Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 15-10-2011 22:39:51

Polo38
Membre Radioactif
Inscription : 15-10-2011
Messages : 76

Wireshark

Bonsoir à tous,

Après avoir acheté un nouveau PC, je viens d'installer Ubuntu 11.10 et en complément la suite Aircrack-ng.

Après avoir fait un iwconfig, j'obtiens :

lo        no wireless extensions.

eth0      no wireless extensions.

wlan0     IEEE 802.11bgn  ESSID:off/any  
          Mode:Managed  Access Point: Not-Associated   Tx-Power=20 dBm   
          Retry  long limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

Et avec un petit airmon-ng sur wlan0, j'ai donc:

Interface	Chipset		Driver
e la box
wlan0		Unknown 	rt2800pci - [phy0]
				(monitor mode enabled on mon0)

Si j'ai bien compris, ma carte est donc compatible avec le mode monitor et je vais donc pouvoir procéder à l'injection de paquets. C'est bien cela ?

Dans le cadre d'un projet, je voudrais réussir à récupérer l'info (les sites Web consultés) circulant sur mon propre réseau à l'aide Wireshark.

Et c'est là que je commence à avoir des soucis. En effet après lancement de Wireshark et en lançant la capture de paquets sur l'interface mon0, je n'arrive à récupérer les paquets ne provenant que de la liaison entre ma box et mon ordi que j'utilise. J'ai beau me connecter avec un deuxième ordi sur ma propre box et surfer sur le Net, rien ne se passe. Idem pour l'interface wlan0.

Je ne récupère rien...

J'ai pourtant bien laissé l'option "Capture packets in promiscuous mode" cochée... Et si j'ai bien compris, cette option permet de récupérer l'ensemble des paquets partant de la box. Ai-je bien compris ?

Merci d'avance pour vos réponses.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 15-10-2011 22:53:06

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark

Salut !

Première chose à vérifier, est-ce que tu as mis mon0 sur le bon canal ? Certaines cartes en ont besoin d'autres pas, mais par habitude je démarre toujours airodump-ng en parallèle quand je sniffe avec Wireshark :

airodump-ng -c 3 mon0 # pour le canal 3

Sinon, tu peux aussi essayer de travailler en 2 temps : d'abord capturer le trafic avec airodump-ng, et ensuite ouvrir le fichier de capture avec Wireshark (ou urlsnarf si tu veux juste les URL visitées)

airodump-ng -c 3 -w /root/capture mon0 # pour le canal 3
# tu n'as plus qu'à ouvrir le fichier /root/capture-01.cap

Juste une petite remarque au passage :

Si j'ai bien compris, ma carte est donc compatible avec le mode monitor et je vais donc pouvoir procéder à l'injection de paquets. C'est bien cela ?

Le mode monitor et l'injection sont 2 choses différentes, dans ton cas on sait juste que ta carte est compatible monitor (elle peut écouter). Généralement, ça veut dire que l'injection est supportée aussi mais la seule façon d'en être sûr c'est de faire un test d'injection (aireplay-ng -9 mon0) wink

Hors Ligne

#3 15-10-2011 23:16:20

Polo38
Membre Radioactif
Inscription : 15-10-2011
Messages : 76

Re : Wireshark

Bonsoir !

Tout d'abord merci pour cette réponse rapide et détaillée.

Dans un premier temps, voici la réponse pour l'injection :

00:06:12  Trying broadcast probe requests...
00:06:12  Injection is working!
00:06:14  Found 1 AP 

...

Sinon après avoir lancé Airodump sur le canal de ma box et ensuite lancé Wireshark pour l'écoute, tout en surfant sur plusieurs sites sur mon second ordi, j'ai remarqué que le nombre de paquets augmentaient pas mal ! Il y a donc bien je suppose des paquets de mon ordi 2 récupérés avec Wireshark.

Par contre, il faut bien que je teste sur mon interace mon0 et non wlan0, c'est bien cela ? Car pour savoir les sites consultés, j'avais pour habitude de consulter la rubrique Statistics-HTTP-Requests et  à ce moment-là il était alors possible de voir le taux de fréquentation des sites. En lançant la capture sur l'interface mon0, je n'ai plus la possibilité de voir cette option. Autre chose, j'ai également mis un filtre sur le port 80 lors de ma capture pour ne récupérer que les paquets HTTP et TCP.

Je vais également tester urlsnarf que je connaissais pas.

Merci d'avance !

Hors Ligne

#4 15-10-2011 23:30:54

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark

Il y a donc bien je suppose des paquets de mon ordi 2 récupérés avec Wireshark.

Regarde les IP source (ou destination) et tu verras bien de quelle machine ça vient tongue

Pour les sites visités, tu peux aussi cocher "Enable network name resolution" dans les options de capture (en bas à droite), puis utiliser le menu "Statistics > Endpoints". En regardant dans la section "IPv4" tu verras quels sites sont visités (mais pas par quelle machine). Tu peux aussi utiliser directement un filtre d'affichage sur l'adresse IP (ip.src==192.168.1.42 || ip.dst==192.168.1.42).

