Nắm bắt gói tin mạng LAN không dây trên Ubuntu với tcpdump và Kismet

Nắm bắt các gói tin trên một giao diện mạng LAN không dây có thể được vui vẻ vì bạn có thể xem những gì máy tính xách tay và các điểm truy cập lân cận khác đang gửi. Bằng cách kiểm tra khung LAN không dây cá nhân, bạn có thể thấy các hoạt động chi tiết của các điều khiển truy nhập trung LAN không dây. đầu tiên tôi đã cố gắng nắm bắt các gói tin mạng LAN không dây vào năm 2002. Sau đó, như bây giờ, khó khăn lớn đã có trình điều khiển cho card mạng không dây của bạn có hỗ trợ chụp (ví dụ: màn hình hoặc chế độ promiscuous). Sau đó, tôi sử dụng Cisco Aironet 350 thẻ PCMCIA, RedHat Linux và Ethereal (bây giờ gọi là Wireshark). Ngày nay nhiều thẻ hơn được hỗ trợ, nhưng hầu hết các tính năng của chụp thường chỉ có thể dưới hệ điều hành giống Unix (cứng / của nó không thể trong Windows).

Cập nhật 2015/03/09: Các hướng dẫn sau đây dùng iwconfig để kích hoạt chế độ màn hình trên giao diện mạng LAN không dây trong Linux; nếu văn bản hướng dẫn một cách tiếp cận khác, sử dụng iw để kích hoạt chế độ màn hình. Tôi khuyên bạn nên đọc / cố gắng cả hai; iw có vẻ là mạnh hơn và hiện đang làm việc thường xuyên hơn cho tôi hơn iwconfig.

Dưới đây là một số hướng dẫn sử dụng máy tính xách tay Samsung NC10 Ubuntu của tôi để nắm bắt các gói tin mạng LAN không dây. Đầu tiên sử dụng các lệnh cơ bản của iwconfig và tcpdump, và sau đó là phần mềm chuyên dụng Kismet. Tất nhiên chụp giao thông của những người khác có thể là bất hợp pháp / phi đạo đức trong một số tình huống; không làm điều đó nếu bạn không chắc chắn. Cập nhật (ngày 22 tháng 3 năm 2012): Ngoài ra tôi có một hình màn ảnh dưới đây cho thấy các bước trên một máy tính xách tay Lenovo. Hoặc đọc hoặc xem video phút 16.

Chụp gói với tcpdump LAN không dây

Đầu tiên chắc chắn NetworkManager không tự động kết nối hoặc chuyển giao diện on / off. Nhấp chuột phải vào biểu tượng mạng trong Gnome và de-chọn Enable Networking (nghĩa là để kết nối mạng bị vô hiệu hóa).

Biến giao diện mạng LAN không dây ra (trên máy tính của tôi hệ điều hành nhãn wlan0 giao diện):

$ sudo ifconfig wlan0 down

Bây giờ sử dụng iwconfig để đưa giao diện vào chế độ giám sát, kiểm tra tình trạng giao diện và sau đó biến giao diện trên một lần nữa:

$ sudo iwconfig wlan0 mode monitor
$ iwconfig wlan0
wlan0     IEEE 802.11bg  Mode:Monitor  Frequency:2.462 GHz  Tx-Power=20 dBm   
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off
          
$ sudo ifconfig wlan0 up


Cập nhật (ngày 29 Tháng 8 năm 2013): Để thiết lập các kênh để theo dõi bạn nên chọn nó trước khi bạn nhập vào chế độ monitor. Đó là, trong khi giao diện ở chế độ quản lý (ví dụ kết nối đến AP), thiết lập các kênh, ví dụ .:

$ sudo iwconfig wlan0 chan 6

phần mềm bắt gói dữ liệu có thể được sử dụng, và card mạng LAN không dây sẽ nắm bắt tất cả các gói tin nó có thể nhận được, ngay cả khi họ không trực tiếp đến máy tính xách tay của bạn. Ở đây tôi sử dụng tcpdump:

