Reniflez le trafic sans fil (Wi-Fi) avec Wireshark

0

J'ai une carte sans fil (ALFA AWUS036H) en mode moniteur (avec airmon-ng start wlan0 ) sur ma machine Debian. Dans Wireshark, dans "options de capture", toutes mes interfaces sont en mode promiscuous.

Le réseau de test est un réseau Wi-Fi protégé par WEP (j'ai la clé).

Dans Wireshark, je ne vois que les paquets d'informations (demandes de sonde, trames de balises, etc.), mais pas de trafic "réel", même si j'utilise le réseau avec un autre périphérique connecté au réseau. J'ai essayé de suivre la documentation officielle ( https://wiki.wireshark.org/HowToDecrypt802.11 ), mais je ne vois pas le bouton "Touches de déchiffrement ..." (partie "Ajouter des clés: barre d'outils sans fil"). Et je pensais que je pouvais quand même voir le trafic non déchiffré, ce qui n’est pas le cas.

Alors, comment puis-je voir le trafic et le décrypter? En fin de compte, je veux utiliser scapy, donc je suis ouvert aux suggestions avec scapy et / ou Wireshark.

Shan-x
la source

Réponses:

2

Vous devez vous assurer que votre carte de capture est capable de tous les types de modulation du signal que les périphériques cibles peuvent utiliser. Votre AWUS036H est un appareil B / G. Si votre AP cible et votre client (les périphériques dont vous souhaitez capturer le trafic) sont des périphériques compatibles 802.11a, 802.11n ou 802.11ac, votre carte B / G ne pourra pas capturer leur trafic.

Même rechercher, par exemple, "802.11ac" ne suffit pas, car il existe des variantes de 802.11ac que tous les périphériques ne prennent pas en charge: les flux 2, 3, 4 et plus; Canaux de 80 MHz, 80 + 80 et 160 MHz; MCS 8 et 9 (256-QAM), différents canaux légaux / illégaux dans différents pays, pouvant être pris en charge par des équipements conçus pour différents pays, etc.

Vous devez également vous assurer que votre périphérique de capture est positionné "entre" le PA cible et le client cible. C'est-à-dire qu'il peut recevoir des transmissions du point d'accès cible au moins aussi bien que le client cible et qu'il peut recevoir des transmissions du client cible au moins aussi bien que le point d'accès cible.

Vous devez également vous assurer que votre interface est à la fois en mode moniteur et en mode promiscuité (ces deux paramètres peuvent être orthogonaux; ne présumez pas que le mode moniteur implique un mode promiscueux sur votre matériel / pilote), mais vous avez l’impression que vous vous en êtes déjà occupé. cette.

Spiff
la source
J'utilise déjà la carte pour les attaques classiques (avec la suite aircrack), donc je suppose qu'elle est compatible avec le signal Wi-Fi. Et il est positionné à côté de l’AP (il ya environ 30 cm entre eux, ça devrait aller).
Shan-x
@ Shan-x Attendez, essayez-vous de capturer le trafic de votre machine Debian, ou du trafic d'un autre client? Parce que si vous essayez de capturer le trafic d'un autre client, ce que j'ai dit s'applique toujours. Si le client cible est compatible N et que le point d'accès l'est aussi, ils se parleront en utilisant des schémas de modulation N que votre ancienne carte B / G ne peut espérer démoduler. Il manque simplement le matériel radio pour traiter avec N.
Spiff
Dans la configuration du routeur, j'ai Band: 2.4GHz (802.11B/g)donc ça devrait aller, non? Le routeur est un Trendnet TEW-670AP.
Shan-x
1
@ Shan-x TRENDnet TEW-670AP est un périphérique double bande simultané. Si le client cible (le client dont vous souhaitez capturer le trafic) est compatible avec les fréquences 5GHz, il se peut qu'il se connecte au service BSS de 5WHz de votre TEW-670AP, ce qui empêche le dongle ALFA à 2,4 GHz de le voir.
Spiff
Vous devriez en faire une réponse, et je pourrais vous donner des points pour cela. ;)
Shan-x