Wifi IDS - 监控模式 vs 混杂模式 - 查看东西向流量

Wifi IDS - 监控模式 vs 混杂模式 - 查看东西向流量

鉴于我的家庭 wifi 设置(WPA2),我可以看到从内部网络到“网络回来”(北向和南向流量)的所有流量。

我在本地网络上使用 wlan0 进行 ssh。我在 Raspberry Pi 上运行 suricata 作为 IDS,并将日志发送到云端。生活很美好。

我想查看并记录从内部 wifi 客户端 1 到内部 wifi 客户端 2 的东到西连接。我的 wifi 路由器不提供此功能。

我得到了另一张 wlan 卡,认为在监控模式下可以解决问题,但我相信除非加入 SSID,否则我将无法解密流量(已尝试 - 在 tcpdump 中除了管理帧什么也没看到)。

我还尝试了 w/wlan1 的混杂模式(在 ifconfig 中确认了 PROMISC),认为它已加入 SSID,因此可以解决问题(然后我只会让我的 IDS/suricata 知道 PSK),但除了单播/广播之外,我看不到其他流量(没有其他 wifi 客户端)。

这是在一间小公寓里,但我的 wifi 客户端(最近的 Android/Chromebook)距离测试地点不到 5 英尺。

RPi中的wlan1卡是Panda Wireless PAU05。

更令人好奇的是,我注定会在自己所说的渴望的道路上失败吗?

我更愿意以这种方式来丰富学业,或者至少了解我为什么会失败。即我知道布莱尔入侵检测系统甜蜜安全。我也不想在高端路由器上花太多钱,而是想继续修修补补。

> +-------------------+ |           
> | |    Cable Modem  | |    
> +----+--------------+ |
>      |
>      |
>      |
>      +<------Anonymous Ethernet bridge:Eth0 (No IP)--+
>      |                  
>      +-----+
>      |     |
>      | Pi  |
>      |     |XXXXXXXXXXX..Wlan0..Wifi Signal..XXXXXX
>      +----++                                    XX
>           |                                    XX
>           +<-----------AEB:--Eth1 (No IP)--+  XX
>           |                                  XX
>       +---+---------------------------+    XXX
>       |  (DMZ port has the ISP IP)    |  XXX
>       |                               | XX
>       |  Wirleless Router -TP Link    |XX
>       |                               |
>       |  (internal ports)             |
>       +-------------------------------+
>          |
>          |
>         +------------------------+
>         | Internal wired pc, etc.|
>         +------------------------+

答案1

监控模式是您需要的,但解密其他设备的 WPA2-PSK 流量的能力与加入网络无关。您所需要的只是 PSK(或密码和 SSID,您可以从中得出 PSK)以及目标设备加入网络时的 WPA2 四次握手。

您还需要嗅探器的无线卡支持 AP 和目标设备中无线硬件的所有速度相关功能。因为如果 AP 和目标设备都使用 802.11ac,而您的嗅探器卡只使用 802.11n 及以下版本,那么嗅探器将无法观察到 AP 和目标设备使用 802.11ac 特定的调制和编码方案 (MCS) 交换的任何数据包。除了支持的 802.11 速度相关标准 (a/b/g/n/ac) 和支持的 MCS 之外,您还必须考虑支持的空间流 (1x1、2x2、3x3 等) 和支持的信道宽度 (20/40/80/160MHz)。

相关内容