de uno pero lejos de otro, lo que significa que no capturará correctamente los paquetes de ambos.

Verifique usando airodump si tiene al menos -67dBm de señal tanto para el enrutador como para el destino. Además, recuerde que la señal está en una escala logarítmica, cuanto mayor sea el número, mejor. Si obtienes una señal de -50dBm sería bueno.

Si tiene una buena señal tanto del enrutador como de la máquina de destino, intente realizar la captura con airodump-ng [airodump-ng wlan0mon -c CANAL --bssid ROUTER_MAC -w CAPTURE_FILE] y luego abra la captura guardada en el cablehark. Desde mi experiencia, airodump es más confiable (y puedes ver en tiempo real la intensidad de la señal)

    
respondido por el Ricardo Reimao 20.03.2017 - 17:32
fuente

Lea otras preguntas en las etiquetas

Es posible interceptar el tráfico de la máquina virtual invitada en el Burpsuite de la máquina host ¿En qué casos deben prepararse las aplicaciones para la fuerza bruta?