tcpdump odposlech WLAN - Intel wifi karta (iwlagn driver)

Techniky sniffingu, odposlech dat, hardware, aplikace pro zachycováni dat a síťového provozu, Ettercap, Cain, Kismet, filtrování, analýza dat, keylogger
Odpovědět
Uživatelský avatar
dez0
Level 0
Příspěvky: 3
Registrován: 29 lis 2009, 21:05

29 lis 2009, 21:13

Ahoj, snažil jsem se odposlechnout lokální provoz ve wlan, ale zdá se, že na intel kartách není možné použit promisc mód (stále vidím jenom svoje pakety). Pěkné vysvětlení jsem našel zde:
http://bugzilla.intellinuxwireless.org/show_bug.cgi?id=2033
Pokud ale přepnu do monitor módu, vidím v tcpdumpu všechno stylem

Kód: Vybrat vše

21:10:23.212098 1.0 Mb/s 2432 MHz (0x00a0) -88dB signal -92dB noise antenna 3 [0x0000000e] Beacon[|802.11]
21:10:23.277506 1.0 Mb/s 2432 MHz (0x00a0) -53dB signal -92dB noise antenna 3 [0x0000000e] Beacon (slizonet)[|802.11]
21:10:23.314768 1.0 Mb/s 2432 MHz (0x00a0) -87dB signal -91dB noise antenna 3 [0x0000000e] Beacon[|802.11]
21:10:23.367091 1.0 Mb/s 2432 MHz (0x00a0) -86dB signal -91dB noise antenna 3 [0x0000000e] Probe Response[|802.11]
21:10:23.416960 1.0 Mb/s 2432 MHz (0x00a0) -87dB signal -91dB noise antenna 3 [0x0000000e] Beacon[|802.11]
což je na dvě věci... Dá se tedy nějak odposlouchávat s iwlagn ovladačem? Díky za odpověď.

Uživatelský avatar
Michal
Level 7
Příspěvky: 242
Registrován: 19 kvě 2008, 20:14
Bydliště: Košice

30 lis 2009, 00:04

Hi, skús napísať presný postup vrátane príkazov a operačného systému. Používal som krátky čas Intel PRO/Wireless 4965AGN. Nie som si celkom istý pri množstve kariet, ktoré som testoval,(vynecháva pamäť) no mám pocit že s Promisc a Monitor mode nebol žiaden problém, rovnako ani so sniffovaním v systéme BackTrack 4 (iwlagn).
Prepni kartu do Promisc:

Kód: Vybrat vše

ifconfig rausb1 promisc
Over:

Kód: Vybrat vše

ifconfig rausb1 | grep PROMISC
alebo:

Kód: Vybrat vše

dmesg | grep promisc
Ak uvidíš niečo v zmysle:

Kód: Vybrat vše

BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
alebo:

Kód: Vybrat vše

device rausb1 entered promiscuous mode
tak budeš mať jasno ohľadom schopností karty. Fakt, že kartu prepneš to toho alebo iného módu ešte neznamená, že môžeš slobodne sniffovať. Od toho sú techniky MITM pri Promisc a dešifrovanie paketov pre Monitor mode. Zohľadni typ siete, uisti sa že vieš presný rozdiel medzi týmito dvoma módmi a rozumieš syntax Tcpdump.

Uživatelský avatar
android
Level 7
Příspěvky: 460
Registrován: 10 říj 2008, 22:48

30 lis 2009, 15:29

dez0 pokud diskuzi na kterou odkazuješ projdeš celou tak se dočteš, že vše funguje jak má. Problém byl s první nebo druhou wifi kartou od Intelu (ipw2200)..

Uživatelský avatar
dez0
Level 0
Příspěvky: 3
Registrován: 29 lis 2009, 21:05

01 pro 2009, 15:39

Ja netvrdim, ze nefunguje tak, jak ma. Ale v te diskuzi se pise, ze promisc mode jeste nezajistuje, ze budu prijmat vsechny pakety, ze to jeste zalezi na ucode a ten propusti vsechny pakety, jenom kdyz je nastaveny RXON_FILTER_PROMISC_MSK flag a ten je nastaveny jenom v pripade, ze je karta v monitor modu. Proto se ptam, zda je mozna sniffovat i v promisc modu (bez monitor modu) na intelu, protoze tam se pise, ze to nejde.
Btw, pokud zapnu monitor mod, tak si pakety musim desifrovat rucne, pokud jsou sifrovany?

