10
Посты
3
Пользователи
1
Likes
21.2 Тыс.
Просмотры
(@root)
Active Member
Присоединился: 4 года назад
Сообщения: 18
Topic starter
08/02/2019 9:46 дп
С беспроводными атаками в Windows всё довольно плохо. Одной из немногих бесплатных программ, которые умеют выполнять настоящие атаки на Wi-Fi в Windows (а не только показывать доступные сети или извлекать ранее введённые пароли от Точек Доступа), является программа Router Scan by Stas’M. Она умеет выполнять атаки на WPS, в том числе Pixie Dust. Также она может подбирать пароли от Точек Доступа — но делает это онлайн, то есть требуется постоянное присутствие около ТД, к тому же, это очень медленно.
Есть несколько платных решений для режима монитора Wi-Fi в Windows и даже для беспроводной инъекции — но я их не изучал, если у кого-то есть практический опыт, то поделитесь им в этой теме.
Некоторое время назад (сейчас уже снят с производства), можно было купить аппаратное решение AirPcap, с которым могли работать некоторые программы.
Итак, в этой теме делимся своим опытом по переводу Wi-Fi адаптера в режим монитора в Windows и атаками на Wi-Fi из Windows.
(@root)
Active Member
Присоединился: 4 года назад
Сообщения: 18
Topic starter
08/02/2019 10:05 дп
Npcap + Wireshark = режим монитора Wi-Fi в Windows
Теперь Npcap, которая пришла на смену WinPcap, в связке с Wireshark умеет переводить сетевые интерфейсы Wi-Fi в режим монитора и захватывать сырые Wi-Fi фреймы.
После долгих мук мне удалось таки заставить это работать.
Порядок действий следующий:
- удалите WinPcap
- установите Microsoft Visual C++ Redistributable 2013 ( https://www.microsoft.com/ru-RU/download/details.aspx?id=40784 )
- установите Npcap ( https://nmap.org/npcap/#download )
- установите Wireshark (если ещё не установлена)
- проверьте, чтобы в папках C:WINDOWSSystem32 и в C:WINDOWSSysWOW64 не было файлов wpcap.dll и Packet.dll. То есть эти файлы должны быть только в C:WindowsSysWOW64Npcap и C:WindowsSystem32Npcap и больше нигде
- запустите Wireshark с правами администратора
- в настройках интерфейса поставьте галочку в колонке Monitor Mode:
Удачно протестировано с Alfa AWUS052NH (идёт захват фреймов), но есть проблемы, о которых ниже.
Нерешённые проблемы:
- Не получилось менять номер канала для Wi-Fi адаптера Alfa AWUS052NH — всегда прослушивается только первый канал.
- При переводе адаптера Alfa AWUS036NHA Windows вылетает в синий экран смерти. Возможно, дело в кривых драйверах — нужно попробовать разные варианты. Например, Alfa AWUS036NHA нормально работает в Windows без установки драйверов от производителя. Можно попробовать установить или наоборот удалить эти драйвера.
Некоторые дополнительные подробности и примеры атаки «Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID)».
(@k0styan3)
Active Member
Присоединился: 2 года назад
Сообщения: 12
30/04/2021 12:29 пп
@root у меня встроенную карту(intel AC 3165,режим монитора поддерживается)не получилось перевести , а внешнюю-древнюю RT 2571WF — марка чипа ,перевелась с лета!но у нее только поддержка bg , а n — не поддерживается….я так понял сейчас , когда у всех минимум n- этой стариной уже ничего не сделать?
(@root)
Active Member
Присоединился: 4 года назад
Сообщения: 18
Topic starter
30/04/2021 2:22 пп
Да, Точки Доступа на g встречаются уже как исключения. Но такой адаптер всё ещё можно использовать для атак на WPS.
(@root)
Active Member
Присоединился: 4 года назад
Сообщения: 18
Topic starter
30/04/2021 2:28 пп
Ещё можно попробовать атаки без клиентов https://hackware.ru/?p=6672 — благодаря обратной совместимости всех протоколов, ТД должна быть способна принимать подключения и на g и даже на b.
(@k0styan3)
Active Member
Присоединился: 2 года назад
Сообщения: 12
01/05/2021 12:17 пп
@root
спасибо за совет!
обязательно буду пробовать.но мне вообще очень интересно — на что ,кроме просто захвата пакетов(кстати — если в сети все клиенты работают на стандарте n, а моя карта — на g : она их трафик нормально увидитсохранит?и она сможет кого-то отключить , чтобы хендшейк поймать?
запустил на другом компе убунту с aircrack ,так появился идиотский(возможно !), вопрос-вот мониторю я сеть Aircrack и решил отключить клиентов от сети — но в терминале то идет мониторинг,я нажал кнтр+с монитор остановился и я послал 5 комманд деаунтефикации ,а потом сразу включил монитор назад — я правильно действовал?
извините уж за кучу сумбурных вопросов ? …
(@mial)
Участник Admin
Присоединился: 4 года назад
Сообщения: 267
01/05/2021 2:02 пп
@k0styan3, приветствую! Эта тема называется «Режим монитора Wi-Fi в Windows», то есть эти вопросы здесь не по теме.
Посмотрите сначала статьи здесь: https://hackware.ru/?p=372 . Если будут вопросы, то или здесь, на форуме, создавайте новые темы, чтобы не писать где попало, или спрашивайте там в комментариях.
