鉴于我的家庭 wifi 设置(WPA2),我可以看到从内部网络到“网络回来”(北向和南向流量)的所有流量。
我在本地网络上使用 wlan0 进行 ssh。我在 Raspberry Pi 上运行 suricata 作为 IDS,并将日志发送到云端。生活很美好。
我想查看并记录从内部 wifi 客户端 1 到内部 wifi 客户端 2 的东到西连接。我的 wifi 路由器不提供此功能。
我得到了另一张 wlan 卡,认为在监控模式下可以解决问题,但我相信除非加入 SSID,否则我将无法解密流量(已尝试 - 在 tcpdump 中除了管理帧什么也没看到)。
我还尝试了 w/wlan1 的混杂模式(在 ifconfig 中确认了 PROMISC),认为它已加入 SSID,因此可以解决问题(然后我只会让我的 IDS/suricata 知道 PSK),但除了单播/广播之外,我看不到其他流量(没有其他 wifi 客户端)。
这是在一间小公寓里,但我的 wifi 客户端(最近的 Android/Chromebook)距离测试地点不到 5 英尺。
RPi中的wlan1卡是Panda Wireless PAU05。
更令人好奇的是,我注定会在自己所说的渴望的道路上失败吗?
我更愿意以这种方式来丰富学业,或者至少了解我为什么会失败。即我知道布莱尔入侵检测系统和甜蜜安全。我也不想在高端路由器上花太多钱,而是想继续修修补补。
> +-------------------+ |
> | | Cable Modem | |
> +----+--------------+ |
> |
> |
> |
> +<------Anonymous Ethernet bridge:Eth0 (No IP)--+
> |
> +-----+
> | |
> | Pi |
> | |XXXXXXXXXXX..Wlan0..Wifi Signal..XXXXXX
> +----++ XX
> | XX
> +<-----------AEB:--Eth1 (No IP)--+ XX
> | XX
> +---+---------------------------+ XXX
> | (DMZ port has the ISP IP) | XXX
> | | XX
> | Wirleless Router -TP Link |XX
> | |
> | (internal ports) |
> +-------------------------------+
> |
> |
> +------------------------+
> | Internal wired pc, etc.|
> +------------------------+
答案1
监控模式是您需要的,但解密其他设备的 WPA2-PSK 流量的能力与加入网络无关。您所需要的只是 PSK(或密码和 SSID,您可以从中得出 PSK)以及目标设备加入网络时的 WPA2 四次握手。
您还需要嗅探器的无线卡支持 AP 和目标设备中无线硬件的所有速度相关功能。因为如果 AP 和目标设备都使用 802.11ac,而您的嗅探器卡只使用 802.11n 及以下版本,那么嗅探器将无法观察到 AP 和目标设备使用 802.11ac 特定的调制和编码方案 (MCS) 交换的任何数据包。除了支持的 802.11 速度相关标准 (a/b/g/n/ac) 和支持的 MCS 之外,您还必须考虑支持的空间流 (1x1、2x2、3x3 等) 和支持的信道宽度 (20/40/80/160MHz)。