ฉันใช้งาน Ubuntu Linux และติดตั้ง wireshark แล้ว ฉันสามารถเห็นทราฟฟิกขาเข้าและขาออกได้ดี ตอนนี้ฉันต้องการเห็นทราฟฟิกจากอุปกรณ์อื่นที่อยู่บน LAN ของฉัน ดังนั้นฉัน:
$ ifconfig wlan0 promisc
ตอนนี้ฉันรับโทรศัพท์ที่อยู่ในเครือข่ายเดียวกัน (LAN) แล้วไปที่ stackoverflow.com ตอนนี้ฉันกลับมาที่ wireshark หยุดการจับภาพแล้วกรองทราฟฟิกด้วย http แต่ไม่มีอะไร ฉันพลาดอะไร?
คำตอบ:
สิ่งที่คุณพลาดคือโหมดที่หลากหลายนั้นจะบันทึกปริมาณการใช้ข้อมูลที่ NIC ของคุณเห็นเท่านั้น มันไม่มีพลังเวทย์ในการออกไปสู่เครือข่ายและรวบรวมแพ็คเก็ตที่กำหนดไว้สำหรับ NIC อื่น ๆ โมเดิร์นสวิทช์เครือข่ายการใช้งานที่ตรวจสอบที่อยู่ปลายทางของแพ็กเก็ตและเพียงส่งไปยังพอร์ตที่ต้องการที่จะไปมากกว่าออกอากาศทุกพอร์ต (ซึ่งเป็นสิ่งดั้งเดิม Ethernet, เป็นตัวเป็นตนโดยวิธีการขนาดกลางที่ใช้ร่วมกันเช่น 10Base2, และเลียนแบบด้วย "ฮับ" แบบคู่บิด, ทำ)
เพิ่มเติมแม้จะมีมาตรฐาน 802.11 ซีรีส์โดยใช้สื่อกลางที่ใช้ร่วมกัน (คลื่นวิทยุ) โหมด promiscuous (เรียกอีกอย่างว่า "โหมดจอภาพ" ในโลกไร้สาย) อาจทำงานได้หรือไม่ขึ้นอยู่กับชิปเซ็ตและไดรเวอร์ไร้สายเนื่องจากอุปกรณ์จำนวนมากถูกนำมาใช้ วิธีที่พวกเขาไม่อนุญาตให้มีการควบคุมที่เพียงพอที่จะทำให้ฮาร์ดแวร์จริงผ่านแพ็คเก็ตที่ไม่ได้มีไว้สำหรับสถานีจนถึงระบบปฏิบัติการ สิ่งนี้ยังขึ้นอยู่กับโหมดความปลอดภัยของเครือข่าย WPA ใช้คีย์เซสชันต่ออุปกรณ์ดังนั้นคุณจึงไม่สามารถเห็นทราฟฟิกไปยังสถานีอื่น ๆ ได้เพราะถูกเข้ารหัสโดยกุญแจที่คุณไม่รู้จัก
ฉันอนุมานจาก "wlan0" ว่าเป็นเครือข่าย Wi-Fi นั่นหมายความว่าคุณต้องจับภาพในโหมดมอนิเตอร์ หากเป็นเครือข่าย "ที่ได้รับการป้องกัน" โดยใช้ WEP หรือ WPA / WPA2 เพื่อเข้ารหัสการรับส่งข้อมูลคุณจะต้องระบุรหัสผ่านสำหรับเครือข่ายไปยัง Wireshark และสำหรับเครือข่าย WPA / WPA2 (ซึ่งอาจเป็นสิ่งที่เครือข่ายที่มีการป้องกันมากที่สุด ) คุณจะต้องจับภาพ "EAPOL handshake" เริ่มต้นของโทรศัพท์เมื่อเข้าร่วมเครือข่ายดังนั้นคุณจึงต้องการให้โทรศัพท์ของคุณเข้าสู่โหมดสลีป (การปิดเครื่องควรทำให้โทรศัพท์เข้าสู่โหมดสลี) เริ่มจับภาพแล้วปลุก ขึ้น (เปิดใช้) และเข้าถึง Stack Overflow
ดูส่วน Linux ของหน้า "วิธีจับภาพบนเครือข่าย 802.11"และหน้า"วิธีถอดรหัสการรับส่งข้อมูล 802.11"บน Wireshark Wiki