(@k0styan3)
Active Member
Присоединился: 2 года назад
Сообщения: 12
05/05/2021 6:50 пп
проверьте, чтобы в папках C:WINDOWSSystem32 и в C:WINDOWSSysWOW64 не было файлов wpcap.dll и Packet.dll. То есть эти файлы должны быть только в C:WindowsSysWOW64Npcap и C:WindowsSystem32Npcap и больше нигде
у меня (винда 10,64 бит,карта встроенная intel AC3165 и D-link DWA 110)так вот при выполнении этой рекомендации в Шарке пропадают оба интерфейса из доступных с режимом монитора,и встроенная и юсб-шная.
если эти файлы скопировать обратно (из папки Npcap ),тогда появляется режим монитора для юсб-карты(но она древняя,поддержки n-нету!).хотелось бы конечно использовать интел….
(@root)
Active Member
Присоединился: 4 года назад
Сообщения: 18
Topic starter
06/05/2021 3:01 пп
Как человек, который потратил много безрезультатных часов, пытаясь что-то сделать в Windows с режимом монитора, мой вам совет — за то время, пока вы будете пытаться использовать режим монитора в Windows, вы сможете сходить в магазин за USB флешкой, установить на её Linux, всё настроить и разобраться с Linux.
А в Windows всё равно ничего не получится.
Я нашёл у себя адаптер без поддержки стандарта N и проверил — как выяснилось, он может выполнять атаки в том числе и на N. Подробности смотрите в статье «Для каких атак подходят старые Wi-Fi адаптеры»
Там же есть ссылки на статью про автоматическую сборку рукопожатий и про атаку Pixie Dust — в них всё очень просто, не нужно вручную выполнять деаутентификацию клиентов и прочее. Если у вас рукопожатия не будут захватываться, то это может быть связано с тем, что у ТД нет подключённых клиентов, или вы слишком далеко от них находитесь, но не с отсутствием поддержки стандарта N на вашем Wi-Fi адаптере.
(@k0styan3)
Active Member
Присоединился: 2 года назад
Сообщения: 12
06/05/2021 3:44 пп
@root
Спасибо вам за уделённое время!
Я тоже прихожу к выводу,что Линукс на флешке — это то,что надо!
И железо планшета задействуется(относительно новое)и геморроя поменьше!
Ещё раз спасибо вам!
Хорошего дня!
С уважением,Костя
Если вы только начинаете анализ пакетов и тестирование на проникновение, наиболее важным шагом будет определение того, поддерживает ли ваша карта Wi-Fi неразборчивый или контролирующий режим. Обычно режим монитора отключен на встроенной карте Wi-Fi, предоставляемой производителем настольного компьютера или ноутбука. Но, прежде чем вы броситесь и потратите 30 $ на Wi-Fi USB адаптер, просто проверьте, поддерживает ли существующий режим монитора. В этой заметке вот как проверить, поддерживает ли ваша WiFi-карта режим монитора в Windows, Ubuntu и macOS.
Проверьте, поддерживает ли беспроводной адаптер режим монитора
1. Окна
В Windows нет прямой команды для проверки или включения режима монитора на вашей карте Wi-Fi. Следовательно, нам нужно будет прибегнуть к инструменту под названием Монитор сети Microsoft. Это официальный инструмент, разработанный Microsoft, но в настоящее время он находится в архиве. Однако он полностью совместим для работы на компьютере с Windows 10.
Загрузите и установите инструмент MS Network Monitor. После этого вам необходимо перезагрузить систему, чтобы инструмент обнаружил сетевые карты. Затем запустите приложение и на начальной странице нажмите «New Capture».
На вкладке New Capture мы хотим, чтобы только карта Wi-Fi прослушивала пакеты. Для этого нажмите «Настройки захвата» на верхней панели инструментов.
В диалоговом окне настроек снимите все флажки, кроме Wi-Fi, и нажмите кнопку «Закрыть». Это необходимо для того, чтобы карта Wi-Fi слушала только сетевой трафик.
Опубликуйте настройку, нажмите кнопку «Пуск», чтобы начать захват пакетов.
Если вы получаете сообщение об ошибке, это означает, что ваша карта Wi-Fi не поддерживает режим монитора. Между тем, если пакеты успешно захватываются, это означает, что ваша карта Wi-Fi поддерживает режим мониторинга.
В качестве альтернативы вы также можете сделать то же самое, используя Инструмент мониторинга сети Wireshark.
Скачать Монитор сети Microsoft
2. macOS
Для macOS вы можете проверить режим монитора карты Wi-Fi через терминал с помощью инструмента tcpdump. Однако этот процесс немного утомителен, поэтому мы пойдем путем графического интерфейса. Для этого запустите инструмент беспроводной диагностики из поиска Spotlight.
Кроме того, вы можете щелкнуть значок Wi-Fi на панели инструментов, удерживая нажатой клавишу выбора, и выбрать в раскрывающемся меню «Открыть беспроводную диагностику».
После запуска инструмента диагностики беспроводной сети нажмите ⌘ + ⌥ +6, чтобы открыть окно Sniffer. Кроме того, вы также можете сделать то же самое, щелкнув меню «Окно» на панели инструментов и щелкнув «Sniffer».
Во всплывающем окне сниффера вы увидите опцию «Каналы и ширина канала». На данный момент мы будем использовать параметры по умолчанию. Нажмите кнопку «Пуск», чтобы инструмент Sniffer начал сканирование. В зависимости от ваших настроек вам может потребоваться ввести учетные данные вашего Mac для аутентификации.
