modo promiscuo vs monitor en 802.11

9

He estado leyendo en modo promiscuo y modo monitor en lo que respecta a las redes 802.11. Entiendo la diferencia, que se explica aquí:

¿Cuál es la Qué diferencia hay entre el modo Promiscuo y el modo Monitor en redes inalámbricas?

La definición es bastante simple. Uno está asociado con un AP, el otro no.

Mi pregunta es, ¿cuál es el beneficio de usar el modo promiscuo sobre el modo monitor? ¿Cuándo usarías uno en lugar de otro?

Si quiero monitorear el tráfico entre un AP y un dispositivo, ambos modos me dan la capacidad. Siento que me estoy perdiendo algo que el modo promiscuo te permite hacer que no puedes con el monitor. Sé que el modo monitor no le permite verificar los CRC, pero aún no veo una ventaja real de usar el modo promiscuo más allá de eso.

    
pregunta ddATX 30.01.2015 - 23:32
fuente

3 respuestas

6

En el "modo Promiscous", el controlador aún genera tramas Ethernet estándar que pertenecen a la red inalámbrica a la que está asociado actualmente (identificada por el BSSID). Posiblemente, el dispositivo solo volcará los paquetes del AP a los dispositivos inalámbricos, pero no los paquetes de los clientes inalámbricos al AP, ya que la recepción de paquetes de dispositivos que no son de AP no se usa en el modo de cliente AP.

En "modo monitor", captura paquetes de todas las redes que operan en un canal elegido (posiblemente incluso canales adyacentes; hay una razón por la que las balizas 802.11 DSSS contienen el número de canal en la carga útil) , y el controlador no genera Ethernet simple, pero necesita generar más encabezados (hay 3 direcciones en un encabezado 802.11, en lugar de solo 2 direcciones en los encabezados Ethernet 802.3). Solo el software de monitoreo inalámbrico especial es capaz de procesar paquetes en el formato volcado por el controlador en modo monitor.

Por lo tanto, el modo de monitoreo es ventajoso si realmente desea ver lo que está sucediendo, mientras que el modo promiscuo está ahí para la compatibilidad con las herramientas estándar de detección de redes Ethernet que no pueden manejar el formato de marco 802.11 extendido. Si la herramienta que desea usar es compatible con el modo monitor, utilícelo. Utilice el modo promiscous solo como copia de seguridad.

Además, algunos controladores / hardware inalámbricos permiten que su dispositivo envíe paquetes completamente arbitrarios mientras se encuentra en modo monitor, lo que se conoce como inyección de paquetes.

    
respondido por el Michael Karcher 31.01.2015 - 00:26
fuente
5

Además de lo que dijo Michael Karcher, el modo de monitor tiene la ventaja de no tener que estar asociado con el AP. Esto hace que sea posible ser completamente invisible, y rastrear paquetes en una red para la que no tiene la contraseña. En el modo promiscuo, tiene que asociarse con el AP, por lo que está enviando paquetes. El modo de monitor puede ser completamente pasivo.

Además, el modo monitor le permite encontrar SSID ocultos. Los SSID no son transmitidos por el AP, pero son transmitidos por el cliente.

    
respondido por el Steve Sether 10.02.2015 - 22:28
fuente
0

Los paquetes capturados en el modo Monitor probablemente estarán encriptados (Capa 2) con WPA o WEP. Wireshark puede descifrar estos paquetes cuando se configura correctamente con SSID / frase de contraseña, si se configura correctamente con SSID y frase de contraseña del AP. Además, Wireshark debe observar los paquetes de intercambio de EAPOL para descifrar estos paquetes.

    
respondido por el Magnumb 10.02.2015 - 20:39
fuente

Lea otras preguntas en las etiquetas