Buenas;
Al final me he rendido y he usado un MITM con el ettercap y he observado el tráfico desde el wireshark y claro como los paquetes van dirigidos a mi MAC gracias al envenenamiento de la cache arp no hay ningún problema.

En cualquier caso sigo pensando que tratándose de wifi, es posible observar el tráfico sin alterar su ruta normal y desencriptarlo con la psk conocida solo que no he encontrado como hacerlo y por falta de búsqueda no ha sido.

En fin, si alguien sabe como hacerlo que lo ponga.

Un saludo y gracias!!

Yo creo que no todos los routers se comportan como un switch. En una red open, todo el tráfico es visible por todos como si de un hub se tratase y en una red con seguridad todo el tráfico es visible por todos solo que cifrado por lo tanto  un router en su interfaz radio se comporta como un HUB solo que encrpta el tráfico por razones obvias.

Independientemente de esto, he visto que en wireshark en edit / preferences/ protocols / IEEE 802.11 se puede meter la pre shared key (psk) supongo que eso es lo que tu has llamado master key. El tema es que he visto por ahí en internet que puedes descifrar wpa2 pero yo solo veo como meter una psk de wpa (wpa-psk:<psk>). ¿Conoceis la sintaxis para wpa2?

No he podido probarlos ya que ahora mismo estoy de viaje pero lo haré.

En mi cabezonería acabo de probar el wireshark con la wifi del hotel que es open y no hay ningún problema. Veo todo el tráfico IP sin ningún problema.

La de mi casa que es en la que tengo el problema es WPA2-PSK con AES.

¿Puede ser que la seguridad WPA2 se comporte como un switch? Es decir, que dé una especie de código a cada host para descifrar única y exclusivamente sus propios paquetes? Eso desde luego explicaría por que veo que hay paquetes pero no puedo convertirlos en IP.

¿Tiene sentido? La verdad es que no se nada de WPA2.

Yo tengo un caso parecido, depende de la intensidad de señal que recibas básicamente tienes 2 opciones:

a) Señal mala: Este es mi caso, lo que hice fue pedirle a un colega que se acababa de cambiar de operador su router AR 5387un de jazztel, lo puse en un lugar de la casa en el que la señal era aceptable y lo configuré como wireless bridge. Básicamente repite la señal por toda mi casa.

b) Señal que te cagas de mala: En ese caso yo me compraría un adaptador wifi para usb al que se le pudiera desenroscar la antena y me compraría una antena altamente direccional (una parabólica por ejemplo) que tienen ganancias muy buenas. Lo malo es que el ancho del haz es de 1 ó 2 grados por lo que la tendrás que apuntar muy bien para que te de buen resultado. Además para que este tipo de antenas de buenos resultados hace falta tener línea de vista entre los dos nodos. Esta opción es desde luego algo complicada para mi gusto.

Ya, eso es mi plan B pero el man in the middle se utiliza cuando el tráfico pasa por un switch y por lo tanto no es que no los captures sino que el switch no te lo está enviando.

En este caso no veo por que es necesario ya que una red wireless se asemejaría más a un HUB, todos ven lo de todos pero descartan lo que no va para ellos.

En cualquier caso, ¿Podríais recomendarme un sniffer para probar antes de darme por vencido y utilizar el mitm?

Saludos!

No, uso ubuntu aunque en mi frustración también he probado en windows y el resultado es el mismo en dos ordenadores distintos...


Es justo lo que estoy haciendo, capture filter y display filter en blanco y capturo durante unos minutos mientras navego. Luego solo aparece tráfico MAC entre el pc y el router sin embargo desde el pc que realiza la captura sí que aparece el tráfico IP entrante y saliente de si mismo, pero no el del otro.

¿Vosotros podeis ver el tráfico IP de otros ordenadores en una red wifi sin problemas?

¡Gracias por tu respuesta tan rápida!

No, sin modo promiscuo no captura más que los propios paquetes dirigidos a si mismo o que envía él. Tampoco me está capturando los paquetes MAC que comentaba antes.

La verdad es que no había probado a capturar sin modo promiscuo ya que he hecho esto antes, aunque siempre en redes cableadas y el modo promisuo es necesario para que el adaptador no descarte los paquetes que van drigidos a otras máquinas. He probado corriendo a ver si era lo que decias (no veas la cara de tonto que se me ha quedado al leerlo) pero no ha habido suerte.

Respecto a los filtros, ahora mismo los tengo vacios y como te comentaba sin promiscuo solo captura sus propios paquetes y con promiscuo lo que he descrito en el primer post.

Un saludo!

En primer lugar hola a todos ya que soy nuevo en este foro, la verdad es que os leia desde hacía tiempo pero esta es la primera vez que participo.

Bueno, me gustaría que si pudierais me echarais una mano con el wireshark ya que no estoy obteniendo los resultados que esperaba y no comprendo por que es así.

Al grano, el caso es que quiero monitorizar el tráfico que pasa por mi red WIFI. El fin es por ejemplo ver las páginas que se consultan, es decir, el tráfico http. Para esto utilizo Ubuntu y en el wireshark activo la casilla de capturar tráfico en modo promiscuo (es mi red a si que estoy autenticado) y como he comentado antes, es wifi por lo que en principio todo e tráfico debería ser visible.
Lo que obtengo es que cuando consulto una web desde la máquina en la que estoy capturando, todo va perfecto, paquete ip con get y la respuesta. Sin embargo cuando visito una web desde otra máquina distinta pero dentro de la misma red wifi no se ve nada.

Lo primero que pensé es que la tarjeta no estaba en modo promiscuo de modo que me desautentico de la red, la pongo en modo monitor (con airmon) y escucho el canal 11 (el de mi wifi) y sí que capta paquetes. ¿Modo monitor sí pero promiscuo no? eso es muy raro a si que concluyo que es compatible con modo promiscuo ya que con el modo monitor lo es.

El caso es que tocando y retocando los filtros del wireshark (de vuelta al modo promiscuo) veo que cuando visito una página web desde otro pc sí que capta tráfico pero es tráfico MAC (protocolo LLC concretamente) ¿No debería estar encapsulado dentro del paquete MAC un paquete IP? ya que MAC ocupa la segunda posición en la torre OSI e IP la tercera.

Mi pregunta es ¿Que estoy haciendo mal? ¿Donde esta mi tráfico ip perdido? ¿Como lo soluciono?

Muchas gracias por haber leido el tocho, considero importante comentaros que es lo que he probado y que no.

Un saludo.