Читайте: 6 лучших альтернатив Wireshark для Windows и macOS
Если сниффер работает успешно, вы увидите, что ваш Wi-Fi отключен. Если вы щелкните значок Wi-Fi в правом верхнем углу, вы увидите, что ваш Wi-Fi находится в режиме мониторинга. Это означает, что ваш Wi-Fi поддерживает режим монитора. Если сниффер выдает ошибку, это означает, что ваш Wi-Fi не поддерживает режим монитора.
Когда Wi-Fi находится в режиме монитора, вы не будете подключены к Интернету. Чтобы получить доступ к Интернету, остановите инструмент Sniffer.
Когда вы завершаете работу с инструментом Sniffer, он создает файл «.pcap» в папке / var / tmp со всеми записанными за это время пакетами. Вы можете просмотреть файл с помощью следующей команды.
tcpdump -r /path/to/packetfile.pcap
3. Ubuntu
В Ubuntu это довольно просто и не требует установки дополнительных инструментов. Прежде всего, нам нужно найти имя интерфейса адаптера Wi-Fi. Для этого используйте следующую команду
ip a
Эта команда отобразит все сетевые интерфейсы в вашей системе. Поскольку я подключен к Интернету через Wi-Fi, вы можете видеть IP-адрес и состояние UP. Итак, мое имя интерфейса Wi-Fi — «wlp3s0».
Когда у нас есть имя интерфейса, нам нужно выключить Wi-Fi. Для этого используйте следующую команду.
sudo ip link set dev wlp3s0 вниз
Замените wlp3s0 своим именем интерфейса Wi-Fi.
Теперь, когда у нас отключен интерфейс, мы можем переключить карту Wi-Fi в режим мониторинга. Для этого выполните следующую команду
sudo iwconfig монитор режима wlp3s0
Поскольку моя карта Wi-Fi поддерживает режим монитора, команда выполнена успешно. Если у вас нет режима монитора на вашей карте Wi-Fi, команда завершится ошибкой. Чтобы перепроверить, нажмите следующую команду.
iwconfig
Если последняя команда была успешной, карта Wi-Fi должна находиться в режиме монитора. В противном случае ваша карта Wi-Fi будет отображаться в «Управляемом режиме» и не поддерживает режим монитора.
Пока ваш Wi-Fi находится в режиме монитора, он будет отключен, и вы не сможете получить доступ к Интернету. Чтобы вернуть его в управляемый режим и включить, используйте следующую команду.
sudo iwconfig управляемый режим wlp3s0 sudo ip link set dev wlp3s0 up
Заключение
После того, как вы проверили, поддерживает ли ваш Wi-Fi режим мониторинга, вы можете продолжить анализ и тестирование сети. У нас есть специальная статья о лучших инструментах мониторинга сети с открытым исходным кодом для Windows и Linux, обязательно проверьте это. Кстати, Windows 10 и macOS не предназначены для использования в качестве сетевого сервера или анализатора безопасности. Так что в конечном итоге вам придется перейти на Kali Linux или Parrot OS.
Если вышеуказанные методы не работают для вас, это означает, что ваша карта Wi-Fi не поддерживает режим монитора. В таком случае вы можете приобрести USB-адаптер Wi-Fi примерно за 30 долларов. Я бы рекомендовал Альфа AWUSO36NH, Альфа AWUS036NHA, или Realtek RTL8812AU.
Большинство смартфонов Android поддерживают режим монитора прямо из коробки, однако вам потребуется root-доступ и такие приложения, как zAnti или cSploit для прослушивания пакетов данных в сети. Вот хорошая статья, с которой вы начнете.
С другой стороны, iPhone, скорее всего, не поддерживает режим монитора даже после взлома. Поэтому лучшее, что вы можете сделать, — это перехватить трафик к себе и от себя, а не от других устройств в сети.
Между тем, в Ubuntu вы можете проводить расширенный анализ и тестирование, установив терминальные сетевые инструменты, такие как Aircrack-ng, hcxtoolsи т.д. Если у вас возникнут дополнительные вопросы или проблемы, дайте мне знать в комментариях ниже.
Также читайте: 5 лучших инструментов сетевого мониторинга для Windows
Периодически возникает необходимость захватить служебный Wi-Fi трафик для дальнейшего анализа в Wireshark.
Wireshark использует библиотеку WinPcap для захвата трафика, а она не позволяет напрямую захватить Wi-Fi трафик и не позволяет включить Monitor Mode.
Я нашел два варианта захвата Wi-Fi трафика в Wireshark:
- Использовать специализированные Wi-Fi адаптеры с поддержкой библиотеки AirPcap;
- Использовать способ предложенный Acrylic.
Первый и второй вариант — платные. А т.к. данная задача возникает нечасто, хочется, что то бесплатное.
Решение нашлось…
У Microsoft есть замечательная утилита Microsoft Network Monitor. С помощью неё можно перехватывать трафик на сетевых интерфейсах включая и Wi-Fi интерфейсы в Monitor Mode.
Пример использования
После установки, запускаем Microsoft Network Monitor от прав Администратора!
Выбираем Wi-Fi адаптер (1), открываем окно с настройками (2), открываем окно с настройками сканирования эфира (3).
Включаем если нужно Monitor Mode (4) и далее выбираем частоты и стандартны 802.11 (Wi-Fi) (5).
