Tráfico wlan con wireshark

Iniciado por inigotec, 15 Febrero 2013, 00:38 AM

0 Miembros y 3 Visitantes están viendo este tema.

inigotec

En primer lugar hola a todos ya que soy nuevo en este foro, la verdad es que os leia desde hacía tiempo pero esta es la primera vez que participo.

Bueno, me gustaría que si pudierais me echarais una mano con el wireshark ya que no estoy obteniendo los resultados que esperaba y no comprendo por que es así.

Al grano, el caso es que quiero monitorizar el tráfico que pasa por mi red WIFI. El fin es por ejemplo ver las páginas que se consultan, es decir, el tráfico http. Para esto utilizo Ubuntu y en el wireshark activo la casilla de capturar tráfico en modo promiscuo (es mi red a si que estoy autenticado) y como he comentado antes, es wifi por lo que en principio todo e tráfico debería ser visible.
Lo que obtengo es que cuando consulto una web desde la máquina en la que estoy capturando, todo va perfecto, paquete ip con get y la respuesta. Sin embargo cuando visito una web desde otra máquina distinta pero dentro de la misma red wifi no se ve nada.

Lo primero que pensé es que la tarjeta no estaba en modo promiscuo de modo que me desautentico de la red, la pongo en modo monitor (con airmon) y escucho el canal 11 (el de mi wifi) y sí que capta paquetes. ¿Modo monitor sí pero promiscuo no? eso es muy raro a si que concluyo que es compatible con modo promiscuo ya que con el modo monitor lo es.

El caso es que tocando y retocando los filtros del wireshark (de vuelta al modo promiscuo) veo que cuando visito una página web desde otro pc sí que capta tráfico pero es tráfico MAC (protocolo LLC concretamente) ¿No debería estar encapsulado dentro del paquete MAC un paquete IP? ya que MAC ocupa la segunda posición en la torre OSI e IP la tercera.

Mi pregunta es ¿Que estoy haciendo mal? ¿Donde esta mi tráfico ip perdido? ¿Como lo soluciono?

Muchas gracias por haber leido el tocho, considero importante comentaros que es lo que he probado y que no.

Un saludo.

alister

#1
bueno, lo primero es NO activar el modo promiscuo porque estas capturando tráfico wifi. en el caso de wifi, los paquetes van a ser capturados por tu adaptador, SI o SI, asi que el modo promiscuo no solo es innecesario sino que puede darte problemas.

lo segundo es que no tienes que hacer nada mas. es decir... ¡te has excedido!

simplemente asegurate de que el adaptador está conectado con normalidad a esa red wifi.

el otro fenómeno que comentas me parece debido a un mal uso de los filtros pero como no has pegado la expresion de filtrado, no te lo aseguro. en todo caso arregla todo lo basico y luego miras si recoges el trafico de todas las capas al capturar sin filtros.
Back 2 business!

inigotec

¡Gracias por tu respuesta tan rápida!

No, sin modo promiscuo no captura más que los propios paquetes dirigidos a si mismo o que envía él. Tampoco me está capturando los paquetes MAC que comentaba antes.

La verdad es que no había probado a capturar sin modo promiscuo ya que he hecho esto antes, aunque siempre en redes cableadas y el modo promisuo es necesario para que el adaptador no descarte los paquetes que van drigidos a otras máquinas. He probado corriendo a ver si era lo que decias (no veas la cara de tonto que se me ha quedado al leerlo) pero no ha habido suerte.

Respecto a los filtros, ahora mismo los tengo vacios y como te comentaba sin promiscuo solo captura sus propios paquetes y con promiscuo lo que he descrito en el primer post.

Un saludo!

alister

Cita de: inigotec en 15 Febrero 2013, 01:29 AM
¡Gracias por tu respuesta tan rápida!

No, sin modo promiscuo no captura más que los propios paquetes dirigidos a si mismo o que envía él. Tampoco me está capturando los paquetes MAC que comentaba antes.

La verdad es que no había probado a capturar sin modo promiscuo ya que he hecho esto antes, aunque siempre en redes cableadas y el modo promisuo es necesario para que el adaptador no descarte los paquetes que van drigidos a otras máquinas. He probado corriendo a ver si era lo que decias (no veas la cara de tonto que se me ha quedado al leerlo) pero no ha habido suerte.

Respecto a los filtros, ahora mismo los tengo vacios y como te comentaba sin promiscuo solo captura sus propios paquetes y con promiscuo lo que he descrito en el primer post.

Un saludo!

estas seguro?
creo que me dejé algo importante....
estas en windows?
Back 2 business!

-- KiLiaN --

Citares necesario para que el adaptador no descarte los paquetes que van drigidos a otras máquinas
Es cierto, sin el modo promiscuo sólo "vera" lo que va dirigido a él. Prueba a hacerlo sin aplicar filtros y cuando lleves un par de minutos paralo (habiendo hecho trafico en el otro pc) para ver a mano los paquetes.
Entren al chat de elhacker.net
    
   

@kln13

inigotec

#5
Cita de: alister en 15 Febrero 2013, 02:04 AM
estas en windows?

No, uso ubuntu aunque en mi frustración también he probado en windows y el resultado es el mismo en dos ordenadores distintos...

Cita de: -- KiLiaN -- en 15 Febrero 2013, 10:53 AM
Prueba a hacerlo sin aplicar filtros y cuando lleves un par de minutos paralo (habiendo hecho trafico en el otro pc) para ver a mano los paquetes.

Es justo lo que estoy haciendo, capture filter y display filter en blanco y capturo durante unos minutos mientras navego. Luego solo aparece tráfico MAC entre el pc y el router sin embargo desde el pc que realiza la captura sí que aparece el tráfico IP entrante y saliente de si mismo, pero no el del otro.

¿Vosotros podeis ver el tráfico IP de otros ordenadores en una red wifi sin problemas?

-- KiLiaN --

Haz un Mitm y seguro que recoges TODOS los paquetes..xD

PD: qué no se te olvide hacer el ip forward..
Entren al chat de elhacker.net
    
   

@kln13

inigotec

Ya, eso es mi plan B pero el man in the middle se utiliza cuando el tráfico pasa por un switch y por lo tanto no es que no los captures sino que el switch no te lo está enviando.

En este caso no veo por que es necesario ya que una red wireless se asemejaría más a un HUB, todos ven lo de todos pero descartan lo que no va para ellos.

En cualquier caso, ¿Podríais recomendarme un sniffer para probar antes de darme por vencido y utilizar el mitm?

Saludos!

-- KiLiaN --

La suit dsniff y ettercap es lo que yo uso ;)
Entren al chat de elhacker.net
    
   

@kln13

inigotec

No he podido probarlos ya que ahora mismo estoy de viaje pero lo haré.

En mi cabezonería acabo de probar el wireshark con la wifi del hotel que es open y no hay ningún problema. Veo todo el tráfico IP sin ningún problema.

La de mi casa que es en la que tengo el problema es WPA2-PSK con AES.

¿Puede ser que la seguridad WPA2 se comporte como un switch? Es decir, que dé una especie de código a cada host para descifrar única y exclusivamente sus propios paquetes? Eso desde luego explicaría por que veo que hay paquetes pero no puedo convertirlos en IP.

¿Tiene sentido? La verdad es que no se nada de WPA2.