$ sudo tcpdump -i wlan0 -n

tcpdump sẽ in ra một dòng duy nhất trên đầu ra tiêu chuẩn cho mỗi gói tin nhận được. Cập nhật (ngày 22 tháng 3 năm 2012): tùy chọn -n ngăn tra cứu DNS (ví dụ để chuyển đổi IP DNS) - mà không có tùy chọn này có thể là tcpdump sẽ không nắm bắt tất cả các gói dữ liệu vì nó sẽ là quá chậm thực hiện tra cứu DNS. Để ngăn chặn việc bắt giữ nhấn Ctrl-C. Lưu ý rằng theo mặc định trong Ubuntu 12.04 và tcpdump sau chụp 65535 Bytes - hiệu quả toàn bộ gói. Nếu bạn muốn chụp chỉ một lựa chọn các gói tin (ví dụ đầu tiên 64 Bytes để tiết kiệm không gian lưu trữ khi chụp trong khoảng thời gian dài của thời gian) và lưu vào một tập tin thử:

$ sudo tcpdump -i wlan0 -n -s 64 -w file.cap

Các file.cap tập tin có thể được mở trong Wireshark để xem dễ dàng hơn.

Trong chế độ màn hình giao diện không dây của bạn chỉ nhận được các gói - nó không thể truyền tải (nghĩa là bạn không có quyền truy cập mạng bình thường qua mạng không dây). trả lại thẻ không dây của bạn bình thường (quản lý) Chế độ chạy:

$ sudo ifconfig wlan0 down
$ sudo iwconfig wlan0 mode managed
$ sudo ifconfig wlan0 up
$ iwconfig wlan0
wlan0     IEEE 802.11bg  ESSID:"MyWirelessNet"  
          Mode:Managed  Frequency:2.462 GHz  Access Point: 00:23:69:12:34:56   
          Bit Rate=1 Mb/s   Tx-Power=20 dBm   
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=68/70  Signal level=-42 dBm  
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

Các thẻ không dây hiện nay là liên kết với một điểm truy cập một lần nữa.

Giám sát mạng LAN không dây với Kismet

Một cách khác để giám sát hoạt động mạng LAN không dây là sử dụng một ứng dụng chuyên dụng như Kismet (trên Windows phần mềm tương tự bao gồm NetStumbler và inSSIDer). Kismet đặt card mạng không dây của bạn vào chế độ màn hình và sau đó cung cấp một cái nhìn cơ bản của các AP khác nhau gần đó (theo nhận định của các gói bị bắt).

Để cài đặt và cấu hình trên Ubuntu:

$ sudo apt-get install kismet
$ cd /etc/kismet
$ sudo nano kismet.conf

Bạn phải chỉnh sửa các tập tin kismet.conf để cấu hình. Hai điều cần phải được thiết lập (những người khác là tùy chọn). Đầu tiên người dùng SUID nên được đặt tên người dùng của bạn:

suiduser=sgordon

Và nguồn cần phải được thiết lập để xác định giao diện mạng LAN không dây (wlan0 trên máy tính của tôi, cũng như người lái xe và thẻ (ath5k là lái xe cho atheros tôi card không dây dựa trên máy tính xách tay Samsung của tôi. Các bước để thiết lập Kismet trên Lenovo Ideapad V470 được mô tả ở đây).:

#source=none,none,addme
source=ath5k,wlan0,atheros

Sau khi lưu kismet.conf, bắt đầu Kismet:

$ sudo kismet

Nếu tất cả là tốt, sau một vài giây, giao diện Kismet sẽ bắt đầu hiển thị cho bạn một danh sách của các AP. Nhấn h để được giúp đỡ và bắt đầu khám phá. Để thoát khỏi báo chí Q. Hãy chắc chắn rằng khi Kismet tồn tại nó đặt giao diện mạng LAN không dây của bạn trở lại vào chế độ quản lý. Kiểm tra với iwconfig, và nếu không, làm như vậy tự của bạn với các câu lệnh trên.

https://sandilands.info/sgordon/capturing-wireless-lan-with-ubuntu-tcpdump-kismet