ВАЖНО!
Окно настроек сканирования не закрываем во время захвата Wi-Fi трафика. Иначе все сделанные настройки сбросятся по умолчанию (6).
Создаём новую вкладку (tab) для захвата трафика.
Нажимаем Start и…
…видим наш Wi-Fi трафик.
Анализируем его на месте в Microsoft Network Monitor или сохраняем в файл pcap и открываем в Wireshark.
Ссылки
- Подборка ресурсов по захвату и анализу Wi-Fi трафика: Wireless Analysis Resources
- Подборка ссылок на темутику Wi-Fi: https://2keep.net/useful-links#wi-fi
The following two tabs change content below.
- Bio
- Latest Posts
В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация — VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.
Рекомендуется отключать NetworkManager перед переводом беспроводного адаптера в режим монитора. Делается это так:
systemctl stop NetworkManager
Чтобы запустить NetworkManager нужно выполнить команду:
systemctl start NetworkManager
Перевести беспроводной адаптер в режим монитора (контроля) можно выполнив следующие команды:
ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
Одной командой:
ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up
Или так, заодно сменив MAC-адрес адаптера на случайный, чтобы не «светить» при исследовании беспроводных сетей:
ifconfig wlan0 down && macchanger wlan0 -r && iwconfig wlan0 mode monitor && ifconfig wlan0 up
Определить, в каком режиме работает беспроводной адаптер можно командой:
iwconfig
Запись Mode:Monitor свидетельствует о том, что адаптер находится в режиме монитора.
Вернуть беспроводной адаптер в управляемый (managed) режим можно следующими командами:
ifconfig wlan0 down
iwconfig wlan0 mode managed
ifconfig wlan0 up
Одной командой:
ifconfig wlan0 down && iwconfig wlan0 mode managed && ifconfig wlan0 up
Или так, заодно вернув оригинальный (permanent) MAC-адрес адаптера:
ifconfig wlan0 down && macchanger wlan0 -p && iwconfig wlan0 mode managed && ifconfig wlan0 up
I recently found that Windows provide support for monitor mode in NDIS(Network Driver Interface Specifications) but our wifi chipset manufacturer does not implement it in their drivers. So even if NDIS supports it but as long as client adapter’s driver are not implemented with it, monitor mode will not work.
See Information Source : https://en.m.wikipedia.org/wiki/Monitor_mode and screenshot:
Is there anyway I can implement monitor support in client wifi adapter’s driver by editing it? Or by replacing that driver with any third-party driver which supports monitor mode? I do need monitor mode feature in my wifi chipset but I don’t know how.
asked Jul 29, 2016 at 4:56
1
Drivers are hardware-specific. That means you cannot use just any driver, it has to be the right one for your hardware. So there’s most likely no third-party driver for your hardware available. Not on Windows, anyway.
Using a Linux driver as reference, you might be able to create a new driver that supports everything. That would however be an incredibly complicated process that is probably nearly impossible if you don’t have experience writing drivers.
If you think all that is beyond you and you really need it, you can also order it from your favorite software company.
A slightly cheaper option would be to just get a WiFi adapter that supports monitor mode on Windows.
tl;dr: No.
answered Jul 29, 2016 at 6:27
Daniel BDaniel B
57.1k9 gold badges115 silver badges152 bronze badges
The problem is that you cannot edit the driver. It’s not a text file – it’s a compiled program like .exe files are, and the only two ways to ‘edit’ it are either by changing the source code and recompiling (which would work on Linux/BSD, but unfortunately most manufacturers do not provide the source code for their Windows drivers), or by patching in some handwritten machine code (which would have worked in MS-DOS, but is likely too difficult at this point).
answered Jul 29, 2016 at 5:42
user1686user1686
401k59 gold badges845 silver badges915 bronze badges
9
I recently found that Windows provide support for monitor mode in NDIS(Network Driver Interface Specifications) but our wifi chipset manufacturer does not implement it in their drivers. So even if NDIS supports it but as long as client adapter’s driver are not implemented with it, monitor mode will not work.
See Information Source : https://en.m.wikipedia.org/wiki/Monitor_mode and screenshot:
Is there anyway I can implement monitor support in client wifi adapter’s driver by editing it? Or by replacing that driver with any third-party driver which supports monitor mode? I do need monitor mode feature in my wifi chipset but I don’t know how.
asked Jul 29, 2016 at 4:56
1
Drivers are hardware-specific. That means you cannot use just any driver, it has to be the right one for your hardware. So there’s most likely no third-party driver for your hardware available. Not on Windows, anyway.
Using a Linux driver as reference, you might be able to create a new driver that supports everything. That would however be an incredibly complicated process that is probably nearly impossible if you don’t have experience writing drivers.
If you think all that is beyond you and you really need it, you can also order it from your favorite software company.
A slightly cheaper option would be to just get a WiFi adapter that supports monitor mode on Windows.
tl;dr: No.
answered Jul 29, 2016 at 6:27
Daniel BDaniel B
57.1k9 gold badges115 silver badges152 bronze badges
The problem is that you cannot edit the driver. It’s not a text file – it’s a compiled program like .exe files are, and the only two ways to ‘edit’ it are either by changing the source code and recompiling (which would work on Linux/BSD, but unfortunately most manufacturers do not provide the source code for their Windows drivers), or by patching in some handwritten machine code (which would have worked in MS-DOS, but is likely too difficult at this point).
answered Jul 29, 2016 at 5:42
user1686user1686
401k59 gold badges845 silver badges915 bronze badges
9
Capturing Wireless on Windows was always problematic, because other than on Linux or Mac it wasn’t possible to activate Monitor mode on the WiFi cards to capture the radio layer. All you could do was capture packets on your WiFi card from the Ethernet layer and up. That’s unless you spent money on the now discontinued AirPCAP USB adapters. But now there is a silver lining on the horizon in the form of the npcap library.
