web-dev-qa-db-ja.com

無差別モードは、wifiネットワークでパケットをスニッフィングするのに十分ですか?

WiFiネットワークに接続しています。他のクライアントがゲートウェイと交換しているパケットをキャプチャして分析したいと思います。これらのパケットの内容を変更したくないので、すべてのパケットの内容を読み取る必要はありません。

実際には、WLAN構成は次のとおりです。

  • ルーター192.168.1.1
  • トラフィックを盗聴するために使用しているラップトップ192.168.1.9
  • 私のスマートフォン192.168.1.2

スマートフォンとルーター間のトラフィック(の一部)を確認できるようにしたいのです。


目標を達成するために、Sudo ip link wlo1 promiscuous onを使用してワイヤレスインターフェイスを無差別モードに設定し、netstat -iを使用して有効になっているかどうかを確認します。

Kernel Interface table
Iface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enp8s0     1500 0     28962      0      1 0         22923      0      0      0 BMU
lo        65536 0      7294      0      0 0          7294      0      0      0 LRU
wlo1       1500 0     29469      0      0 0         12236      0      0      0 BMPRU

フラグ列のPは無差別モードを示しているため、有効になっていると想定しています。無差別モードがオンになっているので、NIC=がキャプチャできるすべてのトラフィックが表示されます。次に、wiresharkを開いて、wlo1インターフェースでトラフィックのキャプチャを開始しましたが、ソース192.168.1.2からのパケットを確認し、スマートフォンでネットサーフィンをしています(つまり、トラフィックを生成しています)。

何が悪いのですか?

編集:問題が見つかりました。

インターフェイスは管理モードのままです。新しいインターフェースを手動で追加しようとしました。 iw phy phy0 infoは、NICがモニターモードをサポートしていることを示していますが、Sudo iw phy phy0 interface add mon0 type monitorを使用して新しいインターフェースを追加しようとすると、次のようになります。

blackbrain@blackbrain-Host:~$ iw dev
phy#0
    Interface mon0
        ifindex 5
        wdev 0x3
        addr 34:68:95:03:48:17
        type managed
    Interface wlo1
        ifindex 3
        wdev 0x1
        addr 34:68:95:03:48:17
        type managed
        channel 7 (2442 MHz), width: 20 MHz, center1: 2442 MHz

どちらのインターフェースも管理モードです。

何か案が?

3
BlackBrain

いいえ、無差別モードは、ワイヤレスネットワーク上のパケットを傍受するには不十分であり、効果はほとんどありません。低レベルの詳細については この答え を参照してください。

代わりに必要なのはモニターモードです。モニターモードを使用すると、ネットワークカードは現在のチャネルですべてのワイヤレスフレームを受信できます。

実行したコマンドは機能するはずです。

iw phy phy0 interface add mon0 type monitor

dmesgにエラー出力またはメッセージがありましたか?これを試して同じ効果を得ることもできます:

iw dev wlo1 interface add mon0 type monitor

または、モニターモードvifを作成できないようで、カードがモードをサポートしていることが確かな場合は、既存のvifをモニターモードに設定してみてください。

ip link set down wlo1
iw dev wlo1 set monitor none
ip link set down wlo1

もちろん、このモードでは、管理モードのvifがなくなるため、現在のワイヤレス接続が失われます。ただし、チャネルを自由に変更できるため、これにより最も柔軟性が得られます。

1
multithr3at3d

件名の質問「無差別モードはwifiネットワークでパケットをスニッフィングするのに十分ですか?」に答えるには、答えはイエスです。どちらのモードでも機能します...その部分はそれほど難しくありません。 (編集で両方のモードについて言及しました)これは、NATルーターをDHCPサーバーと組み合わせて使用​​していることを前提としています...そうですよね?

ネットワーキングについて学んだことはすべて学校を通っていなかったことは認めますが、これはシナリオであり、ネットワークスイッチが問題になる可能性があると感じていますか?

私もワインを飲んでいましたが、私のビクトリアの古い場所では、ルーターのポートに接続した場合、インターネットに送信したトラフィックは表示されません。これは、ネットワークスイッチがトラフィックの送信先を認識しており、トラフィックを確認する必要があるポート間でのみトラフィックを送信したためです。

別の方法として、しかし、あなたの質問の方に向かってください。私のワイヤレスを見ても、私が何をしているのかわからないでしょう。次に、ブリッジであるワイヤレスは、ブリッジのワイヤレス部分に送信される必要があるものだけをワイヤレスに渡します。

そうは言っても、中間者攻撃またはポートフラッディングのいずれかを使用して、スイッチをSNIFFINGするいくつかの方法があります。

とにかく、パケットを盗聴するのではなく、傍受されたトラフィックを解読、理解、利用することについての詳細です。これは、それ自体が芸術形式です。パケットの分析もしたいとおっしゃいましたが…かなり難しく、場合によっては、実行するのが現実的ではありません。つまり、実際に分析すると、大多数のユーザーのスキルレベルを超えていますが、Stack Exchangeにはビールを持っていた方がいいと思います。

あなたの学習体験で最高の幸運を!

1
Suzy Easton