Supervisar el tráfico que está pasando por mi enrutador

0

Quiero monitorear el tráfico HTTP de todos los clientes conectados a través de wifi a mi enrutador inalámbrico. Quiero capturar el tráfico con mi portátil, que también está conectado de forma inalámbrica al enrutador.

Hardware & Configuración del software:

  

Captura con: Intel 7260 Wireless, Ubuntu 14, Wireshark &   Aircrack-ng

     

Cliente a monitorear: Android Smartphone

     

Enrutador: enrutador inalámbrico de 2.4GHz 802.11n, canal wifi fijo

     

//

     

Lo que hice hasta ahora (sin ningún éxito):

     

sudo airmon-ng start wlan0

     

// mon0 se inicia correctamente

     

gksu wireshark

     

// me advierte que no debería ejecutarlo en root, pero quiero ver eso   esto funciona primero, me ocuparé de la seguridad más adelante

     

En Editar- > Preferencias - > Protocolos - > IEEE802.11:

     

Vuelva a montar los datagramas 802.11 fragmentados: verdadero

     

Ignorar elementos HT específicos del proveedor: falso

     

Subdisector de llamada para tramas 802.11 retransmitidas: verdadero

     

Suponga que los paquetes tienen FCS: falso

     

Ignorar el bit de protección: Sí con IV

     

Habilitar descifrado: verdadero

     

Claves de descifrado: wpa-pwd, mywlanpassword: myrouterssid

En las opciones de captura:

  

Interfaz de captura: mon0

     

modo promiscuo: verdadero

     

snaplen: predeterminado

     

buffer: 2mib

     

modo monitor: deshabilitado

     

// También probé con true pero no parece hacer una diferencia como   debido al uso de airmon-ng, supongo que el monitoreo ya está habilitado

     

Opciones de visualización: todo verdadero

     

Resolución de nombres: todo falso

Después de iniciar la captura, deshabilito WIFI en mi teléfono inteligente y lo vuelvo a habilitar. Puedo ver que se capturan algunos paquetes MDNS y una vez IGMPv2. Pero cuando navego por el teléfono (sitios http normales, no se activa la compresión de la red) o uso cualquier aplicación que se conecte con el servicio en línea, no veo ningún tráfico HTTP o TCP para el teléfono inteligente. Si inicio el navegador en mi notebook, veo todo el tráfico del navegador (solicitudes HTTP, respuestas, archivos, etc.).

¿Me estoy perdiendo algo?

    
pregunta nosharky 30.01.2016 - 18:37
fuente

2 respuestas

3

Dijiste que querías monitorear el tráfico HTTP. No todo el tráfico de red (por ejemplo, DNS, SSH, etc.). No dijiste si era monitoreo pasivo o activo. No ha indicado si los sistemas que están siendo monitoreados están bajo su control o no. (Es decir, ¿puedes hacer un cambio de configuración en ellos?). Si solo desea todo el tráfico HTTP / HTTPS, y tiene la capacidad de configurar los dispositivos un poco, use un proxy. Configure Burp o WebScarab o Charles Proxy en su computadora portátil. Asegúrese de que esté escuchando en su dirección IP de red habitual (no solo localhost, que es la opción predeterminada). Luego, debe obtener todos los dispositivos para usar su computadora portátil como su proxy HTTP. Advertencia: si su computadora portátil no está allí o si el programa proxy no se está ejecutando, los dispositivos no podrán usar ningún servicio HTTP / HTTPS.

Ahora, para que los dispositivos enruten su HTTP a través de su proxy, tiene 2 opciones: configurarlos manualmente o intentar que su red ofrezca su proxy como información con los arrendamientos de DHCP.

Para configurar manualmente un cliente, ingrese a su configuración y busque la configuración del proxy. Ingrese la dirección IP de su computadora portátil y el número de puerto que está escuchando. (por ejemplo, 192.168.1.10:8080). Todo el tráfico HTTP de ese dispositivo (si lo hace a nivel del sistema operativo) o de ese navegador (si solo configura el navegador web) ahora se enrutará a través de su computadora portátil.

Dependiendo de lo práctico que sea con su servidor DHCP, puede usar información como esta: enlace para hacer que los clientes de la red reciban automáticamente la información que les indica que utilicen su proxy cada vez que se conectan a la red.

Esto le dará una capacidad total no solo para monitorear sino también para manipular la información que pasa de cualquier dispositivo que use su proxy. Recuerde que las conexiones TLS comenzarán a emitir advertencias (porque su computadora portátil no es realmente el sistema final y el certificado será falso). Algunas aplicaciones móviles (por ejemplo, aplicaciones bancarias) pueden negarse a ejecutarse porque pueden detectar el hombre en el medio.

Si solo estás interesado en el tráfico HTTP / HTTPS, y puedes configurar los dispositivos, esta es una buena forma de hacerlo.

    
respondido por el Paco Hope 31.01.2016 - 14:12
fuente
0

Debe asegurarse al 100% de que el modo de monitor esté habilitado, ya que de lo contrario solo verá su propio tráfico:

  

Si está intentando capturar el tráfico de red que no se está enviando hacia o desde la máquina que ejecuta Wireshark o TShark, es decir, el tráfico entre dos o más máquinas en un segmento de Ethernet, o está interesado en paquetes de control o administración 802.11, o está interesado en la información de la radio sobre los paquetes, probablemente tendrá que capturar en "modo monitor"

enlace

También compruebe el estado de airmon con airmon-ng y airmon-ng check para asegurarse de que esté encendido y que no haya procesos en conflicto. Si algunos procesos interfieren, use airmon-ng check kill y debería poder ir al modo monitor.

    
respondido por el AdHominem 30.01.2016 - 18:53
fuente

Lea otras preguntas en las etiquetas