I have to admit that capturing wireless traffic isn’t my strong suit. Dealing with radio waves is a whole different topic than picking up packets from a cable, so there’s a different set of skills required to troubleshoot WiFi issues. But at least I know that there’s a difference between being able to use “Monitor Mode” and not being able to. Of course I can capture on a WiFi card, e.g. picking up packets like this on my “Wi-Fi 2” card:
Figure 1 – “Wireless” capture without monitor mode
As you can see, the capture looks just like a normal Ethernet capture would. There’s nothing related to the radio layer, so troubleshooting the wireless connectivity is not possible this way. To get the radio layer information, you need at least three things (other than Wireshark, of course):
- A WiFi card that supports monitor mode.
- The npcap capture libraries (instead of WinPCAP).
- A tool to enable monitor mode
Requirement 1 – a WiFi card with monitor mode
Unfortunately, not all WiFi cards support monitor mode on Windows. There’s a matrix available that you can use to check if your card is supported: https://secwiki.org/w/Npcap/WiFi_adapters.
I use either Alfa cards or, in this case, a NetGear A6210, which I bought at a local electronics store.
Requirement 2 – the npcap libraries
Since Wireshark 3.0 came out WinPCAP is no longer the default capture library installed. Instead, the npcap libraries are used, which replace the discontinued WinPCAP libraries. If you want to know more about the differences between the two, check this comparison. If you recently installed Wireshark 3.x (or later) you should automatically have replaced WinPCAP with npcap, unless you didn’t allow the installer to do that. Important: you need to make sure “Support raw 802.11 traffic (and monitor mode) for wireless adapters” is checked:
Figure 2 – npcap Installation Options
Requirement 3 – A tool to enable monitor mode
Figure 3 – enabling Monitor Mode fails
If you run Wireshark, you’ll notice that you have a “Monitor Mode” checkbox in the capture interface dialog for your WiFi cards. You can open that dialog from the main menu via “Capture” -> “Options” or by pressing CTRL-K. Unfortunately, even with npcap installed correctly it doesn’t seem to work if you click it (at least in my case), because the check mark disappears again after a short moment.
I’m not sure if that’s normal, but as far as I found out Wireshark can’t modify that setting because it doesn’t have the sufficient privileges to do that. You can either run Wireshark in administrative mode – which I strongly advise against, because it could allow malicious packets to compromise your system. Check out this blog post about “Attacking Wireshark” for details.
The much better plan is to use the wlanhelper utility in an elevated command prompt, which is why I added it specifically to the list of requirements. Fortunately, this comes as part of the npcap installation and is called wlanhelper.exe. You can find it in C:WindowsSystem32Npcap
Check which mode your WiFi card is in using the “wlanhelper.exe” tool. You should run a command line prompt as administrator and change into the directory “C:WindowsSystem32npcap”. To check the current WiFi card mode, run this command (replace “Wi-Fi 2” with the name of your network card you want to manage):
C:WindowsSystem32Npcap>wlanhelper "Wi-Fi 2" mode managed
“Managed” is the default mode that your card should usually be in. It means that it is ready to be used for normal WiFi connectivity. To put it into monitor mode you use the following command:
C:WindowsSystem32Npcap>wlanhelper "Wi-Fi 2" mode monitor Success
But you may also see a result like this:
C:WindowsSystem32Npcap>WlanHelper.exe "Wi-Fi 2" mode monitor Error: SetWlanOperationMode::SetInterface error, error code = 5 (Access is denied) Failure
As you can see we got an error back, which is most likely caused by the fact that the command line prompt wasn’t started as administrator – so if you get this, close your command prompt and start it again, as administrator. If you’re not sure how to do that, follow these steps:
- Press CTRL & ESC to open the start menu
- type “cmd”, which should find the “Command Prompt” icon
- Click “Run as Administrator” or (if you want to impress people standing behind you) press CTRL & Shift & Enter to launch the icon in administrative mode.
- Confirm the User Access Control prompt
Now, we we run Wireshark again, we can “turn on” monitor mode (which we already did; we’re just telling Wireshark to try it to make it realize it works now):
Figure 4 – enabling Monitor Mode works
As you can see, the “Link-layer Header” changes from “Ethernet” to “802.11 plus radio tap header”, which tells us that we’re now going to capture radio layer information as well. Now, when we start a capture on a card like that, we’ll see a different story:
Figure 5 – Capturing with Monitor Mode enabled
We get a ton of management frames, and we also see the typical “Radiotap Header” that tells us about the radio layer. Exactly what we wanted.
