Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 10-09-2010 17:01:31

karibou
Nouveau membre
Inscription : 25-03-2010
Messages : 8

Wireshark, mode monitor.

Bonjour Bonjour smile, je m'amuse à faire quelques test sur mon réseau avec pour objectif : capturer des paquets qui me sont pas destinés .
Je sais que je pourrais coupler wireshark avec ettercap (arp poising), mais j'aimerais le faire uniquement via wireshark (ou airodump si cela est possible, pour ensuite l'analyser avec wireshark ?)

Situation : Réseau wifi open, aucun filtrage.
Donc pour chopper les trames qui ne me sont pas destinées je dois me mettre en mode monitor :
Wireshark a une option "mode promiscious", est ce qu'en cochant cette case ma carte se met automatiquement en mode monitor ? ou est ce qu'il faut que je la mette avant
(un petit "mode monitor") ? car lorsque je la mets en mode monitor, puis que je laisse la case coché dans wireshark j'obtiens quasiment que des trames en BROADCAST et les autres sont innexploitable cela me semble bizarre..
Et une autre question : lorsque je suis en mode monitor, comment dire à ma carte de sniffer que un seul réseau (le OPN car sinon il va sniffer inutilement d'autres réseaux cryptés de mon voisinage..)
Voila, merci ! smile

Dernière modification par karibou (10-09-2010 18:30:56)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 26-09-2010 12:19:19

karibou
Nouveau membre
Inscription : 25-03-2010
Messages : 8

Re : Wireshark, mode monitor.

Personne ne saurait me répondre ? sad

Hors Ligne

#3 26-09-2010 12:29:09

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark, mode monitor.

Salut Karibou !

Alors, dans l'ordre :
- Oui, tu peux capturer tout le trafic avec Airodump-ng et l'utiliser avec Wireshark après, il suffit d'enregistrer les paquets (option -w dans airodump-ng) et d'analyser le fichier ***.cap wink
- Non, cocher la case "promiscuous" ne suffit pas pour mettre ta carte en mode monitor (enfin, ca dépend des drivers, mais généralement non). Crée une interface en monitor (airmon-ng start wlan0) et utilise-la dans Wireshark.

- si tu ne veux pas les broadcasts, tu peux activer le filtre "no broadcast and no multicast", dans la fenêtre de sélection de l'interface (au milieu, "capture filters"). Fais gaffe que dans ce cas-là, tu n'auras pas le trafic ARP non plus, par exemple. Mais si tu evux juste voir le "contenu utile", tu peux te passer des broadcast smile

- il faut voir ce que tu appelles "inexploitable", c'est vrai que du HTTP brut c'est pas très lisible mais c'est tout à fait exploitable tongue Tu peux utiliser Xplico (ou Wifizoo) pour avoir une vision plus "humaine" du trafic. Attention, quand tu sniffes tu as intérêt à te verrouiller sur le canal de ton réseau, sinon Airodump va balayer tous les channels et tu vas perdre des données !

- tu peux utiliser des filtres dans Airodump-ng pour spécifier tes cibles :

--bssid  00:11:22:33:44:55:66    //Capturer seulement le trafic du réseau 11.22.33.44.55.66
--encrypt OPN  //Capturer seulement le trafic des réseaux Open

Si tu sniffes avec Wireshark directement, il y a des filtres d'affichage pour masquer les autres réseaux que le tien, mais leur trafic est capturé quand même wink

Hors Ligne

#4 26-09-2010 15:57:38

Grand Hibou
Membre d'honneur
Inscription : 08-06-2008
Messages : 1 280

Re : Wireshark, mode monitor.

Dans wireshark on peut aussi utiliser les filtres de capture à la place des filtres d'affchage, pour ne capturer que ce qui nous intéresse donc. Attention, les filtres de captre n'ont pas la même syntaxe que ceux d'affichage, c'est la même que pour tcpdump par contre. Et on les configure av ant le début de la capture bien sur.

Par exmple comme filtres de capture :


tcp port 80

uniquement les paquets tcp sur port le port 80


udp port 53

uniquement paquets udp sur port 53 (dns)


udp port 53 and dst host 192.168.1.150


paquets en udp sur port 53 avec comme ip de destination 192.168.1.150

tcp dst port 80 and dst host 192.168.1.150 and src net 192.168.1.1 mask 255.255.255.0

paquets tcp à destination  de l'ip 192.168.1.150 avec comme ip source toutes les ip du réseau 192.168.1.1/24



tiens, va voir chez wireshark himself pour pleins d'exemples

http://wiki.wireshark.org/CaptureFilters


Un virus est un programme nocif.
Il est petit, rapide, prend peu de place en mémoire et sait se faire discret.

