modalità di monitoraggio vs promiscuo in 802.11

9

Ho letto le modalità promiscua e monitor in relazione alle reti 802.11. Capisco la differenza, che è spiegata qui:

Qual è il differenza tra modalità Promiscua e Monitor nelle reti wireless?

La definizione è piuttosto semplice. Uno sei associato a un AP, l'altro non lo sei.

La mia domanda è, qual è il vantaggio di utilizzare la modalità promiscua in modalità monitor? Quando useresti uno invece dell'altro?

Se voglio monitorare il traffico tra un AP e un dispositivo, entrambe le modalità mi danno la possibilità. Mi sento come se mi mancasse qualcosa che la modalità promiscua ti permette di fare ciò che non puoi con il monitor. So che la modalità monitor non ti permette di controllare i CRC, ma non vedo un reale vantaggio nell'usare la modalità promiscua oltre.

    
posta ddATX 30.01.2015 - 23:32
fonte

3 risposte

6

In "Modalità Promiscous", il driver emette ancora i frame Ethernet standard appartenenti alla rete wireless a cui si è attualmente associati (identificati dal BSSID). Probabilmente il dispositivo scaricherà i pacchetti dall'AP ai dispositivi wireless, ma non i pacchetti dai client wireless all'AP, poiché i pacchetti di ricezione da dispositivi non AP non vengono utilizzati in modalità client AP.

In "modalità monitor", acquisisci pacchetti da tutte le reti che operano su un canale scelto (possibilmente anche su canali adiacenti - c'è una ragione per cui i beacon 802.11 DSSS contengono il numero di canale nel payload) e il driver non emette Ethernet semplice, ma deve generare più intestazioni (ci sono 3 indirizzi in un'intestazione 802.11, anziché solo 2 indirizzi nelle intestazioni 802.3 Ethernet). Solo uno speciale software di monitoraggio wireless è in grado di elaborare i pacchetti nel formato scaricato dal driver in modalità monitor.

Quindi la modalità monitor è vantaggiosa se si vuole vedere realmente cosa sta succedendo, mentre la modalità promiscous è lì per compatibilità con gli strumenti standard di sniffing della rete ethernet che non possono gestire il formato di frame 802.11 esteso. Se lo strumento che si desidera utilizzare supporta la modalità di monitoraggio, utilizzarlo. Utilizza la modalità promiscous solo come backup.

Inoltre, alcuni driver / hardware wireless consentono al dispositivo di inviare pacchetti completamente arbitrari mentre si trova in modalità monitor, ovvero iniezione di pacchetti.

    
risposta data 31.01.2015 - 00:26
fonte
5

Oltre a ciò che ha detto Michael Karcher, la modalità monitor ha il vantaggio di non dover essere associata all'AP. Ciò rende possibile essere completamente invisibili e sniffare i pacchetti su una rete per la quale non si ha la password. In modalità promiscua devi associarti con l'AP, quindi stai spedendo pacchetti. La modalità di monitoraggio può essere completamente passiva.

Inoltre, la modalità monitor consente di trovare SSID nascosti. Gli SSID non vengono trasmessi dall'AP, ma vengono trasmessi dal client.

    
risposta data 10.02.2015 - 22:28
fonte
0

I pacchetti catturati in Modalità Monitor saranno molto probabilmente (Livello 2) crittografati con WPA o WEP. Wireshark può decifrare questi pacchetti se configurato correttamente con SSID / passphrase, se configurato correttamente con SSID e passphrase dell'AP. Inoltre, i pacchetti di handshake EAPOL devono essere osservati da Wireshark per decodificare questi pacchetti.

    
risposta data 10.02.2015 - 20:39
fonte

Leggi altre domande sui tag