Changing channels
One thing that will probably bug you is that Wireshark 3.x doesn’t yet come with a WiFi toolbar, which allows to change channels in a convenient way from the GUI. Unfortunately you’ll have to change channels manually until that problem is solved, and you can do that (again) with the help of the wlanhelper utility, using the according commands:
C:WindowsSystem32Npcap>wlanhelper WlanHelper for Npcap 0.992 ( http://npcap.org ) Usage: WlanHelper [Commands] or: WlanHelper {Interface Name or GUID} [Options] OPTIONS: mode : Get interface operation mode mode <managed|monitor|master|..> : Set interface operation mode modes : Get all operation modes supported by the interface, comma-separated channel : Get interface channel channel <1-14> : Set interface channel (only works in monitor mode) freq : Get interface frequency freq <VALUE> : Set interface frequency (only works in monitor mode) modu : Get interface modulation modu <dsss|fhss|irbaseband|ofdm|hrdsss|erp|ht|vht|ihv (VALUE)|..> : Set interface modulation modus : Get all modulations supported by the interface, comma-separated
Final Words
Capturing Wireless on Windows got a lot easier now, and with npcap it’s also possible to capture on more recent cards than the old WinPCAP adapters which stopped at the 802.11n technology as far as I know. One thing to keep in mind: capturing in monitor mode means that the card becomes a “receive-only” card. So don’t be surprised when you lose connectivity if you have only one WiFi card in your system. If you need to stay connected to a wireless network while capturing it you need two cards – one in managed mode, one in monitor mode.
Содержание
- Что такое режим монитора
- Для чего это и как активировать
- Активируйте его в Acrylic Wi-Fi
- Активируйте его в Linux
Что такое режим монитора
Режим монитора также известен как режим прослушивания или неразборчивый режим . В этом режиме работы карта WIFi будет отвечать за прослушивание каждого из пакетов, которые находятся в «эфире», и у нас будет возможность перехватывать их с помощью различных программ. В этом режиме работы мы будем слушать не только то, что отправляет нам наш маршрутизатор или точка доступа, но и обмен информацией, которая существует в других сетях Wi-Fi, например, у наших соседей. Режим монитора будет отвечать за сканирование на всех частотах и сбор как можно большего количества данных, однако, поскольку он непрерывно сканирует все частоты Wi-Fi, если мы хотим получить всю информацию об определенном маршрутизаторе или точке доступа, мы должны установить определенный канал, который транслирует указанный маршрутизатор или точка доступа, чтобы не потерять какие-либо важные пакеты, которыми он обменивается с клиентами.
В этом режиме работы и с помощью вполне определенных программ мы сможем узнать MAC-адреса всех клиентов, которые подключены к определенному WiFi-маршрутизатору или точке доступа, потому что он сможет захватывать кадры, которые проходят через сеть. воздуха от пункта отправления до пункта назначения. Эта функция режима мониторинга на некоторых картах Wi-Fi необходима для проведения исследований сети Wi-Fi, а также аудита беспроводной сети.
Хорошо известная программа для сканирования сети Wi-Fi, проверки SSID, каналов, количества клиентов и того, сколько клиентов подключено к определенной точке доступа, — это Acrylic Wi-Fi в домашней или профессиональной версии. Хотя эта программа работает с любой сетевой картой WiFi, если нам повезет, что чипсет нашей карты WiFi совместим с режимом монитора, и у нас установлены соответствующие драйверы, то мы сможем получить большое количество информации, и даже экспортировать его в формат pcap для последующего изучения с помощью программ, отвечающих за анализ пакетов, таких как WireShark и многих других.
Очень важная деталь режима монитора заключается в том, что как чипсет WiFi-карты должна быть совместима, будь то карта WiFi через USB или PCIe, а также драйвера которые мы используем . Если оба не соблюдены, наша сетевая карта WiFi не сможет работать в режиме монитора.
Для чего это и как активировать
Этот режим работы в основном используется для аудита беспроводных сетей WiFi, то есть для взлома сетей WiFi и проверки их безопасности. Когда мы собираемся провести аудит сетей Wi-Fi, важно иметь режим мониторинга для захвата пакетов, которые проходят по воздуху, чтобы позже использовать эту информацию, чтобы начать попытки взлома беспроводных сетей.
Например, если мы хотим взломать сеть Wi-Fi с протоколом WPA или WPA2, абсолютно необходимо настроить карту Wi-Fi в режиме монитора для захвата рукопожатия. Это рукопожатие представляет собой обмен информацией, который происходит, когда WiFi-клиент подключается к маршрутизатору и использует протокол WPA или WPA2. Как только рукопожатие перехвачено, мы можем попытаться взломать пароль методом грубой силы или по словарю. Когда в маршрутизаторах существовал протокол WEP, также было абсолютно необходимо иметь карту Wi-Fi с возможностями режима мониторинга, с целью захвата всех «кадров» беспроводной сети, а затем их внедрения для более легкого получения пароля. . быстрый.
Активируйте его в Acrylic Wi-Fi
Если мы собираемся использовать такую программу, как Acrylic WiFi, для углубленного изучения всех окружающих нас сетей Wi-Fi и хотим собрать все данные из беспроводных сетей, очень важно иметь сетевую карту WiFi. который работает в режиме монитора. Для работы режима монитора в этой программе нам понадобятся две вещи:
- Что сетевая карта WiFi имеет чипсет, совместимый с режимом монитора.
- Что у нас установлены соответствующие драйверы на нашем компьютере, чтобы активировать его.
Как только мы выполним оба требования, мы можем активировать режим мониторинга в программе, чтобы видеть все типы пакетов WiFi, включая маяки, пакеты данных, а также пакеты управления, включая всех беспроводных клиентов, которые в данный момент подключены к сети. беспроводной. Другой способ — использовать драйверы NDIS и карту WiFi, совместимую с этим драйвером и режимом работы Acrylic.
