ubuntuusers.de

Promiscuous modus funktioniert nicht, ist aber scheinbar aktiv

Status: Ungelöst | Ubuntu-Version: Lubuntu 15.10 (Wily Werewolf)
Antworten |

Alfex

Anmeldungsdatum:
9. Oktober 2015

Beiträge: 16

Ich möchte bzw muss unter anderem die DHCP Adressvergabe im Netzwerk mit Wireshark überwachen/dokumentieren. Erstmal nicht so schwer aber:

Ich habs jetzt auf 3 verschiedenen Laptops probiert, mit Lubuntu 15.10 x86.

  • ein Thinkpad X220 mit Intel Advanced-N 6205

  • ein MSI Windbook mit Ralink RT2790

  • ein HP Compaq mit Intel PRO/Wireless 4965

Bei allen 3en lässt sich mit "ifconfig ... promisc" der Modus aktivieren. Mit netstat -a bei den angezeigten Flags steht das "P" auch dabei. Den Monitormode konnte ich auch schon aktivieren und mit Wireshark damit in kürzester Zeit zigtausende Pakete empfangen, aber ich möchte ja nur welche in meinem Netzwerk haben. Ich krieg aber nur die Broadcasts und die Pakete die sowieso an mich adressiert sind...

Wireshark läuft als normaler user, habs aber auch als root probiert, ändert nichts. ☹

Das ganze natürlich im WLAN! Mir ist bewusst das Switche die Pakete garnicht erst an andere Teilnehmer weiterleiten wenn sie nicht empfänger sind. Im WLAN empfängt aber jeder jeden (wenn sie im gegenseiten Empfangsbreich sind) Ich denke aber auch mit einem HUB hätte ich kein Glück, da muss doch der Fehler woanders sitzen als an unfähiger Hardware? Kann ja nicht sein dass alle 3 NICs nicht wollen...

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Alfex schrieb:

Im WLAN empfängt aber jeder jeden (wenn sie im gegenseiten Empfangsbreich sind)

Grundsätzlich ja, aber siehe hier.

Ich denke aber auch mit einem HUB hätte ich kein Glück

Warum? Mit einem Hub, an den alle Geräte physisch angeschlossen sind, solltest du problemlos alle Pakete mitschneiden können.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Alfex schrieb:

Ich möchte bzw muss unter anderem die DHCP Adressvergabe im Netzwerk mit Wireshark überwachen/dokumentieren.

Was nutzt du denn für einen Access Point? Viele bieten auch die Möglichkeit direkt von da aus Pakete mitzuschneiden. Meines Wissens sogar Geräte aus dem Consumer-Bereich (beispielsweise Fritzboxen)

Alfex

(Themenstarter)

Anmeldungsdatum:
9. Oktober 2015

Beiträge: 16

misterunknown schrieb:

Alfex schrieb:

Im WLAN empfängt aber jeder jeden (wenn sie im gegenseiten Empfangsbreich sind)

Grundsätzlich ja, aber siehe hier.

Ich denke aber auch mit einem HUB hätte ich kein Glück

Warum? Mit einem Hub, an den alle Geräte physisch angeschlossen sind, solltest du problemlos alle Pakete mitschneiden können.

Diese Info:

on a "protected" network, packets from or to other hosts will not be able to be decrypted by the adapter, and will not be captured, so that promiscuous mode works the same as non-promiscuous mode.

War mir nicht bekannt... Ich wusste nur dass es beim Monitormodus durch die Verschlüsselung nicht geht aber ich dachte beim Promisc Mode ist meine NIC ja im Managed Mode und mit dem Netz verbunden. War ein Fehlschluss! Daher dachte ich die ursache liegt woanders und deswegen die Annahme dass ein Hub nichts bringt!

Vielen Dank für die info!

Alfex

(Themenstarter)

Anmeldungsdatum:
9. Oktober 2015

Beiträge: 16

misterunknown schrieb:

Alfex schrieb:

Ich möchte bzw muss unter anderem die DHCP Adressvergabe im Netzwerk mit Wireshark überwachen/dokumentieren.

Was nutzt du denn für einen Access Point? Viele bieten auch die Möglichkeit direkt von da aus Pakete mitzuschneiden. Meines Wissens sogar Geräte aus dem Consumer-Bereich (beispielsweise Fritzboxen)

Habe eine FritzBox SL WLAN und eine 7270. Das sowas geht ist mir nicht bekannt, habe auf der Sl WLAN auch freetz aber müsste guclen ob das klappt...

Notfalls werd ich evtl doch auf einen Hub zurückgreifen oder evtl einen managbaren Switch mit Port Mirroring verwenden.

Das nächste Wireshark Prboblem ist dass ich defekte Packte aufgrund vom Hidden Station Problem im WLAN aufzeichnen muss. Das wird schwieriger...

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Alfex schrieb:

Habe eine FritzBox SL WLAN und eine 7270. Das sowas geht ist mir nicht bekannt, habe auf der Sl WLAN auch freetz aber müsste guclen ob das klappt...

Kannste einfach testen: http://fritz.box/html/capture.html (ggf. fritz.box durch die entsprechende IP ersetzen, falls du beide in deinem Netz aktiv hast)

Notfalls werd ich evtl doch auf einen Hub zurückgreifen oder evtl einen managbaren Switch mit Port Mirroring verwenden.

Das ist natürlich auch möglich ☺, aber ...

Das nächste Wireshark Prboblem ist dass ich defekte Packte aufgrund vom Hidden Station Problem im WLAN aufzeichnen muss. Das wird schwieriger...

... vermutlich nicht für diesen Anwendungsfall ☹

Sollte deine Fritz-Box allerdings die Capturing-Funktion haben, hast du gute Chancen. Meines Wissens kann man dort das entsprechende WLAN-Interface auswählen und damit auch alle Pakete sehen, die durch gehen.

Alfex

(Themenstarter)

Anmeldungsdatum:
9. Oktober 2015

Beiträge: 16

Die FritzBox adresse kannte ich noch garnicht! Mit der 7270 wird mir was angezeigt, sieht interessant aus!

Habe eben noch probiert mit dem MonitorMode und decryption (siehe hier: https://wiki.wireshark.org/HowToDecrypt802.11) meinen traffic im WLAN aufzuzeichnen. Hat scheinbar sogar funktioniert.

Ich muss wohl doch nicht unbedingt nach defekten Paketen ausschau halten sondern mit Wireshark zeigen dass sich die Paketanzahl(?) verändert beim Hidden-Station Problem im Vergleich dazu wenn die Clients nah beieinander sind (also ohne Hidden Station).

Mal sehen... bin noch relativ neu was Wireshark angeht

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Alfex schrieb:

Die FritzBox adresse kannte ich noch garnicht! Mit der 7270 wird mir was angezeigt, sieht interessant aus!

Das ist es. Wenn man damit einen Dump startet, kann man diesen auch mit Wireshark auslesen. Im Endeffekt lässt sich das auswerten, wie ein tcpdump.

Habe eben noch probiert mit dem MonitorMode und decryption (siehe hier: https://wiki.wireshark.org/HowToDecrypt802.11) meinen traffic im WLAN aufzuzeichnen. Hat scheinbar sogar funktioniert. Mal sehen... bin noch relativ neu was Wireshark angeht

Einfach mal bisschen rumtesten. Gute Ansätze zum Umgang mit solchen Tools bietet auch diese Seite.

Antworten |