Wireshark - No puedo ver el tráfico de otra computadora en la misma red en modo promiscuo

0

Estoy en modo promiscuo y estoy usando mi computadora para detectar el tráfico de la red. Tanto en una computadora separada como en mi teléfono, inicié sesión en el mismo sitio http e ingresé algunas credenciales de prueba para ver si el tráfico aparecería en wireshark. Para mi sorpresa no lo hizo. Lo he hecho muchas veces antes, pero por alguna razón no me funciona ahora.

Puedo ver que mis otras computadoras están en la red (si hago ping en ellas, aparecerán los paquetes ICMP). Aunque no puedo ver ningún sitio web que estén visitando ahora. Solo puedo ver el tráfico web que viene de la computadora portátil que ejecuta wireshark.

¿Alguna idea / idea de por qué mi wirehark está actuando como si no estuviera en modo promiscuo? He intentado apagar y encender el modo promiscuo, reiniciar Wirehark, etc.

Editar:

Todos los dispositivos están conectados a la misma WLAN, no se utilizan cables Ethernet para conectar los dispositivos al enrutador.

    
pregunta Michael 20.08.2017 - 04:27
fuente

1 respuesta

4

Wireshark tiene una configuración llamada "modo promiscuo", pero eso no habilita directamente la funcionalidad en el adaptador; más bien, inicia el controlador PCAP en modo promiscuo, es decir, le indica que procese los paquetes independientemente de su dirección de destino si el adaptador subyacente los presenta. Esto es más notorio en las redes cableadas que usan concentradores en lugar de conmutadores, donde en el modo no promiscuo solo verá tráfico de difusión y paquetes unicast a su dirección de adaptador, pero en el modo promiscuo verá todo, en ambos casos su adaptador está recibiendo todos los paquetes en la red, pero en modo promiscuo, el controlador PCAP no filtra los paquetes que no están destinados a su adaptador.

La ejecución de un adaptador WiFi en modo promiscuo requiere un trabajo adicional y soporte por parte del controlador. Normalmente, un controlador implementaría solo el código necesario para recibir y procesar marcos 802.11 destinados a recibir. Para que el modo promiscuo funcione, el controlador debe implementar explícitamente una funcionalidad que permita que cada marco 802.11 asociado con el punto de acceso actualmente conectado, destinado o no a ese receptor, sea procesado. También hay otro modo llamado "modo monitor" que le permite recibir todos los marcos 802.11 independientemente del AP del que provenga. Ambos requieren una implementación explícita.

Lamentablemente, los dispositivos que implementan estos no son baratos. En este momento, creo que solo AirPCAP es totalmente compatible para hacer este tipo de trabajo, y cuesta más de $ 500.

También vale la pena señalar que no puede rastrear el tráfico de red de otros usuarios en una red que usa WPA2, ya que cada cliente intercambia su propia clave de sesión para cifrar las comunicaciones de radio entre él y el punto de acceso. Podrá rastrear los encabezados de cuadros 802.11 y algunos paquetes de mantenimiento, pero las cargas útiles de la red se cifrarán.

    
respondido por el Polynomial 20.08.2017 - 12:26
fuente

Lea otras preguntas en las etiquetas