Активируйте его в Linux
In Linux-на основе операционных систем, если мы используем пакет Aircrack-ng, мы можем очень легко и быстро перевести карту WiFi в режим монитора, нам нужно будет только выполнить следующую команду, чтобы активировать ее:
sudo airmon-ng start wlan0
Конечно, в этом случае также будет совершенно необходимо иметь совместимую карту WiFi, и с установленными соответствующими драйверами для Linux, иначе он не будет работать. Если вы заинтересованы в проведении аудита WiFi, мы рекомендуем вам использовать WiFiSlax, потому что это дистрибутив, который имеет наибольшую поддержку по умолчанию для очень большого количества моделей карт WiFi, обнаружение полностью автоматическое, и мы можем включить или отключить режим мониторинга. через ifconfig или с помощью предварительно установленного пакета аудита Aircrack-ng.
Как вы видели, режим мониторинга карт WiFi, будь то с интерфейсом USB или PCIe, позволит нам перехватывать каждый из пакетов, находящихся в «эфире», и с помощью соответствующего программного обеспечения мы сможем знать количество клиентов и какие клиенты (с их MAC-адресом) подключены к определенному WiFi-маршрутизатору или точке доступа. Также, если вы собираетесь проводить аудит WiFi, этот режим работы обязательно нужно активировать, иначе вы не сможете достичь поставленной цели по проверке безопасности.
Взломать Wi-Fi -Вам нужна беспроводная карта для поддержки Режим мониторинга и внедрение пакетов. Не все беспроводные карты могут это сделать, но вы можете протестировать карту, которая у вас уже есть, чтобы увидеть, совместима ли она, а также вы можете проверить набор микросхем внутри адаптера, который вы собираетесь купить, чтобы убедиться, что он работает. Взлом Wi-Fi.
Включает беспроводные карты, которые поддерживают режим мониторинга и внедрение пакетов Этичный хакер От прослушивания других чатов Wi-Fi до внедрения вредоносных пакетов в сеть. Беспроводные карты в большинстве ноутбуков не умеют ничего делать, кроме того, что нужно для создания Wi-Fi соединение Базовый.
Хотя некоторые внутренние карты могут предлагать некоторую поддержку режима монитора, часто обнаруживается, что ваша карта не поддерживает использование инструментов, включенных в Kali Linux. Я обнаружил, что беспроводная карта в ноутбуке Lenevo поддерживает оба, поэтому иногда можно работать с внутренней беспроводной картой ноутбука для обучения, когда это необходимо. Если внутренняя беспроводная карта не поддерживает эти режимы, потребуется внешняя беспроводная карта.
ценовые диапазоны Внешние сетевые адаптеры От 15 до 40 долларов за карту. Хотя это может показаться не таким уж большим, совершив ошибку при покупке Сетевой адаптер Он может быстро накапливаться и отказываться от изучения безопасности Wi-Fi.
Сначала эти устройства могут показаться немного сложными, но они очень просты. У каждого беспроводного сетевого адаптера внутри есть микросхема, содержащая собственный ЦП. Этот чип вместе с другими цепями коммутатора преобразует сигналы вашего компьютера в радиоимпульсы, называемые «пакетами», которые передают информацию между устройствами. Чтобы выбрать адаптер Wi-Fi, необходимо знать несколько вещей, таких как набор микросхем внутри, используемая антенна и типы Wi-Fi, которые поддерживает карта.
Если вы начали в анализ пакетов وтест на проникновение , самый важный шаг — определить, поддерживает ли карта Wi-Fi режим мониторинга и внедрение пакетов. Как правило, режим мониторинга отключен на встроенной карте Wi-Fi, предоставленной производителем настольного или портативного компьютера. Но, прежде чем вы потратите 30 долларов на USB-адаптер Wi-Fi, просто проверьте, поддерживает ли ваше текущее устройство режим монитора. В этой статье вы узнаете, как проверить, поддерживает ли ваша WiFi-карта режим монитора в Windows, Ubuntu и macOS.
Убедитесь, что беспроводной адаптер поддерживает режим мониторинга
1. Windows
В Windows нет прямой команды, чтобы проверить, поддерживается ли режим мониторинга или работает ли на карте Wi-Fi. Следовательно, нам нужно прибегнуть к инструменту под названием Microsoft Network Monitor. Это графический инструмент, разработанный Microsoft, но в настоящее время он находится в архиве. Однако они полностью совместимы для работы на вашем устройстве с Windows 10.
Загрузите и установите инструмент MS Network Monitor. Как только это будет сделано, вам необходимо перезапустить систему, чтобы инструмент обнаружил сетевые карты. Затем запустите приложение и на начальной странице нажмите «New Capture».
На вкладке New Capture мы просто хотим, чтобы карта Wi-Fi прослушивала пакеты. Для этого нажмите на опцию «Настройки захватана верхней панели инструментов.
В диалоговом окненастройкиСнимите все флажки, кроме Wi-Fi, и нажмите кнопку «Закрыть». Это необходимо для того, чтобы карта Wi-Fi прослушивала только сетевой трафик.
Опубликуйте настройку, нажмите кнопку «Пуск», чтобы начать сбор пакетов.
Если появляется ошибка, это означает, что карта Wi-Fi не поддерживает режим мониторинга. В то время как, если пакеты захватываются успешно, это означает, что карта Wi-Fi поддерживает режим мониторинга.
