Come posso acquisire pacchetti di dispositivi LAN in Wireshark?

3

EDIT: Vedendo come questa domanda è così popolare, la riformulerò e la migliorerò per consentire una risposta. È quasi senza risposta nella sua vecchia forma.

Impostazioni

  • PC che esegue Wireshark, connesso alla rete wireless (se la variazione del sistema operativo è un problema, usa Wireshark su Linux).

  • Un altro dispositivo collegato, senza fili, alla stessa LAN.

  • La rete wireless utilizza la crittografia WPA2

Domanda

Usando Wireshark sul mio PC, come faccio a catturare TUTTI i pacchetti, inviati e ricevuti, dall'altro dispositivo sulla LAN?

Esempio

Voglio usare Wireshark, in esecuzione su Debian, per catturare tutti i pacchetti di YouTube che vanno e vengono da e verso un dispositivo Android sulla mia stessa rete.

    
posta Mars 20.07.2014 - 20:50
fonte

4 risposte

5

Se utilizzi entrambi il Wi-Fi (con crittografia a chiave già condivisa basata su WPA), le cose sono davvero semplici (cosa che non sarebbe avvenuto se fossi su una rete cablata):

  • Avvia Wireshark sul tuo computer
  • Imposta la chiave WPA nelle impostazioni di Wireshark
  • Avvia l'acquisizione dei pacchetti sulla tua interfaccia wireless (in Linux dovresti mettere il tuo dispositivo wireless in modalità Monitor per raccogliere tutti i pacchetti)
  • Forza il dispositivo di destinazione a ricollocarti con l'AP (attiva / disattiva il wifi, attiva / disattiva l'AP, ecc.)
  • Osserva l'handshake a 4 vie con Wireshark (grazie al passaggio precedente)
  • Fai ciò che vuoi sul tuo dispositivo Android per generare traffico
  • Visualizza il tuo traffico wireless non crittografato in Wireshark
  • Buon divertimento!

Con le chiavi WPA impostate in Wireshark, decodifica i pacchetti al volo, permettendoti di visualizzare il traffico del tuo dispositivo Android.

Modificato per includere il passaggio necessario alla decrittografia del traffico protetto WPA, che sta osservando l'handshake a 4 vie

    
risposta data 21.07.2014 - 03:00
fonte
2

bene, non sarebbe l'idea più semplice (o migliore ) per catturare il traffico direttamente dal tuo computer o dispositivo Android. quando voglio fare questo tipo di cose, accendo ssh al mio router wireless e faccio tcpdump -i br0 in modo che io possa catturare il traffico da OGNI singolo dispositivo che sta accedendo a Internet attraverso il mio router. se potessi ssh nel tuo router wifi e avere tcpdump nella busybox del tuo router (o qualsiasi altro linux embedded), allora sei pronto per partire. basta fare il comando sopra.

    
risposta data 20.07.2014 - 21:00
fonte
0

Supponiamo che tu non voglia eseguire un attacco MITM (man in the middle attack), che è leggermente più difficile da configurare, suggerirei una soluzione basata su rete:

  1. Imposta un punto di accesso
  2. Collega il tuo punto di accesso a un hub (utilizzando un normale cavo di rete)
  3. Collega il tuo computer (dove si suppone che wireshark sia in esecuzione) a un hub (utilizzando un normale cavo di rete)
  4. Connetti il tuo hub a un router (di nuovo, usando un normale cavo di rete)
  5. Inizia a sniffare con wireshark:)
  6. Collega il tuo dispositivo Android o qualsiasi altro dispositivo mobile al punto di accesso (Wifi)
risposta data 21.07.2014 - 00:24
fonte
0

In realtà ero giocavo con questo alcune settimane fa , sebbene usi Burp invece di Wireshark. Ho indirizzato il traffico attraverso il mio pentesting box utilizzando un router definito dal software e reindirizzando l'obiettivo REDIRECT di IPTables su un tunnel SSH. Questo è probabilmente eccessivo, ma consente di reindirizzare il traffico ovunque lo desideri. Puoi farlo anche da un router che esegue linux.

Altre opzioni includono la configurazione del tuo computer come un punto di accesso e il collegamento del tuo dispositivo ad esso, o usando la tecnica descritta da @MatToufoutu, avendo Wireshark decifrare il traffico, ma poi potresti perdere del traffico che è nascosto dal rumore o dal gamma.

    
risposta data 21.07.2014 - 03:23
fonte

Leggi altre domande sui tag