Foro de elhacker.net

En primer lugar hola a todos ya que soy nuevo en este foro, la verdad es que os leia desde hacía tiempo pero esta es la primera vez que participo.

Bueno, me gustaría que si pudierais me echarais una mano con el wireshark ya que no estoy obteniendo los resultados que esperaba y no comprendo por que es así.

Al grano, el caso es que quiero monitorizar el tráfico que pasa por mi red WIFI. El fin es por ejemplo ver las páginas que se consultan, es decir, el tráfico http. Para esto utilizo Ubuntu y en el wireshark activo la casilla de capturar tráfico en modo promiscuo (es mi red a si que estoy autenticado) y como he comentado antes, es wifi por lo que en principio todo e tráfico debería ser visible.
Lo que obtengo es que cuando consulto una web desde la máquina en la que estoy capturando, todo va perfecto, paquete ip con get y la respuesta. Sin embargo cuando visito una web desde otra máquina distinta pero dentro de la misma red wifi no se ve nada.

Lo primero que pensé es que la tarjeta no estaba en modo promiscuo de modo que me desautentico de la red, la pongo en modo monitor (con airmon) y escucho el canal 11 (el de mi wifi) y sí que capta paquetes. ¿Modo monitor sí pero promiscuo no? eso es muy raro a si que concluyo que es compatible con modo promiscuo ya que con el modo monitor lo es.

El caso es que tocando y retocando los filtros del wireshark (de vuelta al modo promiscuo) veo que cuando visito una página web desde otro pc sí que capta tráfico pero es tráfico MAC (protocolo LLC concretamente) ¿No debería estar encapsulado dentro del paquete MAC un paquete IP? ya que MAC ocupa la segunda posición en la torre OSI e IP la tercera.

Mi pregunta es ¿Que estoy haciendo mal? ¿Donde esta mi tráfico ip perdido? ¿Como lo soluciono?

Muchas gracias por haber leido el tocho, considero importante comentaros que es lo que he probado y que no.

Un saludo.

bueno, lo primero es NO activar el modo promiscuo porque estas capturando tráfico wifi. en el caso de wifi, los paquetes van a ser capturados por tu adaptador, SI o SI, asi que el modo promiscuo no solo es innecesario sino que puede darte problemas.

lo segundo es que no tienes que hacer nada mas. es decir... ¡te has excedido!

simplemente asegurate de que el adaptador está conectado con normalidad a esa red wifi.

el otro fenómeno que comentas me parece debido a un mal uso de los filtros pero como no has pegado la expresion de filtrado, no te lo aseguro. en todo caso arregla todo lo basico y luego miras si recoges el trafico de todas las capas al capturar sin filtros.

¡Gracias por tu respuesta tan rápida!

No, sin modo promiscuo no captura más que los propios paquetes dirigidos a si mismo o que envía él. Tampoco me está capturando los paquetes MAC que comentaba antes.

La verdad es que no había probado a capturar sin modo promiscuo ya que he hecho esto antes, aunque siempre en redes cableadas y el modo promisuo es necesario para que el adaptador no descarte los paquetes que van drigidos a otras máquinas. He probado corriendo a ver si era lo que decias (no veas la cara de tonto que se me ha quedado al leerlo) pero no ha habido suerte.

Respecto a los filtros, ahora mismo los tengo vacios y como te comentaba sin promiscuo solo captura sus propios paquetes y con promiscuo lo que he descrito en el primer post.

Un saludo!

estas seguro?
creo que me dejé algo importante....
estas en windows?

Es cierto, sin el modo promiscuo sólo "vera" lo que va dirigido a él. Prueba a hacerlo sin aplicar filtros y cuando lleves un par de minutos paralo (habiendo hecho trafico en el otro pc) para ver a mano los paquetes.

No, uso ubuntu aunque en mi frustración también he probado en windows y el resultado es el mismo en dos ordenadores distintos...


Es justo lo que estoy haciendo, capture filter y display filter en blanco y capturo durante unos minutos mientras navego. Luego solo aparece tráfico MAC entre el pc y el router sin embargo desde el pc que realiza la captura sí que aparece el tráfico IP entrante y saliente de si mismo, pero no el del otro.

