Carte sans fil qui prend en charge le mode promiscuous dans Windows 7

8

J'essaie d'utiliser Wireshark pour en savoir un peu plus sur la mise en réseau et la capture de paquets. Cependant, d'après ce que je comprends, la combinaison de Windows 7 + de diverses puces wifi ne permet pas à la carte réseau de fonctionner en "mode promiscuous". Quelqu'un a-t-il eu de l'expérience pour que cela fonctionne?

JPC
la source
Il existe un autre logiciel pour renifler votre carte sans fil (malheureusement je n'en connais pas en particulier).
Diogo
1
Si votre carte ne prend pas en charge le mode de fonctionnement dont vous avez besoin, changer votre renifleur ne vous aidera pas du tout.
Spiff
oui, je peux comprendre que
JPC

Réponses:

7

Méfiez-vous des difficultés terminologiques ici.

Le mode Promiscuous est un concept issu d'Ethernet filaire, où votre carte vous montre tout le trafic que votre concentrateur répète sur votre port, même s'il ne vous est pas adressé. De nombreuses cartes Wi-Fi (mais pas toutes) prennent en charge le mode promiscuous, d'une manière qui ressemble beaucoup au mode promiscuous Ethernet; il affiche uniquement les trames "données", uniquement sur votre réseau actuel (même BSSID), et il les affiche après qu'elles ont été traduites en paquets de type Ethernet câblé (trame Ethernet-II ou 802.3). L'idée est de le faire ressembler au même trafic que vous verriez sur une interface Ethernet filaire en mode promiscuous, pour le bien des ingénieurs réseau qui veulent regarder les choses à ce niveau.

Le mode moniteur 802.11 est un mode très promiscuité pour les cartes 802.11. En mode moniteur complet, la carte est syntonisée sur un canal et affiche tous les paquets qu'elle peut recevoir sur ce canal, quoi qu'il arrive. S'il y a d'autres réseaux Wi-Fi à portée sur ce canal, il vous montre également les trames de ces autres réseaux. Il montre non seulement les trames de données que vous verriez sur Ethernet câblé, mais également la «gestion» spécifique à 802.11 (balise, sonde, auth, association, action, etc.) et «contrôle» (Ack, RTS, CTS, PS -poll, etc.) également. Et cela les montre non traduits, avec leurs en-têtes complets de style 802.11.

La prise en charge complète du mode moniteur 802.11 est plus difficile à trouver dans les cartes Wi-Fi grand public, et là où elle existe, elle est souvent boguée.

De nombreux professionnels du 802.11 finissent par choisir d'acheter une carte sans fil USB "AirPcap" de CACE Technologies (sponsor de Wireshark) pour cela, car ils sont conçus dès le départ pour être d'excellentes cartes de mode moniteur 802.11 à utiliser avec Wireshark.

Mise à jour:
Il est également important de noter qu'il n'y a vraiment que quelques fournisseurs de chipsets Wi-Fi et que tous les fabricants de cartes utilisent des puces de ces quelques fournisseurs. Les plus grands fournisseurs sont Broadcom, Atheros, Marvell et Intel, et il existe plusieurs petits fournisseurs moins connus tels que Ralink. Parmi ceux-ci, Atheros a longtemps été le meilleur fournisseur de chipsets pour la prise en charge du mode moniteur et la prise en charge open source. Vous pouvez vérifier la communauté des pilotes Wi-Fi Linux pour savoir quelles cartes utilisent les puces Atheros et prennent bien en charge le pilote "Madwifi", puis choisissez l'une d'entre elles; ils sont plus susceptibles d'avoir un pilote Windows qui prend bien en charge le mode moniteur.

Spiff
la source
hmm, eh bien j'utilise Wirehark et je suppose que Wirehark utilise le mode promiscuous pour signifier "mode moniteur". Quoi qu'il en soit, moniteur ou promiscuité, je ne peux pas comprendre comment activer l'un ou l'autre mode sur ma carte dans Windows 7. Existe-t-il des cartes connues qui prennent en charge cela? Autre que ceux de Wirehark
JPC
@JPC J'ai ajouté une mise à jour. Bien que je ne puisse pas vous diriger vers une carte en particulier, je vous recommanderais d'opter pour des cartes basées sur Atheros. Parmi les plus grands fournisseurs de chipsets Wi-Fi, Atheros a toujours été le fournisseur de choix pour les personnes fabriquant des équipements de test Wi-Fi et autres, donc je parierais que vous seriez plus susceptible de trouver une bonne prise en charge du mode moniteur dans un Atheros- carte basée que dans toute autre chose.
Spiff
3
Non, Wireshark n'utilise pas le mode promiscuous pour signifier le mode moniteur. Il utilise le mode promiscuous pour signifier le mode promiscuous, et le mode moniteur pour signifier le mode moniteur. Il utilise également WinPcap pour capturer le trafic réseau; WinPcap ne prend pas en charge le mode moniteur (contrairement à libpcap sur certains UN * Xes, qui prend en charge le mode moniteur dans les versions plus récentes), et, alors que WinPcap prend en charge le mode promiscuous, il ne le fait pas si le pilote ne le prend pas en charge, et peu si des pilotes d'adaptateur 802.11 le prennent en charge (je pense que les spécifications de Microsoft pour les pilotes 802.11 disent qu'ils ne devraient pas prendre en charge le mode promiscuous!).
@JPC écoute Guy Harris. Il sait une chose ou deux sur Wireshark.
Spiff