È possibile annusare o catturare i pacchetti 802.11 che inviano il mio computer al router (AP). So che non posso annusare i pacchetti che hanno un altro indirizzo MAC di destinazione senza passare alla modalità monitor, ma è possibile catturare e vedere i pacchetti 802.11 che vengono inviati dal mio computer all'AP e ricevuti dall'AP?
Desidero utilizzare la mia scheda di rete predefinita per farlo (nessun supporto per la modalità monitor). È possibile?
No. È assolutamente possibile visualizzare i frame generati o destinati alla radio senza la modalità monitor. Ad eccezione dell'handshake 802.1x iniziale, sfortunatamente. Avrai bisogno di qualcosa come wireshark o TcpDump. Tuttavia, se stai parlando di EAP 802.11 avrai bisogno di un dispositivo che puoi utilizzare in modalità monitor poiché non vengono passati come frame standard: (potrei suggerire un ALFA AWUS036H)
Entrambi si basano su qualcosa chiamato libpcap per consentire l'accesso ai messaggi layer2 visualizzati dai dispositivi di rete. Ora questo non è perfetto e i pacchetti possono essere modificati prima di vederli dal tuo NIC. (ad esempio, se stai catturando su un sistema Windows, probabilmente vedrai errori per problemi di checksum tra TCP e IPv4, dovuti a una funzionalità chiamata Motore Offload TCP.) La modalità Monitor dovrebbe superare quelle limitazioni.
Purtroppo non sono a conoscenza di alcun modo per prendere i pacchetti 802.1x di pre-autorizzazione senza la modalità monitor. Il primo frame che vedrai all'interno di un pcap come questo è probabilmente il frame di richiesta DHCP.
Ciò che potrebbe funzionare, è se installi un ambiente di virtualizzazione (VirtualBox o Vmware per esempio) e poi tenti di impostare la modalità bridge sull'interfaccia e poi usi l'adattatore virtuale per curiosare i frame 802.1x. Dovrai autenticarti all'interno della tua macchina virtuale, ma potresti presumibilmente ficcare il naso attraverso l'interfaccia virtuale.
Non ci credo. Quando la scheda wireless è in modalità gestita (la normale modalità client), la scheda esamina l'intestazione 802.11 e passa tutto il resto sul kernel, quindi manca quell'intestazione. In modalità monitor, le applicazioni possono ottenere più o meno l'output non elaborato dalla scheda wireless, inclusa l'intestazione 802.11.