Interceptar el tráfico wifi

5

Por lo tanto, la gente siempre habla acerca de cómo, si usa http a través de un punto de acceso wifi compartido, la gente podrá ver sus datos sin cifrar, pero nunca he podido hacer la conexión directa desde el punto de vista de seguridad de la red. Me gustaría saber cómo interceptar dichos datos y cómo verlos en una forma que sea utilizable. Si me conecto a un punto de wifi y hago que Wireshark escuche en wlan0 (interfaz inalámbrica), ¿será suficiente para ver el tráfico de todos los demás? Parece que cuando otro usuario en ese lan navegue a un sitio web, tal vez enviará un broadcast / arp a todos, pero no veo cómo su tráfico http pasaría por mi interfaz wlan cuando estaría destinado a la red. puerta de enlace predeterminada?

En segundo lugar, wireshark tiene muchos metadatos esporádicos que pasan. Conozco una herramienta de seguridad de Unix llamada dsniff que se supone que solo representa datos de contraseña (no http en particular) y esta es la única herramienta que he encontrado para representar datos útiles como el tráfico http. ¿Hay mejores herramientas para esto?

    
pregunta Peter 27.03.2014 - 22:57
fuente

3 respuestas

13

Es posible que tenga dificultades porque no es una intercepción de http basada en la red, es una intercepción de datos basada en la radio en la capa 1 (física).

Esencialmente, en una red cableada :

  • Capa 1 (física): cables de cobre o fibra y dispositivos físicos (NIC, GBIC, conmutador, enrutador, firewall).
    • La intercepción en la Capa 1 (es decir, usar la duplicación de puertos en un conmutador para dirigir una copia de todo el tráfico en el Puerto X al Puerto A (ttacker) es bastante simple, pero requiere acceso físico a algún nivel (acceso al cable en el Puerto A , como mínimo).
  • Capa 7 (aplicación): HTTP o HTTPS
  • Una vez que se ha comprometido la Capa 1, el tráfico HTTP está completamente disponible. El tráfico HTTPS no lo es; HTTPS proporciona protecciones adicionales.

En una red wifi 802.11a / b / g / n / ac :

  • Capa 1 (física): Las ondas de radio se transmiten desde una antena, lo que induce corriente en cada antena que están en el rango activado (donde el rango depende de la ley del cuadrado inverso y de la sensibilidad, ganancia y pérdidas del equipo receptor).
  • La intercepción en la Capa 1 puede ser realizada por cualquier persona que logre obtener una señal "suficientemente buena" para su hardware receptor.

    • El hardware de recepción de mayor sensibilidad tiene una barra inferior al estándar "suficientemente bueno".
    • El uso de una antena mal diseñada o implementada (la hebilla de su cinturón) requiere una señal más fuerte que el uso de una antena bien diseñada e implementada (una antena correctamente calculada sintonizada específicamente para la frecuencia en uso, con un corto recorrido de cable de baja pérdida, impedancia emparejada, etc.).
  • Capa 2 (enlace de datos): WPA / WPA2, si está habilitado, proporciona protecciones aquí mediante el cifrado de la carga útil de 802.11 marcos.

  • Capa 7 (aplicación): HTTP o HTTPS
  • Una vez que se haya comprometido la Capa 1, si no hay cifrado en la Capa 2, o si se ha anulado ese cifrado, el tráfico HTTP estará completamente disponible. El tráfico HTTPS no lo es; HTTPS proporciona protecciones adicionales.

Wireshark es bastante capaz de usar una amplia variedad de tarjetas Wifi en modo monitor (modo "promiscuo" en NIC con cable) si el SO lo permite, lo que Linux hace mucho más fácilmente que Windows.

Si desea ver esto EN SU PROPIA RED WIFI SOLAMENTE (consulte las leyes locales, regionales y nacionales en su ubicación) , intente a Kali (anteriormente conocido como Backtrack) LiveCD . O compre un adaptador wifi AirPcap . O use muchos adaptadores USB Wifi en un sistema operativo invitado Linux (Kali u otro) en una máquina virtual en su host de Windows. Utilice Wireshark o Airodump-ng.

Para Wireshark, más detalles están disponibles en la página Wireshark CaptureSetup / WLAN .

Para Airodump-ng, parte de la suite Aircrack-ng, la información está disponible en páginas como Preguntas frecuentes sobre Aircrack-ng "¿Cuál es la mejor tarjeta inalámbrica para comprar?" .

    
respondido por el Anti-weakpasswords 28.03.2014 - 04:57
fuente
8

Su tarjeta inalámbrica debe ejecutarse en modo 'promiscuo'. Sólo unos pocos pueden y trabajan con Wirehark, pero son conocidos.

En un entorno LAN conmutado, solo vería el tráfico de transmisión de otros usuarios, como usted dice, pero en un entorno wifi, no hay ningún interruptor y todos lo ven todo. Cada dispositivo wifi está transmitiendo por el aire.

Wireshark es la mejor herramienta, solo necesitas los filtros correctos para limitar lo que ves a lo que quieres ver.

    
respondido por el schroeder 27.03.2014 - 23:39
fuente
2

Piensa un poco fuera de la caja. ¿Qué es WLAN en hardware? Un par de antenas emitiendo y recibiendo. ¿A dónde se envía esa antena en tu dispositivo? Direccionalmente al punto de acceso? No, se está enviando a todas partes, en todas direcciones, esperando que el punto de acceso lo recoja. Cuando la red no usa una contraseña, esta señal no está encriptada. Todo lo que necesita para escuchar a escondidas es una antena en el área general.

    
respondido por el Philipp 27.03.2014 - 23:36
fuente

Lea otras preguntas en las etiquetas