802.11の無差別モードと監視モード
混合モードと監視モードは、802.11ネットワークに関連しているので読み続けています。ここで説明されている違いを理解しています:
ワイヤレスネットワークの無差別モードと監視モードの違いは何ですか?
定義はかなり単純です。 1つはAPに関連付けられており、もう1つは関連付けられていません。
私の質問は、モニターモードよりもプロミスキャスモードを使用する利点は何ですか?どちらを使用するのですか?
APとデバイス間のトラフィックを監視する場合、両方のモードで機能が提供されます。混合モードでは、モニターでは不可能なことを実行できる何かが欠けているように感じます。監視モードではCRCをチェックできないことはわかっていますが、それ以上に無差別モードを使用することには本当の利点はありません。
「無差別モード」でも、ドライバーは、現在関連付けられている1つのワイヤレスネットワーク(BSSIDで識別される)に属する標準イーサネットフレームを出力します。非APデバイスからのパケットの受信はAPクライアントモードでは使用されないため、デバイスはAPからワイヤレスデバイスへのパケットのみをダンプし、ワイヤレスクライアントからAPへのパケットはダンプしない可能性があります。
「監視モード」では、選択したチャネルで動作するすべてのネットワークからパケットをキャプチャします(隣接するチャネルでさえ可能性があります。802.11DSSSビーコンにペイロード内のチャネル番号が含まれている理由があります)。ドライバーはプレーンイーサネットを出力しませんが、より多くのヘッダーを出力する必要があります(802.3イーサネットヘッダーには2つのアドレスではなく、802.11ヘッダーには3つのアドレスがあります)。特別なワイヤレス監視ソフトウェアのみが、モニターモードでドライバーによってダンプされた形式でパケットを処理できます。
したがって、実際に何が起こっているのかを確認したい場合は、監視モードが有利です。一方、promiscousモードは、拡張802.11フレーム形式を処理できない標準のイーサネットネットワークスニッフィングツールとの互換性があります。使用するツールがモニターモードをサポートしている場合は、それを使用してください。 promiscousモードはバックアップとしてのみ使用してください。
さらに、一部のワイヤレスドライバー/ハードウェアでは、モニターモードのときにデバイスが完全に任意のパケットを送信できるようにします。これはパケットインジェクションと呼ばれます。
マイケルカーチャーが言ったことに加えて、監視モードにはAPに関連付ける必要がないという利点があります。これにより、完全に見えなくなり、パスワードのないネットワーク上のパケットを盗聴することができます。無差別モードではAPに関連付ける必要があるため、パケットを送信します。モニターモードは完全にパッシブにすることができます。
さらに、監視モードでは、非表示のSSIDを見つけることができます。 SSIDはAPによってブロードキャストされませんが、クライアントによってブロードキャストされます。
監視モードでキャプチャされたパケットは、おそらく(レイヤー2)WPAまたはWEPで暗号化されます。Wiresharkは、SSID /パスフレーズで適切に構成されている場合、これらのパケットをSSIDおよびパスフレーズで適切に構成されている場合、復号化できます。 AP。さらに、EAPOLハンドシェイクパケットは、これらのパケットを復号化するために、Wiresharkによって監視される必要があります。