Wireshark no captura paquetes de otro pc conectado al router

Iniciado por Aiouek, 13 Septiembre 2010, 10:53 AM

0 Miembros y 2 Visitantes están viendo este tema.

Aiouek

Buenas estoy usando el wireshark y os comento:
Hace unas semanas siguiendo un manual de la red, de esta web creo, probe a capturar paquetes de mi red entre dos pc's conectadas al router por wifi y todo fue bien, funcionaba a la perfeccion.

Ahora lo he vuelto a probar, con las dos mismas pc's, y no me captura "ningún" paquete del otro ordenador (lo he probado en ambos).
Los únicos paquetes que capturo del otro pc son unos en formato IGMP, y otros 0x05e4 o 0x05ec y nose si algún LLC...

Claro esta que no puedo ver nada...lo que he intentado:
-El modo promiscue esta on en ambos pc's cuando hice las pruebas.
-La interfaz que utilizo en ambas es la wlan0 ya que las demas interfaces no capturan ni el tráfico que genero desde el mismo ordenador desde el que ejecuto el wireshark.
También puse alguna en modo monitor con airmon-ng, y esa no captura ningún paquete(que se ponga en verde/azul/rojo en la pantallita me refiero)
-La interfaz wlan0 que utilizo esta en modo managed en ambos pc's.

En estas últimas semanas formateé ambas pc's y también cambie la configuración del router, nose si abra afectado en algo....
Nose como comprobar si estoy conectado a un switch, que entonces ya estaria esto claro, o si lo estoy por hub. De todas formas hace unas semanas me salio, pero enfin ya apenas me acuerdo  :-X

Saludos ;)

PD: El wireshark lo ejecuto siempre en modo su desde la terminal
También he probado a hacerle sniffing a la ip del otro pc pero solo captura lo que digo arriba.

fuenteRea

hola,

si tienes el modo promiscuo debe capturarte todo el trafico de la red, asegurate que la red tiene trafico, por ejemplo...

en windows se me ocurre lo siguiente,
1.- comprueba tu tabla de arp. (arp -a)
2.- una vez verifiques que esta correcta, es decir estan todos los host, pasamos al
3.- activa el wireshark.
4.- borra la tabla arp, para ello debes abrir el simbolo del sistema como admin y ejecutar el comando (arp -d *). No olvides el asterisco.
5.- comprueba que el pc que borra la tabla arp pide a los demas de muevo las direcciones y los demas contestaran a las peticiones arp.
6.- si lo hace esta correcto, si no, creo que deberías reinstalar el wireshark o algo.

un saludo!!

EDITO: Disculpa, creo que lo pides para linux, haz lo mismo, pero en linux, lo que no te se decir los comandos.
PD: Asegurate de que lo estás ejecutando en modo admin.
Una rosa es una rosa...

Aiouek

#2
Buenas, ya esta cambiado  :rolleyes:
Gracias por la idea thedoctor77 pego por aqui los resultados en modo admin:

En el pc donde tengo wireshark (linux):
root@terminal:/home/terminal# arp
Dirección                TipoHW  DirecciónHW         Indic Máscara         Interfaz
192.168.1.1              ether   64:XX:XX:XX:XX:XX   C                     wlan0

root@terminal:/home/terminal# arp -a
? (192.168.1.1) en 64:XX:XX:XX:XX:XX [ether] en wlan0

Tambien hice lo de borrar y que coja de nuevo los parametros, pero por lo que veo no me reconoce que este el otro pc conectado al router (estan los dos mientras hacia esto). Los comandos son muy parecidos a los de windows.

Y en el otro pc que es el que intento sniffar (windows xp, para ver lo del arp):
K:\>arp -a
Interfaz: 192.168.1.33 --- 0x3
 Dirección IP                   Dirección física                   Tipo
 192.168.1.1                   64-XX-XX-XX-XX-XX                   dinámico        

Aqui tampoco me detecta al otro pc que esta conectado a la red. He hecho lo de arp -d * para borrar los hosts y al volver a ejecutar arp -a me salen los mismo datos que arriba.

Voy a reinstalar wireshark aunque creo que no sera por eso, ¿nop? saludos ;)

PD: He conseguido capturar varios paquetes en formato nbns y uno dhcp en el momento en el que se conecta al router el otro pc, pero nada de los demás paquetes que deberia ver ya que estoy googleando para que tenga algo de trafico (tambien he probado bajando videos ect).
Lo que recibo a intervalos regulares son los paquetes en formato igmp:
192.168.1.34   239.255.255.XXX   IGMP   V2 Membership Report / Join group 239.255.255.XXX
Verde = origen; Azul = destino; Morado = información.

--->Fotos de lo que me sale en el wireshark cuando navego por google desde el otro pc:
Foto 1
Foto 2
Foto 3 (de la interfaz)

Saludos

fuenteRea

#3
Hola,

No se porque no te borra la tabla, dale varias veces, es que puede ser que ese comando en linux haga otra cosa o que tenga alguna cache o algo asi ahi no puedo ayudarte más.

si te aparecen los IGMP es que hay trafico, comprueba la IP de esos paquetes, veras como son host

un saludo!!
Una rosa es una rosa...

Aiouek

#4
Citarcomprueba la IP de esos paquetes, veras como son host
Es cierto jeje

He probado casi todo, pero todo lo que leido, asique voy ha ponerle algún windows y lo intento con la versión de wireshark en windows. Asi lo intento con los comandos de arp.
La cosa esque veo el trafico, pero en formatos extraños xD (lo de las fotos del post de arriba).

Mañana lo pruebo y edito el post con los resultados, saludos ;)

|--------------------|

No lo soluciono, elimino las tablas arp y al poco tiempo las recupera y me da los mismos resultados que en linux. Solo recibo del otro ordenador paquetes en formato igmp. La conexión es inalámbrica en ambos pc's. De todas formas voy dejar este tema en el cajon un tiempo que tampoco me preocupa mucho, muchas gracias por la ayuda  :)

Saludos

Aiouek

Buenas, arriba no indique que me conecto a través de un router_ADSL. Solo eso, las pruebas que hago siguen dando el mismo resultado. No uso ni un hub ni switch ;)

Saludos