Tarjeta inalámbrica que admite el modo promiscuo en Windows 7

8

Estoy tratando de usar wireshark para aprender un poco sobre las redes y la captura de paquetes. Sin embargo, por lo que entiendo, la combinación de Windows 7 + varios chips wifi no permite que la tarjeta de red funcione en "modo promiscuo". ¿Alguien ha tenido alguna experiencia haciendo que esto funcione?

JPC
fuente
Hay otros softwares para rastrear su tarjeta inalámbrica (desafortunadamente no conozco ninguno en particular).
Diogo
1
Si su tarjeta no admite el modo operativo que necesita, cambiar su sniffer no ayudará en absoluto.
Spiff
sí, puedo entender eso
JPC

Respuestas:

7

Cuidado con las dificultades de terminología aquí.

El modo promiscuo es un concepto que se originó en Ethernet por cable, donde tiene su tarjeta que le muestra todo el tráfico que su concentrador está repitiendo en su puerto, incluso si no está dirigido a usted. Muchas (pero no todas) las tarjetas Wi-Fi admiten el modo promiscuo, de una manera que se parece mucho al modo promiscuo de Ethernet; muestra solo las tramas de "datos", solo en su red actual (mismo BSSID), y las muestra después de que se han traducido en paquetes de estilo Ethernet por cable (trama Ethernet-II o 802.3). La idea es hacer que se vea como el mismo tráfico que vería en una interfaz Ethernet cableada en modo promiscuo, por el bien de los ingenieros de redes que quieren ver las cosas a ese nivel.

El modo de monitor 802.11 es un modo súper promiscuo para las tarjetas 802.11. En el modo de monitor completo, la tarjeta está sintonizada en un canal y muestra todos los paquetes que puede recibir en ese canal, sin importar qué. Si hay otras redes Wi-Fi dentro del alcance en ese canal, también muestra las tramas de esas otras redes. Muestra no solo las tramas de datos que vería en Ethernet cableada, sino también la "Gestión" específica de 802.11 (Beacon, Probe, Auth, Assoc, Action, etc.) y "Control" (Ack, RTS, CTS, PS -poll, etc.) marcos también. Y los muestra sin traducir, con sus encabezados completos de estilo 802.11.

La compatibilidad total con el modo de monitor 802.11 es más difícil de encontrar en las tarjetas Wi-Fi de consumo, y donde existe, a menudo es defectuosa.

Muchos profesionales 802.11 terminan optando por comprar una tarjeta inalámbrica USB "AirPcap" CACE Technologies (patrocinador corporativo de Wireshark) para esto, ya que están diseñados desde cero para ser excelentes tarjetas de modo de monitor 802.11 para usar con Wireshark.

Actualización:
también es importante tener en cuenta que en realidad solo hay unos pocos proveedores de conjuntos de chips de Wi-Fi, y todos los fabricantes de tarjetas usan chips de esos pocos proveedores. Los principales proveedores son Broadcom, Atheros, Marvell e Intel, y hay varios proveedores más pequeños y menos conocidos como Ralink. De ellos, Atheros ha sido durante mucho tiempo el mejor proveedor de conjuntos de chips para soporte de modo monitor y soporte de código abierto. Puede consultar la comunidad de controladores de Wi-Fi de Linux para averiguar qué tarjetas usan chips Atheros y son compatibles con el controlador "Madwifi", y luego elegir uno de esos; es más probable que tengan un controlador de Windows que admita bien el modo monitor.

Spiff
fuente
hmm, bueno, uso wireshark y supongo que wireshark utiliza el modo promiscuo para significar "modo monitor". De cualquier manera, monitor o promiscua, no puedo entender cómo habilitar cualquiera de los modos en mi tarjeta en Windows 7. ¿Hay alguna tarjeta conocida que lo admita? Aparte de los cables de Tiburón
JPC
@JPC He agregado una actualización. Aunque no puedo señalarle una tarjeta en particular, le recomiendo que elija tarjetas basadas en Atheros. De los mayores proveedores de conjuntos de chips de Wi-Fi, Atheros siempre ha sido el proveedor elegido por las personas que fabrican equipos de prueba de Wi-Fi y similares, por lo que apuesto a que es más probable que encuentre un buen soporte de modo de monitor en un Atheros- tarjeta basada que en cualquier otra cosa.
Spiff
3
No, Wireshark no utiliza el modo promiscuo para referirse al modo monitor. Utiliza el modo promiscuo para referirse al modo promiscuo y el modo monitor para referirse al modo monitor. También usa WinPcap para capturar el tráfico de red; WinPcap no admite el modo monitor (a diferencia de libpcap en algunos UN * Xes, que admite el modo monitor en las versiones más recientes), y, aunque WinPcap admite el modo promiscuo, no lo hace si el controlador no lo admite, y pocos si algún controlador adaptador 802.11 lo admite (¡creo que las especificaciones de Microsoft para los controladores 802.11 dicen que no deberían admitir el modo promiscuo!).
@JPC escucha a Guy Harris. Él sabe una o dos cosas sobre Wireshark.
Spiff