¿Vosotros podeis ver el tráfico IP de otros ordenadores en una red wifi sin problemas?

Haz un Mitm y seguro que recoges TODOS los paquetes..xD

PD: qué no se te olvide hacer el ip forward..

Ya, eso es mi plan B pero el man in the middle se utiliza cuando el tráfico pasa por un switch y por lo tanto no es que no los captures sino que el switch no te lo está enviando.

En este caso no veo por que es necesario ya que una red wireless se asemejaría más a un HUB, todos ven lo de todos pero descartan lo que no va para ellos.

En cualquier caso, ¿Podríais recomendarme un sniffer para probar antes de darme por vencido y utilizar el mitm?

Saludos!

La suit dsniff y ettercap es lo que yo uso ;)

No he podido probarlos ya que ahora mismo estoy de viaje pero lo haré.

En mi cabezonería acabo de probar el wireshark con la wifi del hotel que es open y no hay ningún problema. Veo todo el tráfico IP sin ningún problema.

La de mi casa que es en la que tengo el problema es WPA2-PSK con AES.

¿Puede ser que la seguridad WPA2 se comporte como un switch? Es decir, que dé una especie de código a cada host para descifrar única y exclusivamente sus propios paquetes? Eso desde luego explicaría por que veo que hay paquetes pero no puedo convertirlos en IP.

¿Tiene sentido? La verdad es que no se nada de WPA2.

¿Has probado wireshark directamente solo?, si no haces envenenamiento ARP, un MITM no podras ver el trafico de los demás, solo veras el tuyo.

Todos los routers se comportan como switch, en todos tienes que hacer un MITM si es hacia otro equipo que no sea el tuyo en la misma red.

La seguridad de WPA2 solo se aplica en la autentificación. Una vez dentro, a la hora de capturar paquetes y demás, es como una red cableada. Asi que eso no es el problema, ademas para resolver tu duda, WPA/WPA2 genera una clave, que cambia cada X tiempo, pero siempre generadas a partir de la master key. Es decir, la clave que tiene el router para entrar desde el WiFi. Así que eso no tiene nada que ver con lo que intentas, si estas dentro de la red ya.

Tambien, tienes la opcion, si lo que te interesa, es ver el tráfico de tu red, pero las paginas y demás (no el tráfico cifrado), puedes escuchar paquetes en modo monitor de tu red directamente, y descifrar la captura con airdecap-ng. Pero recuerda, necesitas un handshake de la propia red en la misma captura, para que luego puedas descifrar los paquetes con esa herramienta. Si no, te pondrá 0 packets decrypted.  :-\

Un saludo¡

Yo creo que no todos los routers se comportan como un switch. En una red open, todo el tráfico es visible por todos como si de un hub se tratase y en una red con seguridad todo el tráfico es visible por todos solo que cifrado por lo tanto  un router en su interfaz radio se comporta como un HUB solo que encrpta el tráfico por razones obvias.

Independientemente de esto, he visto que en wireshark en edit / preferences/ protocols / IEEE 802.11 se puede meter la pre shared key (psk) supongo que eso es lo que tu has llamado master key. El tema es que he visto por ahí en internet que puedes descifrar wpa2 pero yo solo veo como meter una psk de wpa (wpa-psk:<psk>). ¿Conoceis la sintaxis para wpa2?

Buenas;
Al final me he rendido y he usado un MITM con el ettercap y he observado el tráfico desde el wireshark y claro como los paquetes van dirigidos a mi MAC gracias al envenenamiento de la cache arp no hay ningún problema.

En cualquier caso sigo pensando que tratándose de wifi, es posible observar el tráfico sin alterar su ruta normal y desencriptarlo con la psk conocida solo que no he encontrado como hacerlo y por falta de búsqueda no ha sido.

En fin, si alguien sabe como hacerlo que lo ponga.

Un saludo y gracias!!

Hola... acabo de leer tu problema y estoy con lo mismo. Pudiste resolverlo sin MITM?? Me dirías como?
Es el mismo esquema que tenes... una WPA2 (QUe por lo que les lei no tiene nada que ver) . Tambien probe sacando el modo promiscuo.

Gracias!