Wireshark: capture filtry pro monitor mode (radiotap)

Wireshark: capture filtry pro monitor mode (radiotap)
« kdy: 07. 01. 2020, 17:11:44 »
Chtěl bych při zachytávání paketů Wiresharkem rovnou filtrovat při capture. Myslím že celý problém je, že jde o odlišná pravidla (kompilovaná, jiná syntaxe) než běžné filtry wiresharku "Display filtry"
1. Jsou ty BPF capture filtry nějak závislé na hardwaru/Driveru?
2. Proč je na výběr tak málo pravidel a zda neexistuje nějaký převod co by umělo zpřistupnit možnosti Display filtrů
3. Je možné filtrovat pakety 802.11 radiotapheader (například wlan.fc.type>1 nebo wlan.staa=08:99:....98 nebo)

Např. capture filters nabízí jen tyto příklady, znichž mám pocit, že je podporováno jen pár polí


Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #1 kdy: 02. 05. 2020, 17:01:02 »
Nevíte, zda proběhl nějaký vývoj v této věci? (Jestli už existují capture filtry pro kartu v režimu monitor modu)

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #2 kdy: 02. 05. 2020, 22:35:45 »
Capture filter wlan src not aa:bb:cc:dd:ee:ff, alebo "wlan subtype probe-req" nefunguje?


Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #3 kdy: 03. 05. 2020, 20:06:14 »
No je to takové polovičaté. První funguje, druhé nefunguje.
Navíc to má nějaké odlišné názvy parametrů (odlišná syntaxe je očekávatelná). Nelze tam vkládat libovolné pole (napadl mě například) dokonce mám takové nemilé tušení, že to umí jen úzký obor polí.

Jak například vyberu pakety na kanálu 48, / pakety na kanálu >66, broadcast pakety s SSID hodnotou "VOIP"?


Mimojiné mi wireshark častokrát spadne při manipulaci s textem v poli pro filtr (opakovaný backspace, když nezbyde žádný znak například)

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #4 kdy: 03. 05. 2020, 20:58:44 »
Zaujímavé, mne fungujú obidva a nielen to. Môžem filtrovať akýkoľvek typ/subtyp. Wireshark mi ešte nikdy nepadol.


Pokud zadám jakýkoli filtr (zkoušel jsem wlan type 2 nebo tcp*), wireshark nezachytí žiadný paket.

*  je to validní filtr? Protože je to problém slepice a vejce: aby bylo možné dekódovat wlan traffic je nutné zachytit handshake (samozřejmě jsem se associoval po spuštění wiresharku, i přesto jsem nevěřil, že to bude fungovat). Jenže handshake není TCP, že áno.

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #6 kdy: 04. 05. 2020, 23:16:52 »
Žiadna slepica ani vejce tam neni. Chýbajú ti základy. Bez toho nieje možné sa v tom vyznať.
Najdi si na googli: "diplomovka_szarkova pdf". Je tam veľa vecí, ktoré ti pomôžu.
Je možné vyfiltrovať aj WDS spojenia týmto: wlan dir 3. Samozrejme len v monitor mode, že áno...

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #7 kdy: 05. 05. 2020, 10:06:33 »
Môžeš mi vysvětlit, jak wireshark dekoduje WPA2 traffic, ked nepozná EAPOL handshake? Nepozná ho lebo  ho nestiahne lebo EAPOL nevyhovi filtru TCP. Nechci být zlý, ale pokud pokud bys tvrdil, že  tam žádná problém není , tek neznáš základy ty. Není možné zároveň zachytit EAPOL paket, který je nutný pro rozšifrování, pokud capture filtr je TCP. Protože EAPOL není TCP (nezachytí EAPOL) a bez EAPOL nerozšifruje komunikaci a ... Nebo wireshark snad magicky udeli vyjimku pro capture filtr, aby zachytil handshake EAPOL?

Připouštím, že neznám základy capture filtrov (toto "link layer applied in wrong context" me celkem vydesilo), ale wireshark ovládám ako pokročilý.

Citace
wlan dir 3
Odkial znas tyto filtre? Kde se daju najit?

Citace
diplomovka_szarkova pdf
Těch 90 stránek jsem prošel za 4 minuty. nedozvedel jsem se nic nového (okrem prehledné tabulky DA/SA/BSS,TA). A z oblasti capture filtru wiresharku tuplem nic."Diplomka" prilis popisuje obecne veci ,  prokousal jsem se jimi, ty nehodnotim, byt jsou celkem korektni, ale s bidou bych to uznal jako balalarku. Co hur, tyka se jen WEP.
je z roku 2007, je tam zmíněn Ethereal (wireshark), slovo filtr se tam vyskytuje 5x, capture 0x, bpf 0x.
Pro mě bezcenné.
« Poslední změna: 05. 05. 2020, 10:11:47 od Pivotal »

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #8 kdy: 05. 05. 2020, 16:28:44 »
=> jak wireshark dekoduje WPA2 traffic...
Jednoducho, zadáme dekryptovací key vo Wiresharku, ale človek, ktorý si hovorí pokročilý by o tom mal vedieť. Na wiki pre Wireshark to nájdeš aj s obrázkami. Tipoval som, že by ti tá tabuľka mohla pomôcť keďže je 3 na konci. Bohužiaľ v každom dokumente je len odrobinka, tudíž treba prelúskať desiatky/stovky dokumentov, kým sa dôjde k nejakému použitelnému celku. Pre EAPOL vyskúšaj: ether proto 0x888e (v monit mode).

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #9 kdy: 05. 05. 2020, 19:29:10 »
=> jak wireshark dekoduje WPA2 traffic...
Jednoducho, zadáme dekryptovací key vo Wiresharku, ale človek, ktorý si hovorí pokročilý by o tom mal vedieť.
Jistěže. To je samozřejmé, že jsem to nezminoval. Bez toho to nejde. To je nutná podmínka, ale já jsem upozorňoval na další podmínku, že dekryptovat u WPA2 lze pouze traffic, ke kterému Wireshark rovnako zachytil EAPOL pakety. Chápeme? A já se ptám, ako zadám capture filter TCP, ked k tomu najprv potrebuje zachytit EAPOL (EAPOL!=TCP) .

Napadá mě jediné řešení capture filtru: tcp  && eapol. Ale funguje to?

Nepotřebuji radit, decryptovaný WPA2 traffic dávno umím si otevřít.

Re:Wireshark: capture filtry pro monitor mode (radiotap)
« Odpověď #10 kdy: 06. 05. 2020, 00:43:50 »
No nechápem. Myslím, že to moc kombinuješ. Ak tam zadáš tcp filter, tak budeš mať toľko capturovaných dát ako keby si ten filter ani nepoužil. Nechápem načo tam pchať filter, keď to ide decryptovať aj bez filtra.

Re:Wireshark: capture filtry pro monitor mode - možné změnit za běhu?
« Odpověď #11 kdy: 07. 05. 2020, 15:01:26 »
Mimochodem, je možné za běhu modifikovat capture filtry?