Komunikace přes Wi-Fi není v tcpdump

Komunikace přes Wi-Fi není v tcpdump
« kdy: 20. 01. 2018, 20:37:47 »
Spoustim tcpdump na routeru (asus rt-n14u), snazim se odposlechnout prichozi komunikaci na adrese 192.168.1.171. Pokud udělám GET dotaz z 192.168.1.3 (coz je pc pripojeno do routeru pres kabel) tak to v tcpdumpu vidim, kdyz ale poslu GET dotaz z 192.168.1.35, coz je PC pripojene pres wifi, tak v tcpdumpu tento pozadavek nevidim.

pouzivam toto: tcpdump -i any dst 192.168.1.171

otazka: je vyse popsane chovani OK? Mam za to, ze bych mel videt pozadavky jak z x.x.x.3 tak z x.x.x.35 bez ohledu na to, jak jsou tyto prvky pripojene do routeru
« Poslední změna: 22. 01. 2018, 08:54:47 od Petr Krčmář »


Messani

Re:tcpdump
« Odpověď #1 kdy: 20. 01. 2018, 22:46:31 »
Jsem trošku zmatenej z těch IP adres, ale mám dojem, že máš zradu v parametru "dst", Zkus parametr "host". Př. tcpdump -i any host 192.168.1.171. Tuším, že dst zaznamená pouze pakety, které mají destination IP 192.168.1.171

Re:tcpdump
« Odpověď #2 kdy: 20. 01. 2018, 23:22:57 »
No me prave zajimaji pouze pakety s destination *.171. kdyz dam host, tak uvidim i odchozi.

Jinak teda kdyz odhlidnu od jednotlivych IP adres, jde o to, ze sleduju prichozi pakety na destination IP a vidim je pouze pokud byly odeslany z kabelu, pokud jsou poslany z wifi, tak je v tcpdump nevidim

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:tcpdump
« Odpověď #3 kdy: 20. 01. 2018, 23:52:10 »
1) Vite urcite, ze tcpdump posloucha i na wifi interfacu?
2) V routerech byva nastaveni, ktere oddeli wifi klienty od ostatni site a mozna i jednoho od druheho. Treba je to zapnute a nejak se to do toho sere.

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:tcpdump
« Odpověď #4 kdy: 21. 01. 2018, 11:50:34 »
chtělo by to trochu více informací, třeba výpis iptables a interfaců.

Je možné, že na wifi je nat a tcpdump neodchytává loopback pakety (tj. lokální "překlady" paketů), nebo tam máš vlany. Scénářů je dost.

Nejlepší je zkusit zachytit vše a projít si to jak tam vypadá komunikace s tvojí wifi.



Re:tcpdump
« Odpověď #5 kdy: 21. 01. 2018, 21:15:45 »
1) Vite urcite, ze tcpdump posloucha i na wifi interfacu?
2) V routerech byva nastaveni, ktere oddeli wifi klienty od ostatni site a mozna i jednoho od druheho. Treba je to zapnute a nejak se to do toho sere.

Pouzivam
Kód: [Vybrat]
tcpdump -i any ... tak predpokladam, ze posloucha i na wifi interfacu. Ad (2) ja tu destination IP ale normalne vidim (pres browser, pres ping, apod). Proste jen nedokazu odposlechnout pakety ktere na ni jdou, pokud jdou z wifi. Coz teda vede na ten vas bod jedna, ze asi neposloucham na wifi interfacu. Resp. muze byt incoming a outgoing wifi interface jiny? Outgoing komunikaci totiz v tcpdump vidim (pro dane zarizeni), jen tu prichozi ne.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:tcpdump
« Odpověď #6 kdy: 22. 01. 2018, 01:29:12 »
Jeste me napada par veci.

V jakem modu je ta wifina? Prepl jste ji do neceho, kde muze poslouchat. Musite ji hodit do monitoring mode (otazka je, jestli to ovladac na tom routeru umi).

Kdyz jsem si kdysi hral s Wiresharkem a wifi, tak jsem zjistil, ze kdyz se prepne wifina do promiscuous mode, tak nic nechytim, zatimco u dratoveho spojeni to tak funguje. Musi se rucne na wifine nastavit kanal a mode a pak pustit Wireshark a na chceckbox promiscuous nesahat.

Ted si nejak nepamatuju, jestli pres wifi v monitoring mode muze jet i normalni provoz. BTW, aby se vam ji ten normalni provoz nepokousel prepnout do jineho rezimu. Treba ovladac muze protestovat, ze s monitoring mode nemuze delat AP.

Takze asi by bylo nejlepsi, kdybyste si poridil USB wifinu s chipsetem, o kterem je znamo, ze linuxovy ovladac umi monitoring mode, vrazil to do notebooku a snifoval vzduch uplne mimo router. Vysledek by mel byt stejny, akorat tedy to bude bez trafficu pres drat.

Problerm je zjistit, ktery chipset je v ktere wifine a co umi prislusny ovladac. Ony ty wifiny vypadaji kolikrat stejne, muze byt i stejne typove oznaceni a mate v tom nekolik verzi s uplne jinymi chipsety. Napriklad soudruzi z Broadcomu jsou v tomhle borci, ale teto znacce se normalni clovek obloukem vyhne.

Re:Komunikace přes Wi-Fi není v tcpdump
« Odpověď #7 kdy: 22. 01. 2018, 10:21:44 »
Moze byt problem s opravneniami podobne ako je to s Wiresharkom, ktory bez spravne nastavenych opravneni nevie fungovat s wifi adapterom a to ani v non monitor mode.

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Komunikace přes Wi-Fi není v tcpdump
« Odpověď #8 kdy: 22. 01. 2018, 16:55:48 »
monitor mode není potřeba, to je jen kvůli případů chytání paketů, které nejsou určeny pro mě (či nejsou přiřazeny k access pointu).

Pokud uživatel s wiresharkem nemá oprávnění k záchytu, nezachytne nic a myslím, že ani nehlásí chybu, to může být tenhle důvod, zkusil bych to spustit pod rootem.

Re:Komunikace přes Wi-Fi není v tcpdump
« Odpověď #9 kdy: 24. 01. 2018, 21:28:43 »
Diky za rady. Tak douho jsem si hral s nastavenim routeru, az prestal tcpdump fungovat a nejde ani preinstalovat. Ted jsem rad, ze router jede a uz radeji nebudu resit co a jak, preci jenom rodina by me nemela rada, kdybych je odstrihl od netu.
Pujdu tou cestou usb wifi s monitoring mode pod linuxem.
Jeste jednou diky za rady.