Windows n'est donc pas un virus, c'est un bug!

Hors Ligne

#5 04-12-2010 01:05:32

Jack Sparrow
Membre Indéboulonnable
Inscription : 04-12-2010
Messages : 101

Re : Wireshark, mode monitor.

Bonsoir à tous!

En effet il est assez facile de créer une interface permettant le mode monitoring sous linux avec la manip d' antares145  (airmon-ng start wlan0)


Existe t-il un moyen de créer une telle interface sous windows?
Avec la suite aircrack-ng je n'arrive pas à utiliser airmon-ng de façon indépendante et je n'arrive donc pas à créer cette interface autorisant le mode monitoring... :-/   
Quelqu'un connait-il une solution ?


Merci d'avance à ceux qui pourront m'aider et bonne nuit  :-)

Hors Ligne

#6 04-12-2010 17:15:38

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark, mode monitor.

Salut (Capitaine ?) Jack Sparrow, bienvenue sur le forum smile

Le mode monitor n'existe pas nativement sous Windows. Donc pour pouvoir l'utiliser, il faut avoir la chance d'avoir une carte compatible (c'est assez rare) et les bons pilotes qui vont avec. les drivers omnipeek/wildpacket ont la réputation de fonctionner correctement, de même que les cartes basées sur chipset Atheros (je pense que kcdtv s'y connaît un peu là-dedans), mais c'est clairement moins facile que sous Linux smile

Hors Ligne

#7 04-12-2010 20:14:31

Jack Sparrow
Membre Indéboulonnable
Inscription : 04-12-2010
Messages : 101

Re : Wireshark, mode monitor.

Merci Antares! smile

Il se trouve que (par le plus grand des hasards biensûr.. ^^' lol) j'ai une carte qui accepte le mode monitoring.. Sous linux j'arrive à capturer tous les paquets qui transittent par ma box. Donc je suppose que si ma carte en est capable sous linux elle l'est aussi sous windows?

Il s'agit d'une TP-link, de marque Linksys, à chipset ralink, si ça peut aider au raisonnement..? je vais essayer de contacter kcdtv.

Dernière modification par Jack Sparrow (04-12-2010 20:25:13)

Hors Ligne

#8 04-12-2010 20:47:43

juliette
Membre V.I.P.
Inscription : 02-05-2010
Messages : 205

Re : Wireshark, mode monitor.

Le mode monitoring correspond t'il au mode "Access Point" ?

Dernière modification par juliette (04-12-2010 20:48:18)


[c]Il faut 1024 mètres pour faire 1 kilomètre[/c]

Hors Ligne

#9 04-12-2010 20:50:57

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark, mode monitor.

Jack Sparrow a écrit :

Donc je suppose que si ma carte en est capable sous linux elle l'est aussi sous windows?

Grave erreur ! tongue

En fait, la nouvelle stack WiFi du noyau Linux (ce qui gère les interfaces et tout ca) intègre nativement la notion de "mode monitor". Donc une bonne partie des cartes qui sont reconnues par Linux supporte nativement ce mode.
par contre, sous Windows, cette fonction n'existe pas dans la pile WiFi. Donc pour pouvoir l'utiliser, il faut s'appuyer entièrement sur le pilote, et très peux de pilotes prennent ce mode en charge wink

Le support sous Linux n'implique donc rien pour le support sous Windows, il faut continuer à chercher un pilote qui supporte le monitor, et avoir la chance d'avoir une carte compatible. Perso, je n'ai pas encore trouvé la combinaison gagnante hmm

@Juliette : non, rien à voir. le mode monitor permet de "contourner" le filtre qui rejette les paquets qui ne sont pas pour nous, le mode AP sert à permettre la connexion d'autres clients sur la carte, qui sert alors de "routeur" (pour faire simple)

Hors Ligne

#10 05-12-2010 01:40:13

juliette
Membre V.I.P.
Inscription : 02-05-2010
Messages : 205

Re : Wireshark, mode monitor.

Le mode Ap pourrait avoir besoin du mode monitoring pour accepter les connexion

le mode Ap serait donc un mode monitoring déguisé


[c]Il faut 1024 mètres pour faire 1 kilomètre[/c]

Hors Ligne

#11 05-12-2010 11:36:36

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark, mode monitor.

juliette a écrit :

Le mode Ap pourrait avoir besoin du mode monitoring pour accepter les connexion

le mode Ap serait donc un mode monitoring déguisé

Non, pas vraiment hmm Enfin, je comprends ce que tu veux dire, mais dans le protocole WiFi, le mode monitor et le mode AP sont vraiment définis différemment. Basiquement, il existe 4 "modes" pour un équipement WiFi :
- managed (station normale)
- AP
- monitor
- ad-hoc (peu utilisé, sauf dans les réseaux maillés)
Il en existe d'autres (notamment avec le WDS), mais ce sont des cas particuliers de ces 4 là smile

Hors Ligne

#12 05-12-2010 17:01:43

Jack Sparrow
Membre Indéboulonnable
Inscription : 04-12-2010
Messages : 101

Re : Wireshark, mode monitor.

ok je vois..

