tcpdump를 사용하여 무선 LAN 네트워크 스니핑


4

무선 작업의 기본 사항을 올바르게 이해했다면 무선 LAN을 통해 다른 컴퓨터의 트래픽을 탐지 할 수 있어야합니다. 그래서 두 번째 컴퓨터를 무선 LAN에 연결하고 다음 과 같은 명령을 http사용하여 네트워크를 통해 트래픽 을 스니핑 할 수 있는지 확인 tcpdump했습니다.

sudo tcpdump -v -i wlan0 dst 10.0.0.7

동안은 10.0.0.7내가 LAN을 통해 도청하려는 컴퓨터의 IP입니다. (나는 경우 예외 처리 된 ICMP 에코 요청하지만 불행하게도, 내가 출력으로 아무것도 얻을 수 없다 ping 10.0.0.7, 그래서 tcpdump잘 작동 :)).

내가 무엇을 놓치고 있습니까?


dsttcpdump 은 무슨 뜻인가요?
schroeder

@schroeder : 필드가 dst있는 패킷 만 듣고 있음을 의미합니다destination10.0.0.7
Sam Bruns

그렇습니다-당신의 기계는 어떻게 될까요?
schroeder

@ schroeder : 기본 게이트웨이에서 스니핑하려는 컴퓨터로 향하는 패킷을 스니핑 할 수 있다고 생각했습니다. 패킷이 wifi를 통해 전송되기 때문에 hear수신자가 아니지만 패킷을 사용할 수 있어야합니다 . 10.0.0.7스니핑하려는 컴퓨터의 IP 주소 10.0.0.8이며 내 IP 주소입니다.
Sam Bruns

사용중인 Wi-Fi 유형에 따라 다릅니다. 허브처럼 작동하지 않고 스위치입니다.
schroeder 2016 년

답변:


9

무선 네트워크의 모든 트래픽을 감지하려면 네트워크 인터페이스를 모니터 모드 로 설정해야 합니다. 따라서 시작하기 전에 tcpdump다음을 수행하십시오.

sudo ifconfig wlan0 down
sudo iwconfig wlan0 mode Monitor
sudo ifconfig wlan0 up

인터페이스를 끄고 모니터 모드를 활성화 한 후 다시 켜면됩니다. 모든 네트워크 인터페이스 카드가 모니터 모드를 지원하지는 않습니다.

NIC를 다시 정상으로 재설정하려면을 사용하여 동일한 명령을 실행하십시오 mode Managed.

참고로 스니퍼의 트래픽은 라우터가 사용하는 암호화 체계로 인해 트래픽이 어떻게 보일지 예상하지 못할 것입니다. 자신의 네트워크를 스니핑하는 것을 고려하면 대부분의 경우 트래픽을 해독 할 수 있습니다. 다음 은 그래픽 사용자 인터페이스 기능이 Wireshark있는 대안 에 대한 간략한 개요입니다 tcpdump. tcpdump캡처 를 계속 선호하는 경우 해당 -w옵션을 사용하여 트래픽을 .pcap파일 로 덤프 하고 나중에 해당 파일을 Wireshark (또는 다른 패킷 분석기)에서 열 수 있습니다.

네트워크에서 WPA 또는 WPA2 암호화를 사용하는 경우 라우터와 모니터링하려는 각 장치 간의 해당 핸드 셰이크를 캡처해야합니다. 내가 연결 한 Wireshark 위키 기사는 그렇게하는 방법을 설명합니다.

WPA 및 WPA2는 EAPOL 핸드 셰이크에서 파생 된 키를 사용합니다.이 핸드 셰이크는 기기가 Wi-Fi 네트워크에 가입 할 때 발생하는 트래픽을 암호화합니다. 암호 해독하려는 세션에 네 개의 핸드 셰이크 패킷이 모두 존재하지 않으면 Wireshark는 트래픽을 암호 해독 할 수 없습니다. 디스플레이 필터 eapol을 사용하여 캡처에서 EAPOL 패킷을 찾을 수 있습니다.

머신의 핸드 셰이크를 캡처하려면 캡처가 진행되는 동안 머신이 네트워크에 다시 연결되도록해야합니다.


@zinfandel : 감사합니다! 나는 지금 이해했다. WPA 또는 WPA2 암호화를 사용하는 동안 각 컴퓨터와 액세스 포인트 간의 연결이 올바르게 암호화 된 것으로 이해했다면?
Sam Bruns

1
예. 트래픽은 "보호 된"네트워크, 즉 WEP, WPA 또는 WPA2를 사용하는 네트워크에서 암호화됩니다.

@zinfandel : 무차별 모드보다 모니터 모드를 선택 해야하는 이유를 설명해 주시겠습니까? 감사합니다 :)
Sam Bruns 2016 년

1
@SamBruns 모니터 모드는 WiFi의 무차별 모드입니다.
David Poole

2

우선, 이것이 개방형 네트워크인지 아니면 WPA로 보호되는지를 지정하지 않았습니다. 차이가 있습니다. 문제가 발생하여 WPA라고 가정합니다.

당신은 중간에있는 사람이 아닙니다. 10.0.0.7의 패킷은 해당 컴퓨터에서 직접 게이트웨이 (예 : 10.0.0.1)로 인터넷으로 전달되어 사용자를 무시합니다. 스푸핑을 중단하고 게이트웨이와 해당 사용자 사이에 자신을 삽입해야합니다 (10.0.0.7). 이를위한 많은 도구가 있습니다. 일반적으로 커널에서 먼저 ip forwarding을 설정 한 후 다음과 같은 명령을 실행합니다.arpspoof <victim ip> <gateway ip>


1
우선, 답변 주셔서 감사합니다! 내가 참조. 그러나 arp spoofing의 필요성을 이해하지 못했습니다. LAN을 통해 전송되는 패킷을 단순히 스니핑 할 수없는 이유는 무엇입니까? 설명하거나 학습 자료로 리디렉션 할 수 있습니까? 감사!
Sam Bruns
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.