Wireshark / TCPdump acquisisce solo parte dei pacchetti di richiesta HTTP

1

Volevo fare alcune ricerche interne e verificare quanti e quali tipi di pacchetti posso acquisire da / verso il mio router Wi-Fi aperto in-house.

Ho installato Kali Linux sul computer Windows 10 (Virtualbox) e utilizzo l'adattatore Wi-Fi TL-WN722N TP-Link per catturare il traffico in modalità monitor. Posso metterlo in modalità monitor e posso vedere i pacchetti catturati.

Tuttavia, viene catturata solo una piccola quantità di traffico, in particolare i pacchetti HTTP. Ho fatto alcune richieste di test dal mio telefono / tablet / laptop e talvolta ottengo un numero abbastanza ragionevole di pacchetti catturati, ma a volte non riesco a vedere nessuno di essi o solo parte della richiesta (ad esempio alcuni script sono caricati da CDN, ma non la richiesta originale viene catturata).

Poiché le mie conoscenze sul networking sono davvero basilari, sono interessato a cosa può causarlo?

P.S .: la scheda Wi-Fi è impostata per correggere il canale - come il mio router Wi-Fi sta trasmettendo.

UPDATE (2019)

Se alcuni di voi stanno vivendo lo stesso questa risposta mi ha aiutato, quindi i dati sono stati trasferiti con velocità diverse e TL-WN722N non è riuscito a catturare questi pacchetti. La rimozione di 802.11n (lasciando solo b / g) ha risolto il problema.

    
posta Arturas Tamulaitis 20.03.2017 - 17:22
fonte

2 risposte

1

La mia prima ipotesi sarebbe la forza del segnale wifi, sei abbastanza vicino sia al router che al computer di destinazione? Forse sei vicino a uno ma lontano dagli altri, il che significa che non acquisirai correttamente i pacchetti da entrambi.

Verifica utilizzando airodump se hai almeno -67dBm di segnale per router e target. Inoltre, ricorda che il segnale è in una scala di logaritmo, maggiore è il numero, migliore. Se ottieni un segnale intorno a -50 dBm sarebbe buono.

Se hai un buon segnale sia dal router che dalla macchina target, prova a fare l'acquisizione usando airodump-ng [airodump-ng wlan0mon -c CHANNEL --bssid ROUTER_MAC -w CAPTURE_FILE] e poi apri l'acquisizione salvata su wireshark. Dalla mia esperienza, airodump è più affidabile (e puoi vedere in tempo reale la potenza del segnale)

    
risposta data 20.03.2017 - 17:32
fonte
1

Uso wirehark quotidianamente per l'analisi della rete.

Prima di tutto, assicurati di aver sniffato l'interfaccia corretta e assicurati di aver attivato il parser richiesto (in questo caso HTTP).

Dovrai verificare che tu stia anche riassemblando le intestazioni:

Inoltre, verificherei che la potenza del tuo router sia adeguata e non stai perdendo alcun pacchetto.

    
risposta data 21.03.2017 - 15:10
fonte

Leggi altre domande sui tag