WiFiネットワークに接続しています。他のクライアントがゲートウェイと交換しているパケットをキャプチャして分析したいと思います。これらのパケットの内容を変更したくないので、すべてのパケットの内容を読み取る必要はありません。
実際には、WLAN構成は次のとおりです。
192.168.1.1
192.168.1.9
192.168.1.2
スマートフォンとルーター間のトラフィック(の一部)を確認できるようにしたいのです。
目標を達成するために、Sudo ip link wlo1 promiscuous on
を使用してワイヤレスインターフェイスを無差別モードに設定し、netstat -i
を使用して有効になっているかどうかを確認します。
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enp8s0 1500 0 28962 0 1 0 22923 0 0 0 BMU
lo 65536 0 7294 0 0 0 7294 0 0 0 LRU
wlo1 1500 0 29469 0 0 0 12236 0 0 0 BMPRU
フラグ列のP
は無差別モードを示しているため、有効になっていると想定しています。無差別モードがオンになっているので、NIC=がキャプチャできるすべてのトラフィックが表示されます。次に、wiresharkを開いて、wlo1
インターフェースでトラフィックのキャプチャを開始しましたが、ソース192.168.1.2
からのパケットを確認し、スマートフォンでネットサーフィンをしています(つまり、トラフィックを生成しています)。
何が悪いのですか?
編集:問題が見つかりました。
インターフェイスは管理モードのままです。新しいインターフェースを手動で追加しようとしました。 iw phy phy0 info
は、NICがモニターモードをサポートしていることを示していますが、Sudo iw phy phy0 interface add mon0 type monitor
を使用して新しいインターフェースを追加しようとすると、次のようになります。
blackbrain@blackbrain-Host:~$ iw dev
phy#0
Interface mon0
ifindex 5
wdev 0x3
addr 34:68:95:03:48:17
type managed
Interface wlo1
ifindex 3
wdev 0x1
addr 34:68:95:03:48:17
type managed
channel 7 (2442 MHz), width: 20 MHz, center1: 2442 MHz
どちらのインターフェースも管理モードです。
何か案が?
いいえ、無差別モードは、ワイヤレスネットワーク上のパケットを傍受するには不十分であり、効果はほとんどありません。低レベルの詳細については この答え を参照してください。
代わりに必要なのはモニターモードです。モニターモードを使用すると、ネットワークカードは現在のチャネルですべてのワイヤレスフレームを受信できます。
実行したコマンドは機能するはずです。
iw phy phy0 interface add mon0 type monitor
dmesg
にエラー出力またはメッセージがありましたか?これを試して同じ効果を得ることもできます:
iw dev wlo1 interface add mon0 type monitor
または、モニターモードvifを作成できないようで、カードがモードをサポートしていることが確かな場合は、既存のvifをモニターモードに設定してみてください。
ip link set down wlo1
iw dev wlo1 set monitor none
ip link set down wlo1
もちろん、このモードでは、管理モードのvifがなくなるため、現在のワイヤレス接続が失われます。ただし、チャネルを自由に変更できるため、これにより最も柔軟性が得られます。
件名の質問「無差別モードはwifiネットワークでパケットをスニッフィングするのに十分ですか?」に答えるには、答えはイエスです。どちらのモードでも機能します...その部分はそれほど難しくありません。 (編集で両方のモードについて言及しました)これは、NATルーターをDHCPサーバーと組み合わせて使用していることを前提としています...そうですよね?
ネットワーキングについて学んだことはすべて学校を通っていなかったことは認めますが、これはシナリオであり、ネットワークスイッチが問題になる可能性があると感じていますか?
私もワインを飲んでいましたが、私のビクトリアの古い場所では、ルーターのポートに接続した場合、インターネットに送信したトラフィックは表示されません。これは、ネットワークスイッチがトラフィックの送信先を認識しており、トラフィックを確認する必要があるポート間でのみトラフィックを送信したためです。
別の方法として、しかし、あなたの質問の方に向かってください。私のワイヤレスを見ても、私が何をしているのかわからないでしょう。次に、ブリッジであるワイヤレスは、ブリッジのワイヤレス部分に送信される必要があるものだけをワイヤレスに渡します。
そうは言っても、中間者攻撃またはポートフラッディングのいずれかを使用して、スイッチをSNIFFINGするいくつかの方法があります。
とにかく、パケットを盗聴するのではなく、傍受されたトラフィックを解読、理解、利用することについての詳細です。これは、それ自体が芸術形式です。パケットの分析もしたいとおっしゃいましたが…かなり難しく、場合によっては、実行するのが現実的ではありません。つまり、実際に分析すると、大多数のユーザーのスキルレベルを超えていますが、Stack Exchangeにはビールを持っていた方がいいと思います。
あなたの学習体験で最高の幸運を!