Estoy tratando de usar wireshark para aprender un poco sobre las redes y la captura de paquetes. Sin embargo, por lo que entiendo, la combinación de Windows 7 + varios chips wifi no permite que la tarjeta de red funcione en "modo promiscuo". ¿Alguien ha tenido alguna experiencia haciendo que esto funcione?
8
Respuestas:
Cuidado con las dificultades de terminología aquí.
El modo promiscuo es un concepto que se originó en Ethernet por cable, donde tiene su tarjeta que le muestra todo el tráfico que su concentrador está repitiendo en su puerto, incluso si no está dirigido a usted. Muchas (pero no todas) las tarjetas Wi-Fi admiten el modo promiscuo, de una manera que se parece mucho al modo promiscuo de Ethernet; muestra solo las tramas de "datos", solo en su red actual (mismo BSSID), y las muestra después de que se han traducido en paquetes de estilo Ethernet por cable (trama Ethernet-II o 802.3). La idea es hacer que se vea como el mismo tráfico que vería en una interfaz Ethernet cableada en modo promiscuo, por el bien de los ingenieros de redes que quieren ver las cosas a ese nivel.
El modo de monitor 802.11 es un modo súper promiscuo para las tarjetas 802.11. En el modo de monitor completo, la tarjeta está sintonizada en un canal y muestra todos los paquetes que puede recibir en ese canal, sin importar qué. Si hay otras redes Wi-Fi dentro del alcance en ese canal, también muestra las tramas de esas otras redes. Muestra no solo las tramas de datos que vería en Ethernet cableada, sino también la "Gestión" específica de 802.11 (Beacon, Probe, Auth, Assoc, Action, etc.) y "Control" (Ack, RTS, CTS, PS -poll, etc.) marcos también. Y los muestra sin traducir, con sus encabezados completos de estilo 802.11.
La compatibilidad total con el modo de monitor 802.11 es más difícil de encontrar en las tarjetas Wi-Fi de consumo, y donde existe, a menudo es defectuosa.
Muchos profesionales 802.11 terminan optando por comprar una tarjeta inalámbrica USB "AirPcap" CACE Technologies (patrocinador corporativo de Wireshark) para esto, ya que están diseñados desde cero para ser excelentes tarjetas de modo de monitor 802.11 para usar con Wireshark.
Actualización:
también es importante tener en cuenta que en realidad solo hay unos pocos proveedores de conjuntos de chips de Wi-Fi, y todos los fabricantes de tarjetas usan chips de esos pocos proveedores. Los principales proveedores son Broadcom, Atheros, Marvell e Intel, y hay varios proveedores más pequeños y menos conocidos como Ralink. De ellos, Atheros ha sido durante mucho tiempo el mejor proveedor de conjuntos de chips para soporte de modo monitor y soporte de código abierto. Puede consultar la comunidad de controladores de Wi-Fi de Linux para averiguar qué tarjetas usan chips Atheros y son compatibles con el controlador "Madwifi", y luego elegir uno de esos; es más probable que tengan un controlador de Windows que admita bien el modo monitor.
fuente