Tcpdump kullanarak kablosuz LAN ağını koklama


4

Kablosuz çalışmanın temellerini doğru anladıysam, diğer bilgisayarların trafiğini kablosuz LAN üzerinden çekebilmeliyim. Bu yüzden kablosuz bir ağa ikinci bir bilgisayar bağladım httpve ağını kullanarak trafiğini koklayabildim mi, tcpdumpböyle bir komut kullanarak :

sudo tcpdump -v -i wlan0 dst 10.0.0.7

ederken 10.0.0.7ben LAN üzerinde koklamaya istediğiniz bilgisayarın ip olduğunu. (Ben eğer durum oluşturulan ICMP yankı istekleri Ama ne yazık ki, ben çıkış olarak hiçbir şey elde ping 10.0.0.7yüzden tcpdumpgayet iyi çalışıyor :)).

Neyi kaçırıyorum?


dsttcpdump için ne anlama geliyor?
schroeder

@schroeder: dstsadece destinationalanın olduğu paketleri dinliyorum anlamına geliyor10.0.0.7
Sam Bruns

sağ - ve makinenizden durum nasıl olurdu?
schroeder

@schroeder: Varsayılan ağ geçidinden yönlendirilen paketi koklamak istediğim bilgisayara basitçe koklayabileceğimi düşündüm. Çünkü paketler wifi üzerinden iletildiğinden hear, alıcı olmasam da onlara ulaşabilmeliyim . 10.0.0.7koklamak istediğim bilgisayarın 10.0.0.8ip adresi ve ip adresim.
Sam Bruns

Bu, kullandığınız wifi türüne göre değişir ... Bir hub gibi davranmaz, ancak bir anahtar.
schroeder

Yanıtlar:


9

Kablosuz ağdaki tüm trafiği dinleyebilmek için ağ arayüzünüzü monitör moduna ayarlamanız gerekir . Yani, başlamadan önce tcpdumpaşağıdakileri yapın:

sudo ifconfig wlan0 down
sudo iwconfig wlan0 mode Monitor
sudo ifconfig wlan0 up

Bu sadece arayüzünüzü kapatır, monitör modunu etkinleştirir ve tekrar açar. Tüm ağ arayüz kartlarının monitör modunu desteklemediğini unutmayın.

NIC'nizi normale döndürmek için aynı komutları verin, ancak mode Managed.

Bir yandan not olarak, yönlendiricinizin kullandığı şifreleme programları nedeniyle, tarayıcınızdaki trafik büyük olasılıkla nasıl görünmesini bekleyeceğinize bakmayacaktır. Kendi ağınızı kokladığınızı düşününce, çoğu durumda trafiğin şifresini çözebileceksiniz. İşte nasıl yapılacağına kısa bir genel bakış, buna Wiresharkalternatif tcpdumpbir grafik kullanıcı arayüzü de var. tcpdumpYakalamaya devam etmeyi tercih ederseniz, -wtrafiği bir .pcapdosyaya aktarmak ve daha sonra bu dosyayı Wireshark'ta (veya başka bir paket analizöründe) açmak için de seçeneğini kullanabilirsiniz .

Ağınız WPA veya WPA2 şifrelemesi kullanıyorsa, yönlendirici ile izlemek istediğiniz her cihaz arasındaki ilgili el sıkışmalarını yakalamanız gerekeceğini unutmayın. Bağlantılı olduğum Wireshark wiki makalesi nasıl yapılacağını açıklıyor:

WPA ve WPA2, trafiği şifrelemek için bir makine bir Wi-Fi ağına katıldığında ortaya çıkan bir EAPOL anlaşmasından türetilen anahtarları kullanır. Şifreyi çözmeye çalıştığınız oturum için dört el sıkışma paketinin tümü mevcut değilse, Wireshark trafiğin şifresini çözemez. Yakalamadaki EAPOL paketlerini bulmak için ekran filtresi eapol'ü kullanabilirsiniz.

Bir makinenin el sıkışmasını yakalamak için, yakalama devam ederken makineyi ağa (yeniden) katılmaya zorlamanız gerekir.


@zinfandel: Çok teşekkürler! Şimdi anladım. Yani WPA veya WPA2 şifrelemesi kullanılırken her bilgisayar ile erişim noktası arasındaki bağlantı şifrelenirse doğru şekilde anlaşılır mı?
Sam Bruns

1
Evet, trafik "korumalı" bir ağda, yani WEP, WPA veya WPA2 kullanılarak şifrelenir.

@zinfandel: Neden Promiscuous modda Monitor modunu seçmem gerektiğini açıklayabilir misiniz? Thanks :)
Sam Bruns

1
@SamBruns Monitor modu, WiFi'nin Promiscuous modunun sürümüdür.
David Poole

2

Öncelikle, bunun açık bir ağ mı yoksa WPA korumalı mı olduğunu belirtmediniz. Bu bir fark yaratıyor. Bunun WPA olduğunu varsayıyorum, çünkü sorunlarınız var.

Sen ortadaki adam değilsin. 10.0.0.7’den gelen paketler bu bilgisayardan doğrudan ağ geçidine (yani 10.0.0.1) ve internete girerek sizden geçmektedir. Parolayı bozmanız ve kendinizi ağ geçidi ve bu kullanıcı arasına yerleştirmeniz gerekir (10.0.0.7). Bunu yapmak için birçok araç var. Genellikle, önce çekirdeğinizde ip yönlendirme ayarını yaparsınız, sonra gibi bir komut çalıştırırsınız.arpspoof <victim ip> <gateway ip>


1
Her şeyden önce: cevap için teşekkürler! Anlıyorum. Ama arp sahtekarlığına duyulan ihtiyacı anlayamıyorum. Neden LAN üzerinden aktarılan paketi koklayamıyorum? Beni bir öğrenme materyaline açıklayabilir veya yönlendirebilir misiniz? Teşekkürler!
Sam Bruns
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.