Ya se que el tema del filtrado MAC está visto y requetevisto; pero es algo que se me resiste.
Me he leido el post con el tema DHCP deshabilitado (la segunda edición; la del post de febrero); pero me sucede lo siguiente:
Tengo una red abierta en la que el AP no me deja conectar (filtrado MAC o filtrado por IP).
Hago las capturas de ese AP y preparo el Wireshark con las dos nuevas columnas (tal como dice el manual)
Cuando he capturado tráfico (las #datas suben a bastante velocidad; o sea hay bastante tráfico) las abro con el Wireshark y analizo los resultados
El manual dice que en la columna de protocol debo buscar los paquetes HTTP y TCP.
Me sucede los siguiente:
Me harto de capturar tráfico, pero no aparecen paquetes del tipo HTTP y TCP (me aparecen de todo tipo, menos HTTP y TCP).
Por el contrario, si capturo tráfico de mi propia red (con DHCP habilitado, sin filtrado), y lo analizo con el wireshark; si que me aparecen los paquetes HTTP y TCP.
En todas las redes que he analizado el trafico sin clave pero con filtrado, me sucede lo mismo.
Además; y esto si que es curioso; aunque los #datas suben a toda leche (hay tráfico), el airodump no detecta ningún cliente.
haber te tengo 3 formas de obtener la puerta de enlace esto es valido con o sin web la diferencia es que los web una ves desencriptados son como cualquier otro paquete
1.- captura nuevamente trafico 2.- desencripta los paquetes capturados con la clave obtenida 3.- del archivo de captura (si usas airodump revisa el archivo txt que registra los clientes conectados) y selecciona una direccion mac de un cliente 4.- usa wireshark y ordenalos por la columna "source" 5.- revisa mas que todo los paquetes arp de ese cliente estos los encontraras en la columna "protocol" 6.- en un paquete arp veras 2 ips una del cliene y otra del ap aunque (no siempre) que dice algo asi en la columna de "info" "Who has 192.168.1.1? Tell 192.168.1.9" esto es asi "Tell 192.168.1.9" es la ip del cliente y esto "Who has 192.168.1.1?" es la ip del ap te digo (no siempre) porque aveces estos paquetes son dirigidos a otras maquinas y (no siempre) al ap pero de 10 paquetes arp unos 6 son para el ap asi que seria probar no?? una de esa ips es la puerta de enlace
pero otra forma mas facil!!!!
todo al verres
en el paso 3 3.- del archivo de captura (si usas airodump revisa el archivo txt que registra los clientes conectados) y selecciona la direccion mac del ap
sigues con los pasos que siguen y en el paso 6
6.- en un paquete arp veras 2 ips una del ap y otra del cliente que dice algo asi en la columna de "info" "Who has 192.168.1.9? Tell 192.168.1.1" esto es asi "Tell 192.168.1.1" es la ip del ap y esto "Who has 192.168.1.9?" es la ip del cliente
osea al reves
pero otra formas mas facil mucho mas!!!!
1.- fijate que mac tiene el ap 2.- el paso 2 3.- ya ahora ordena todos los paquetes por la columna "protocol" 4.- digamos que la mac de ap es 00:11:22:33:44:55 tonces en los paquetes arp busca algo que diga asi "192.168.1.1 at 00:11:22:33:44:55" y ves que en la columna "destination" de ese paquete esta la mac de un cliente ya esta facil??? es la puerta de enlace
OJO!!!! en el paso 4 cuando veas esto "192.168.1.1 at 00:11:22:33:44:55" con una mac distinta del ap pero REPITO pero con un cliente que buscas es lo mismo esto me paso ami la mac de mi ap es otra pero en los paquetes era otra mac pero solo pasa raravez y la ip siempre es la puerta de enlace sea cual se la mac asi que no te preocupes no creo que te suceda ati
haber te explico con bolitas de colores en una explicacion extremadamente simple para super newbes esto de los paquetes arp suponiendo que tenos 2 pcs A y B siendo A 192.168.1.1 (ap) siendo B 192.168.1.9 el paquete "Who has 192.168.1.1? Tell 192.168.1.9" sirnifica "quien es 192.168.1.1? pregunta 192.168.1.9" lo mismo pregunta el ap y cuando el ap responde es asi "192.168.1.1 at 00:11:22:33:44:55" "192.168.1.1 es 00:11:22:33:44:55" el ap responde con su mac y la ip que le corresponde
asi yo creo que no te haras bolas sino te les los largos textos del UXIO ese del dhcp y el otro mas corto del (mono)nic0142 (como le digo yo) pero ya tu sabras que manera elegir viejo bueno y si no sabes nada de lo que te digo aqui pss leete todo el foro
supongo que desencriptaste los paquetes que capturaste ? ya que si no lo desencriptaste solo veras chino avansado en la pantalla del wireshark. solo si lo desencriptaste podras ver los paquetes http y tcp y los demas
segundo capturaste los paquetes pasivamente o en modo promiscuo es importante capturar paquetes en modo pasivo y no en promiscuo
si quieres mas ayuda intenta subir un pequeño pedaso de lo que capturaste ,unas capturas de pantalla o mejor un pequeño archivo para analisarlo y observar que hiciste mal .
Autor
En línea