Nejsem ted u kompu, kde to zkousim, takze presne prikazy v dalsim prispevku...

Uživatelský avatar
dez0
Level 0
Příspěvky: 3
Registrován: 29 lis 2009, 21:05

06 pro 2009, 20:29

So here come the commands... :)

Kód: Vybrat vše

root@deathstar:~# ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 00:1e:64:23:15:1e  
          inet addr:10.0.0.13  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:64ff:fe23:151e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9721 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2062 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:6347682 (6.3 MB)  TX bytes:253383 (253.3 KB)

root@deathstar:~# ifconfig wlan0 promisc
root@deathstar:~# ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 00:1e:64:23:15:1e  
          inet addr:10.0.0.13  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:64ff:fe23:151e/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:9721 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2062 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:6347682 (6.3 MB)  TX bytes:253383 (253.3 KB)
A ted ten tcpdump. Chova se to trochu jinak, nez jsem psal ze zacatku. Pakety chytam, ale tvari se jako unknown SSAP. Pritom kdyz necham chytat i svuj traffic, tak ten vidim pekne az na ip.

Kód: Vybrat vše

root@deathstar:~# tcpdump -D
1.eth0
2.wmaster0
3.wlan0
4.any (Pseudo-device that captures on all interfaces)
5.lo
root@deathstar:~# tcpdump -i 3 -n host not 10.0.0.13
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 96 bytes
20:24:07.520874 IP 10.0.0.12.138 > 10.0.0.255.138: NBT UDP PACKET(138)
20:24:07.522115 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:08.527047 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x80 Unnumbered, 07, Flags [Response], length 56
20:24:09.018731 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:11.770050 IP 10.0.0.12.138 > 10.0.0.255.138: NBT UDP PACKET(138)
20:24:11.771231 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:12.522835 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:13.268165 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:16.768059 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:17.518030 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:18.186602 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x82 Unnumbered, 07, Flags [Response], length 56
20:24:19.190451 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x82 Unnumbered, 07, Flags [Response], length 58
20:24:20.268078 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:21.017852 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:21.724230 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x84 Unnumbered, 07, Flags [Response], length 334
20:24:21.741259 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x84 Unnumbered, 07, Flags [Response], length 64
20:24:21.758070 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x86 Unnumbered, 07, Flags [Response], length 56
20:24:21.767807 IP 10.0.0.12.137 > 10.0.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
20:24:21.785059 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x86 Unnumbered, 07, Flags [Response], length 444
20:24:21.798913 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x88 Unnumbered, 07, Flags [Response], length 56
20:24:22.642464 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x88 Unnumbered, 07, Flags [Response], length 64
20:24:22.658791 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x8a Unnumbered, 07, Flags [Response], length 56
20:24:22.674549 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x8a Unnumbered, 07, Flags [Response], length 491
20:24:24.382058 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x8c Unnumbered, 07, Flags [Response], length 312
20:24:24.401781 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x8c Unnumbered, 07, Flags [Response], length 64
20:24:24.424554 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 ProWay Unnumbered, 07, Flags [Response], length 56
20:24:24.439404 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 ProWay Unnumbered, 07, Flags [Response], length 715
20:24:24.471604 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x90 Unnumbered, 07, Flags [Response], length 339
20:24:24.494288 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x90 Unnumbered, 07, Flags [Response], length 64
20:24:24.950462 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x92 Unnumbered, 07, Flags [Response], length 64
20:24:24.968559 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x92 Unnumbered, 07, Flags [Response], length 56
20:24:24.998650 00:1f:1f:18:1b:e4 Unknown SSAP 0x08 > 00:13:02:ae:f9:06 Unknown DSAP 0x94 Unnumbered, 07, Flags [Response], length 1486
^C
32 packets captured
32 packets received by filter
0 packets dropped by kernel
Takze kde je chyba? Chtel bych videt cizi traffic a ne Unknown SSAP. Diky.

Jeste dodatek: Je to sit s 128bit WEP. Stejny problem je asi toto http://old.nabble.com/Can't-Decrypt-WEP ... 15944.html, ale bohuzel tam neni reseni.
Naposledy upravil(a) dez0 dne 06 pro 2009, 20:52, celkem upraveno 1 x.

Odpovědět
  • Podobná témata
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host