我在阅读信息安全文章时得到了不同的结果,其中一些文章指出,为了做类似的事情,您还需要设置某种带有正在运行的接入点和本地 Web 服务器的蜜罐来拦截流量。然后其他文章似乎表明您不需要这样做,您只需运行 Wireshark,它就会检测到网络上发送的所有数据包。怎么会这样呢?数据包嗅探器究竟是如何获取这些数据包的?这是否涉及通过运行 Wireshark 等程序的计算机上的 NIC 拦截通过无线协议和频率传输的无线信号?
答案1
如果配置正确,嗅探器将接收所有可以解码的数据包并将其显示在屏幕上。此漏洞存在于任何容易受到任何形式窃听的 WiFi 信号中(例如,能够捕获未加密、弱加密等通信)。这很可能就是为什么许多网站都添加了强制 HTTPS,这要求恶意用户解密每个数据包中的消息。
就您提到的蜜罐而言,它可能正在讨论一种潜在的(且复杂的)中间人攻击,即用户认为他们获得了正确的 SSL 证书并且他们的会话是“安全的”,但中间的机器能够以纯文本形式读取所有传输。
答案2
无线信号将被附近所有配备 WiFi 的计算机中的底层网络软件接收和读取。如果目标计算机不是当前计算机,则数据包将被丢弃 - 除非接口已设置为混杂模式然后,诸如 Wireshark 之类的数据包嗅探器可以捕获并显示数据包的数据。
这类似于其他广播网络媒体,例如旧的 10BASE5 或 10BASE2 同轴以太网电缆以及使用旧 10BASE-T(甚至 100BASE-TX)的网络枢纽(而不是开关- 通过学习每个端口的 MAC 地址来分离流量)。
据我了解,如果 WiFi 集线器(本地接入点)使用 WEP、WPA 等,则数据将被加密,因此其他计算机无法解码数据包数据,因为它们没有其他计算机与 WiFi 集线器之间协商的会话密钥。更新:我认为我在最后一点上错了,正如 Christian Mann 所说,WEP、WPA 和 WPA2 不使用会话密钥,因此无法保护您的数据不被其他合法使用同一 WiFi 集线器的人获取。用于验证与 WiFi 集线器的“连接”的共享密钥(我认为)也用于加密流量。通常,每个人都使用相同的密钥,因此原则上可以解密其他人的流量。
WEP 加密在很短的时间内很容易被破解,因此无法防止未经授权的 WiFi 信号接收器。
似乎并非所有 WiFi 硬件(或更确切地说,其相关驱动程序)都支持“混杂模式”(请参阅www.tamos.com)——但我相信很多人都这么做。
一些 WiFi 硬件也支持 WiFi监控模式它可以用于捕获其他人的流量,即使是从未“连接”到 WiFi 集线器的计算机也可以。
(术语:我的“WiFi 集线器”= 无线接入点 (WAP) - 通常内置于 DSL 路由器中)