Monitora il traffico che sta attraversando il mio router

0

Voglio monitorare il traffico HTTP di tutti i client connessi via wifi al mio router wireless. Voglio catturare il traffico con il mio notebook che è anche collegato in modalità wireless al router.

Hardware e amp; Configurazione del software:

Capturing with: Intel 7260 Wireless, Ubuntu 14, Wireshark & Aircrack-ng

Client to monitor: Android Smartphone

Router: Wireless Router 2.4GHz 802.11n, fixed wifi channel

//

What I did til now (without any success):

sudo airmon-ng start wlan0

// mon0 is started successfully

gksu wireshark

// warns me that I should not run it in root, but I want to see that this works first, I'll take care of security later

In Edit-> Preferences -> Protocols -> IEEE802.11:

Reassemble fragmented 802.11 datagrams: true

Ignore vendor-specific HT elements: false

Call subdissector for retransmitted 802.11 frames: true

Assume packets have FCS: false

Ignore the Protection bit: Yes with IV

Enable Decryption: true

Decryption Keys: wpa-pwd, mywlanpassword:myrouterssid

Nelle opzioni di acquisizione:

Capture Interface: mon0

promiscuous mode: true

snaplen: default

buffer: 2mib

monitor mode: disabled

// I also tried with true but it doesn't seem to make a difference as due to usage of airmon-ng I suppose that monitoring is already enabled

Display options: all true

Name resolution: all false

Dopo aver avviato l'acquisizione, disattivo WIFI sul mio smartphone e riattivalo. Vedo che alcuni pacchetti MDNS vengono catturati e un tempo IGMPv2. Ma quando navigo sul telefono (normali siti http, nessuna compressione di rete attivata) o uso qualsiasi app che si connetterebbe con il servizio online, non vedo traffico HTTP o TCP per lo smartphone. Se avvio il browser sul mio notebook, vedo tutto il traffico del browser (richieste HTTP, risposte, file ecc.)

Mi manca qualcosa?

    
posta nosharky 30.01.2016 - 18:37
fonte

2 risposte

3

Hai detto che volevi monitorare il traffico HTTP. Non tutto il traffico di rete (ad es. DNS, SSH, ecc.). Non hai detto se si trattasse di monitoraggio passivo o attivo. Non hai specificato se i sistemi monitorati sono sotto il tuo controllo o meno. (Ad esempio, puoi fare un cambio di configurazione su di loro?). Se si desidera solo tutto il traffico HTTP / HTTPS e si ha la possibilità di configurare un po 'i dispositivi, utilizzare un proxy. Imposta Burp o WebScarab o il proxy Charles sul tuo laptop. Assicurati che sia in ascolto sul tuo normale indirizzo IP di rete (non solo localhost, che è l'impostazione predefinita). Quindi, è necessario ottenere tutti i vari dispositivi per utilizzare il laptop come proxy HTTP. Avvertenza: se il tuo laptop non è presente o se il programma proxy non è in esecuzione, i dispositivi non saranno in grado di utilizzare alcun servizio HTTP / HTTPS.

Ora, per fare in modo che i dispositivi instradino il loro HTTP tramite il proxy, hai 2 opzioni: configurale manualmente o prova a far sì che la tua rete fornisca il tuo proxy come informazione con i lease DHCP.

Per configurare manualmente un client, vai nelle sue impostazioni e cerca le impostazioni del proxy. Immettere l'indirizzo IP del laptop e il numero di porta su cui è in ascolto. (ad esempio, 192.168.1.10:8080). Tutto il traffico HTTP proveniente da quel dispositivo (se lo si fa a livello di sistema operativo) o da quel browser (se si configura solo il browser Web) verrà ora instradato attraverso il laptop.

A seconda di quanto sei a portata di mano con il tuo server DHCP, puoi usare informazioni come questa: link per far sì che i client di rete ricevano automaticamente le informazioni indicando loro di utilizzare il proxy ogni volta che si collegano alla rete.

Ciò ti darà piena capacità non solo di monitorare ma anche di manomettere i dati che passano da qualunque dispositivo utilizzi il tuo proxy. Ricorda che le connessioni TLS inizieranno a emettere avvisi (perché il tuo laptop non è veramente il sistema finale e il certificato sarà fasullo). Alcune app mobili (ad es. App bancarie) possono rifiutarsi di essere eseguite perché possono rilevare il man-in-the-middle.

Se ti interessa solo il traffico HTTP / HTTPS e puoi configurare i dispositivi, allora questo è un buon modo per farlo.

    
risposta data 31.01.2016 - 14:12
fonte
0

Devi essere sicuro al 100% che la modalità di monitoraggio sia abilitata, poiché altrimenti vedrai solo il tuo traffico:

If you're trying to capture network traffic that's not being sent to or from the machine running Wireshark or TShark, i.e. traffic between two or more other machines on an Ethernet segment, or are interested in 802.11 management or control packets, or are interested in radio-layer information about packets, you will probably have to capture in "monitor mode"

link

Controlla anche lo stato di airmon con airmon-ng e airmon-ng check per assicurarti che sia attivo e nessun processo in conflitto sia attivo. Se alcuni processi interferiscono, usa airmon-ng check kill e dovresti essere in grado di andare in modalità monitoraggio.

    
risposta data 30.01.2016 - 18:53
fonte

Leggi altre domande sui tag