tcpdump를 사용하여 무선 LAN 네트워크 스니핑

무선 작업의 기본 사항을 올바르게 이해했다면 무선 LAN을 통해 다른 컴퓨터의 트래픽을 탐지 할 수 있어야합니다. 그래서 두 번째 컴퓨터를 무선 LAN에 연결하고 다음 과 같은 명령을 http사용하여 네트워크를 통해 트래픽 을 스니핑 할 수 있는지 확인 tcpdump했습니다.

sudo tcpdump -v -i wlan0 dst 10.0.0.7

동안은 10.0.0.7내가 LAN을 통해 도청하려는 컴퓨터의 IP입니다. (나는 경우 예외 처리 된 ICMP 에코 요청하지만 불행하게도, 내가 출력으로 아무것도 얻을 수 없다 ping 10.0.0.7, 그래서 tcpdump잘 작동 :)).

내가 무엇을 놓치고 있습니까?

무선 네트워크의 모든 트래픽을 감지하려면 네트워크 인터페이스를 모니터 모드 로 설정해야 합니다. 따라서 시작하기 전에 tcpdump다음을 수행하십시오.

sudo ifconfig wlan0 down
sudo iwconfig wlan0 mode Monitor
sudo ifconfig wlan0 up

인터페이스를 끄고 모니터 모드를 활성화 한 후 다시 켜면됩니다. 모든 네트워크 인터페이스 카드가 모니터 모드를 지원하지는 않습니다.

NIC를 다시 정상으로 재설정하려면을 사용하여 동일한 명령을 실행하십시오 mode Managed.

참고로 스니퍼의 트래픽은 라우터가 사용하는 암호화 체계로 인해 트래픽이 어떻게 보일지 예상하지 못할 것입니다. 자신의 네트워크를 스니핑하는 것을 고려하면 대부분의 경우 트래픽을 해독 할 수 있습니다. 다음 은 그래픽 사용자 인터페이스 기능이 Wireshark있는 대안 에 대한 간략한 개요입니다 tcpdump. tcpdump캡처 를 계속 선호하는 경우 해당 -w옵션을 사용하여 트래픽을 .pcap파일 로 덤프 하고 나중에 해당 파일을 Wireshark (또는 다른 패킷 분석기)에서 열 수 있습니다.

네트워크에서 WPA 또는 WPA2 암호화를 사용하는 경우 라우터와 모니터링하려는 각 장치 간의 해당 핸드 셰이크를 캡처해야합니다. 내가 연결 한 Wireshark 위키 기사는 그렇게하는 방법을 설명합니다.

WPA 및 WPA2는 EAPOL 핸드 셰이크에서 파생 된 키를 사용합니다.이 핸드 셰이크는 기기가 Wi-Fi 네트워크에 가입 할 때 발생하는 트래픽을 암호화합니다. 암호 해독하려는 세션에 네 개의 핸드 셰이크 패킷이 모두 존재하지 않으면 Wireshark는 트래픽을 암호 해독 할 수 없습니다. 디스플레이 필터 eapol을 사용하여 캡처에서 EAPOL 패킷을 찾을 수 있습니다.

머신의 핸드 셰이크를 캡처하려면 캡처가 진행되는 동안 머신이 네트워크에 다시 연결되도록해야합니다.

우선, 이것이 개방형 네트워크인지 아니면 WPA로 보호되는지를 지정하지 않았습니다. 차이가 있습니다. 문제가 발생하여 WPA라고 가정합니다.

당신은 중간에있는 사람이 아닙니다. 10.0.0.7의 패킷은 해당 컴퓨터에서 직접 게이트웨이 (예 : 10.0.0.1)로 인터넷으로 전달되어 사용자를 무시합니다. 스푸핑을 중단하고 게이트웨이와 해당 사용자 사이에 자신을 삽입해야합니다 (10.0.0.7). 이를위한 많은 도구가 있습니다. 일반적으로 커널에서 먼저 ip forwarding을 설정 한 후 다음과 같은 명령을 실행합니다.arpspoof <victim ip> <gateway ip>