Comments

Post a Comment

Popular posts from this blog

Thiết lập card không dây trên Kali Linux

Image
Thiết lập adapter không dây của là dễ dàng hơn nhiều so với các điểm truy cập. Ưu điểm là Kali hỗ trợ Card này out-of-the-box và với tất cả các trình điều khiển thiết bị cần thiết để cho phép packet injection và packet sniffing. Card được sử dụng trong hướng dẫn này là TP Link TL WN722N Cắm thẻ vào một trong các cổng USB của máy tính xách tay của Kali và khởi động nó. Một khi bạn đăng nhập, mở một terminal console và gõ iwconfig. màn hình của bạn nên xem xét như sau: Như bạn có thể thấy, wlan1 là wireless interface tạo bởi wireless adapter. Gõ ifconfig wlan0 để mang lại giao diện lên. Sau đó, gõ ifconfig wlan0 để xem trạng thái hiện tại của giao diện: Các địa chỉ MAC 00: c0: ca: 3e: bd: 93 phải phù hợp với địa chỉ MAC bằng văn bản dưới thẻ Alfa của bạn. Tôi đang sử dụng Edimax đó mang lại cho tôi MAC trước Địa chỉ 80: 1f: 02: 8F: 34: d5. Đây là một kiểm tra nhanh chóng để đảm bảo rằng bạn có kích hoạt giao diện chính xác. tàu Kali với tất cả các trình điều khi
Read more

Monitor mode

Monitor mode, hoặc RFMON (Radio Frequency MONitor) mode, cho phép một máy tính với một bộ điều khiển giao diện mạng không dây (WNIC) để giám sát tất cả lưu lượng nhận được từ các mạng không dây. Không giống như chế độ promiscuous, mà còn được sử dụng cho packet sniffing, Monitor mode cho phép các gói tin bị bắt giữ mà không cần phải liên kết trước với một điểm truy cập hoặc mạng ad-hoc. Monitor mode chỉ áp dụng cho các mạng không dây, trong khi chế độ promiscuous có thể được sử dụng trên cả hai mạng có dây và không dây. chế độ Màn hình là một trong bảy chế độ mà 802.11 card mạng không dây có thể hoạt động ở: Master (hoạt động như một điểm truy cập), Quản lý (client, còn được gọi là station), Ad hoc, Mesh, Repeater, Promiscuous, và Monitor mode. Úng dụng Một số ứng dụng cho chế độ màn hình bao gồm: geographical packet analysis, giám sát lưu thông mạng trên diện rộng; esp. cho các kênh không an toàn (ví dụ như thông qua WEP), và kiến thức tiếp thu công nghệ Wi-Fi thông qua kinh nghiệ
Read more

Giới thiệu - Scapy

về Scapy Scapy là một chương trình Python cho phép người dùng gửi, ngửi và phân tích và giả mạo gói tin mạng. Khả năng này cho phép xây dựng các công cụ có thể thăm dò, quét hoặc mạng tấn công. Nói cách khác, Scapy là một chương trình thao tác gói tương tác mạnh. Nó có thể giả mạo hoặc các gói giải mã của một số lượng lớn các giao thức, gửi cho họ trên dây, nắm bắt chúng, yêu cầu phù hợp và trả lời, và nhiều hơn nữa. Scapy có thể dễ dàng xử lý các nhiệm vụ cổ điển như quét, vết tích, thăm dò, kiểm tra đơn vị, các cuộc tấn công hoặc phát hiện mạng. Nó có thể thay thế hping, arpspoof, arp-sk, arping, p0f và thậm chí một số bộ phận của Nmap, tcpdump, và tshark). Scapy cũng thực hiện rất tốt trên rất nhiều nhiệm vụ cụ thể khác mà các công cụ khác hầu hết không thể xử lý, như gửi các khung không hợp lệ, tiêm chích 802,11 khung của riêng bạn, kết hợp kỹ thuật (VLAN hopping + ARP cache poisoning, giải mã VOIP trên kênh mã hóa WEP,. ..), vv Ý tưởng là đơn giản. Scapy chủ yếu là thực hiện
Read more