Il y a pas mal de renseignement sur les chipsets/drivers à cette adresse : http://www.aircrack-ng.org/doku.php?id= … ty_drivers


Aparemment ce sont les chipset atheros qui seraient le plus adapté à windows.. Les drivers proposés pour ces chipset atheros sont ceux qui offrent le plus de possibilités apparemment. Mais c'est vrai que trouver un pilote adapté à la carte (avec le bon chipset) et que les deux permettent le mode monitoring ça parait compliqué :-/

Hors Ligne

#13 23-04-2014 10:43:40

matapata
N00b
Inscription : 23-04-2014
Messages : 2

Re : Wireshark, mode monitor.

Salut tout le monde! dans le même ordre d'idée je cherche à surveiller l'activité de mon réseau privé. Pour celàa je voudrais d'abord mettre ma carte réseau en mode monitor puis utiliser wireshark. Pour passer la carte dans le bon mode je lance donc les commandes suivantes:
   sudo ifconfig wlan0 down
   sudo iwconfig wlan0 mode monitor
   sudo ifconfig wlan0 up

en tapant la commande iwconfig j'obtient bien la confirmation que ma carte est dans le bon mode:
   eth0      no wireless extensions.

   lo        no wireless extensions.

   wlan0     IEEE 802.11bgn  Mode:Monitor  Frequency:2.472 GHz  Tx-Power=16 dBm   
             Retry  long limit:7   RTS thr:off   Fragment thr:off
             Power Management:off


le problèmé étant que cette configuration s'arre environ 20 secondes plus tard, l'interface semble redémarrer car ensuite en rettapant 'iwconfig', celle-ci est revenue en mode managed

wlan0     IEEE 802.11bgn  ESSID:"Mon Reseau Invite" 
          Mode:Managed  Frequency:2.412 GHz  Access Point: C2:D9:62:46:0F:54   
          Bit Rate=1 Mb/s   Tx-Power=16 dBm   
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off
          Link Quality=27/70  Signal level=-83 dBm 
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:4  Invalid misc:15   Missed beacon:0




sauriez vous pourquoi et surtout comment remedier à cela? Il y a de nombreuses conversations sur le net assez floues sur comment passer sa carte en mode monitor et surtout aucune qui traite mon cas....

Hors Ligne

#14 23-04-2014 13:06:48

matapata
N00b
Inscription : 23-04-2014
Messages : 2

Re : Wireshark, mode monitor.

Bon, au bout de quelques heures de tests je crois avoir enfin compris le soucis, mieux vaut tard que jamais et pour ceux que ça intéresse voici mon hypothèse:

  En fait il suffisait de désactiver sa connection internet, j'entend par là se déconnecter de sa borne wifi. En effet le fait de s'y connecter et d'y rester connecté devait surement forcer la carté réseau à se remettre en mode de fonctionnement normal, il ne restait plus ensuite qu'a lancer wireshark avec 'sudo wireshark' et le tour est joué smile

  Enfin si je dit un connerie nh'ésitez surtout pas à me reprendre big_smile

Hors Ligne

#15 23-04-2014 22:53:53

Fab955
Membre Irremplaçable
Inscription : 14-11-2013
Messages : 706

Re : Wireshark, mode monitor.

Dans ce cas pour simplifier ta tâche tu peux le faire en ligne de commande ( si tu ne le savais pas déjà) en tapant ça:

sudo service network-manager restart

Ca va redémarrer ton gestionnaire de connexion et donc te déconnecté et reconnecté.

Après avoir redémarrer il faut bien sur remettre sa carte en mode monitor pour faire de l'audition.

Et comme tu le précise wireshark pour fonctionner doit être lancer en ligne de commande sudo wireshark sous un compte utilisateur. Sous un compte root, icône ou ligne de commande les deux fonctionnes.

Après il y à surement une possibilité de donné une permission du lancement via l'icône pour le compte utilisateur.

Si ça peut servir à d'autre

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
wireshark par Rahimpamelo
2 386 16-10-2016 10:31:23 par Rahimpamelo
3 216 01-08-2016 15:53:54 par Olympe
12 761 21-06-2016 18:09:30 par xhark
0 502 03-01-2016 16:33:19 par gyzmo34
21 5423 31-12-2015 03:33:35 par lerz

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]