В качестве альтернативы вы также можете сделать то же самое с Инструмент мониторинга сети Wireshark.
Скачать Microsoft Network Monitor
2. МакОС
Для macOS вы можете проверить поддержку режима мониторинга на карте Wi-Fi через Терминал с помощью инструмента ТСРйитр. Однако процесс немного утомителен, поэтому мы перейдем к графическому интерфейсу. Для этого запустите инструмент Беспроводная диагностика Из поиска в центре внимания.
Кроме того, вы можете щелкнуть значок Wi-Fi на панели инструментов, удерживая нажатой клавишу Опция , и выберите Открытая беспроводная диагностика из раскрывающегося меню.
После запуска инструмента Беспроводная диагностика , Нажмите ⌘ + ⌥ +6 для запуска окна сниффера. Кроме того, вы также можете сделать то же самое, щелкнув меню «Окно» на панели инструментов и нажав «Sniffer».
Во всплывающем окне Sniffer вы увидите опцию каналы و Ширина канала. На данный момент мы будем использовать параметры по умолчанию. Нажмите кнопку «Пуск», чтобы Sniffer запустил сканирование. В зависимости от ваших настроек вам может потребоваться ввести данные для входа в систему Mac для аутентификации.
Если инструмент Sniffer работает успешно, вы увидите, что Wi-Fi отключен. Если вы нажмете на значок Wi-Fi в правом верхнем углу, вы увидите, что ваш Wi-Fi находится в контролируемом режиме. Это означает, что адаптер Wi-Fi поддерживает режим мониторинга. Если в инструменте Sniffer возникает ошибка, это означает, что адаптер Wi-Fi не поддерживает режим мониторинга.
Когда сеть Wi-Fi находится в режиме мониторинга, вы не будете подключены к Интернету. Чтобы получить доступ к Интернету, выключите инструмент Sniffer.
Когда вы закончите использовать инструмент Sniffer, он создаст файл «.pcap«На сайте / Вар / TMP Пока все зарегистрированные пакеты. Вы можете просмотреть файл, используя следующую команду.
tcpdump -r /path/to/packetfile.pcap
3. Ubuntu
В Ubuntu этот процесс очень прост и не требует установки каких-либо дополнительных инструментов. Прежде всего, нам нужно найти имя интерфейса адаптера Wi-Fi. Для этого используйте следующую команду
ip a
Эта команда отобразит все сетевые интерфейсы в вашей системе. Поскольку я подключен к Интернету через Wi-Fi, вы можете увидеть айпи адрес Статус — ВВЕРХ. Поэтому имя интерфейса Wi-Fi — «wlp3s0».
Как только мы получим название интерфейса, нам нужно отключить Wi-Fi. Для этого используйте следующую команду.
sudo ip link set dev wlp3s0 down
заменять wlp3s0 Как интерфейс Wi-Fi.
Теперь, когда мы отключили интерфейс Wi-Fi, мы можем перевести карту Wi-Fi в режим мониторинга. Для этого выполните следующую команду
sudo iwconfig wlp3s0 mode monitor
Поскольку карта Wi-Fi поддерживает режим мониторинга, команда выполнена успешно. При отсутствии поддержки режима мониторинга на карте Wi-Fi произойдет ошибка. Чтобы дважды проверить, нажмите следующую команду.
iwconfig
Если последняя команда выполнена успешно, ваша карта Wi-Fi должна находиться в режиме монитора. В противном случае карта Wi-Fi будет отображаться в управляемом режиме и не поддерживает режим мониторинга.
Пока ваш Wi-Fi находится в режиме мониторинга, он будет отключен, и вы не сможете получить доступ к Интернету. Чтобы вернуть его в управляемый режим и включить, используйте следующую команду.
sudo iwconfig wlp3s0 mode managed sudo ip link set dev wlp3s0 up
تغليف
Проверив, поддерживает ли карта Wi-Fi режим мониторинга, можно переходить к дальнейшему анализу и тестированию в сети. У нас есть отдельная статья о лучших Инструменты мониторинга сети с открытым исходным кодом для Windows и Linux , проверьте это. Кстати, Windows 10 и macOS не предназначены для использования в качестве сетевого сервера или для анализа безопасности. В конце концов, вам стоит перейти на Kali Linux или Parrot OS.
Если вышеперечисленные методы у вас не работают, это означает, что ваша карта Wi-Fi не поддерживает режим мониторинга. В этом случае вы можете получить USB-адаптер Wi-Fi примерно за 30 долларов. Я рекомендую Альфа AWUSO36NH или же Альфа AWUS036NHA или же Реалтек RTL8812AU.
Большинство смартфонов Android поддерживают режим мониторинга напрямую, однако вам потребуется доступ Разрешения root и такие приложения, как zАнти или же cSploit Вводить пакеты данных в сеть. Вот хорошая статья, которая поможет.
С другой стороны, iPhone не поддерживает режим мониторинга даже после Побег из тюрьмы. Поэтому лучшее, что вы можете сделать, — это захватить трафик к себе и от себя, а не от других устройств в сети.
Между тем, в Ubuntu вы можете выполнять расширенный уровень анализа и тестирования, установив сетевые инструменты на основе терминала, такие как Aircrack-нг و hcxtools , и так далее. Если у вас возникнут дополнительные вопросы или проблемы, дайте мне знать в комментариях ниже.