Tráfico wlan con wireshark

Iniciado por inigotec, 15 Febrero 2013, 00:38 AM

0 Miembros y 3 Visitantes están viendo este tema.

HCK.

Cita de: inigotec en 15 Febrero 2013, 23:06 PM
No he podido probarlos ya que ahora mismo estoy de viaje pero lo haré.

En mi cabezonería acabo de probar el wireshark con la wifi del hotel que es open y no hay ningún problema. Veo todo el tráfico IP sin ningún problema.

La de mi casa que es en la que tengo el problema es WPA2-PSK con AES.

¿Puede ser que la seguridad WPA2 se comporte como un switch? Es decir, que dé una especie de código a cada host para descifrar única y exclusivamente sus propios paquetes? Eso desde luego explicaría por que veo que hay paquetes pero no puedo convertirlos en IP.

¿Tiene sentido? La verdad es que no se nada de WPA2.

¿Has probado wireshark directamente solo?, si no haces envenenamiento ARP, un MITM no podras ver el trafico de los demás, solo veras el tuyo.

Todos los routers se comportan como switch, en todos tienes que hacer un MITM si es hacia otro equipo que no sea el tuyo en la misma red.

La seguridad de WPA2 solo se aplica en la autentificación. Una vez dentro, a la hora de capturar paquetes y demás, es como una red cableada. Asi que eso no es el problema, ademas para resolver tu duda, WPA/WPA2 genera una clave, que cambia cada X tiempo, pero siempre generadas a partir de la master key. Es decir, la clave que tiene el router para entrar desde el WiFi. Así que eso no tiene nada que ver con lo que intentas, si estas dentro de la red ya.

Tambien, tienes la opcion, si lo que te interesa, es ver el tráfico de tu red, pero las paginas y demás (no el tráfico cifrado), puedes escuchar paquetes en modo monitor de tu red directamente, y descifrar la captura con airdecap-ng. Pero recuerda, necesitas un handshake de la propia red en la misma captura, para que luego puedas descifrar los paquetes con esa herramienta. Si no, te pondrá 0 packets decrypted.  :-\

Un saludo¡

inigotec

Yo creo que no todos los routers se comportan como un switch. En una red open, todo el tráfico es visible por todos como si de un hub se tratase y en una red con seguridad todo el tráfico es visible por todos solo que cifrado por lo tanto  un router en su interfaz radio se comporta como un HUB solo que encrpta el tráfico por razones obvias.

Independientemente de esto, he visto que en wireshark en edit / preferences/ protocols / IEEE 802.11 se puede meter la pre shared key (psk) supongo que eso es lo que tu has llamado master key. El tema es que he visto por ahí en internet que puedes descifrar wpa2 pero yo solo veo como meter una psk de wpa (wpa-psk:<psk>). ¿Conoceis la sintaxis para wpa2?

inigotec

Buenas;
Al final me he rendido y he usado un MITM con el ettercap y he observado el tráfico desde el wireshark y claro como los paquetes van dirigidos a mi MAC gracias al envenenamiento de la cache arp no hay ningún problema.

En cualquier caso sigo pensando que tratándose de wifi, es posible observar el tráfico sin alterar su ruta normal y desencriptarlo con la psk conocida solo que no he encontrado como hacerlo y por falta de búsqueda no ha sido.

En fin, si alguien sabe como hacerlo que lo ponga.

Un saludo y gracias!!

jgallego87

Hola... acabo de leer tu problema y estoy con lo mismo. Pudiste resolverlo sin MITM?? Me dirías como?
Es el mismo esquema que tenes... una WPA2 (QUe por lo que les lei no tiene nada que ver) . Tambien probe sacando el modo promiscuo.

Gracias!