Attention, tout ceci est valable si ton réseau est en OPN, pas en WEP ou WPA. Si c'est le cas, tu dois d'abord déchiffrer les paquets avant d'en voir le contenu (c'est plus long, pour le coup).

Hors Ligne

#5 16-10-2011 14:30:30

Polo38
Membre Radioactif
Inscription : 15-10-2011
Messages : 76

Re : Wireshark

antares145 a écrit :

Il y a donc bien je suppose des paquets de mon ordi 2 récupérés avec Wireshark.

Regarde les IP source (ou destination) et tu verras bien de quelle machine ça vient tongue

Pour les sites visités, tu peux aussi cocher "Enable network name resolution" dans les options de capture (en bas à droite), puis utiliser le menu "Statistics > Endpoints". En regardant dans la section "IPv4" tu verras quels sites sont visités (mais pas par quelle machine). Tu peux aussi utiliser directement un filtre d'affichage sur l'adresse IP (ip.src==192.168.1.42 || ip.dst==192.168.1.42).

Attention, tout ceci est valable si ton réseau est en OPN, pas en WEP ou WPA. Si c'est le cas, tu dois d'abord déchiffrer les paquets avant d'en voir le contenu (c'est plus long, pour le coup).

Ok merci bien pour toutes ces explications. En effet j'essayais sur mon réseau qui est sécurisé, c'est pour cela que je n'arrivais pas à récupérer des données de mon second ordi. Par contre, je récupère ces données sur mon interace wlan0 et non mon0 (adresse de site...). Qu'apporte cette interface dans le cas de Wireshark ? Car si j'ai bien compris en activant le mode promiscuous, c'est équivalent à lancer le mode monitor pour Airodump non ?

Et sinon quand tu dis "Si c'est le cas, tu dois d'abord déchiffrer les paquets avant d'en voir le contenu (c'est plus long, pour le coup)". As-tu déjà réussi à déchiffrer les paquets avec un cryptage WEP. Si oui, quels logiciels as-tu utilisé stp ?

Merci d'avance pour ta réponse !

Hors Ligne

#6 17-10-2011 20:34:11

Polo38
Membre Radioactif
Inscription : 15-10-2011
Messages : 76

Re : Wireshark

Un petit upupup . Merci d'avance

Hors Ligne

#7 17-10-2011 21:11:51

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Wireshark

L'option "promiscuous" de Wireshark est surtout prévue pour les réseaux de type Ethernet, où la carte peut recevoir des paquets qui ne lui sont pas destinés (dans le cas d'un réseau sur Hub par exemple). L'option "promiscuous" sert alors à dire à la carte "affiche-moi tous les paquets que tu reçois, même s'il ne sont pas pour moi".
Dans le cas d'un réseau sans-fil, le fonctionnement est différent : toutes les machines reçoivent les paquets de tout le monde (normal, la carte capte tout ce qui passe dans l'air), donc il faut un mécanisme de filtrage à un niveau plus bas pour ne pas décoder inutilement des paquets qui ne sont pas pour nous. Ceci fait que sur une interface "normale" (wlan0 par exemple), les paquets qui ne nous sont pas destinés n'arrivent pas jusqu'à la couche Ethernet, ils sont jetés avant, donc l'option "promiscuous" ne sert à rien.

Une interface de type mon0 est prévue pour laisser passer tous les paquets, même à bas niveau, pour qu'ils puissent être traités plus haut. C'est ce qui permet de tout récupérer dans Wireshark mais dans ce cas-là tu récupères les paquets bruts, au format 802.11. Si le réseau est OPN tu peux accéder directement au contenu (couche TCP/IP), mais si le réseau est chiffré tu dois d'abord décoder les paquets avant de'accéder au contenu (ouvrir l'enveloppe avant de lire la lettre). smile

Pour déchiffrer ces paquets, tu as 2 possibilités :
- soit tu utilises airdecap-ng sur ton fichier de capture :

airdecap-ng -w 11A3E229084349BC25D97E2939 capture.cap

Ceci te donnera un fichier capture-dec.cap avec les paquets en clair, que tu peux ouvrir dans Wireshark
--> airdecap-ng [aircrack-ng.org]
- soit tu le décodes directement dans Wireshark, en entrant la clé via les options (Edit > Preferences > Protocols > IEEE802.11).
Plus d'infos ici --> How to decrypt 802.11 -- Wireshark wiki

Hors Ligne

#8 17-10-2011 21:34:23

Polo38
Membre Radioactif
Inscription : 15-10-2011
Messages : 76

Re : Wireshark

Bonsoir !

Encore Merci antares pour ces infos bien détaillées. Je vais retravailler tout çà !

Je te tiens au courant de l'avancement !

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
wireshark par Rahimpamelo
2 424 16-10-2016 10:31:23 par Rahimpamelo
Wireshark par neoback68
21 754 26-11-2015 18:56:02 par M1ck3y
1 1053 26-11-2015 18:46:22 par M1ck3y
0 984 09-06-2014 12:46:39 par piratack007
3 1139 10-05-2014 19:07:38 par Fab955

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.038 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]