Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: promisc mode + wireshark  (gelezen 1283 keer)

Offline yozdje

  • Lid
  • Steunpunt: Nee
promisc mode + wireshark
« Gepost op: 2011/07/19, 09:47:41 »
Ik ben uit interesse mijn eigen huisnetwerk aan het "sniffen". M.b.v. ARP spoofing kan ik verkeer van bijvoorbeeld mijn iPhone (aangesloten op WiFi netwerk) omleiden via mijn laptop (met daarop Ubuntu en de sniffing tools), waardoor ik op mijn laptop zie wat er allemaal gebeurt op mijn netwerk.

Ik heb echter gelezen dat ARP spoofing helemaal niet nodig is, maar dat als je bijvoorbeeld Wireshark start, je netwerk in promiscuous mode gaat en je dan sowieso alle pakketten ziet. Bij mij is dat echter niet het geval. Als ik Wireshark start dan zie ik bij 'dmesg' wel dat mijn wlan0 in promiscuous mode gaat, maar in Wireshark zie ik alleen het verkeer van de laptop, niet van mijn andere apparaten in het draadloze netwerk. Werkt promisc bij mij dus niet of snap ik niet precies wat het is?


Lees net ergens dat alhoewel dmesg aangeeft dat wlan0 in promisc mode gaat, ifconfig soms iets anders aangeeft. Ben nu niet thuis, maar ga dat eerst even checken!

« Laatst bewerkt op: 2011/07/19, 10:27:07 door yozdje »

Offline Cumulus007

  • Lid
  • Steunpunt: Nee
Re: promisc mode + wireshark
« Reactie #1 Gepost op: 2011/07/19, 11:50:50 »
NetworkManager uizetten kan wel eens helpen.

Offline yozdje

  • Lid
  • Steunpunt: Nee
Re: promisc mode + wireshark
« Reactie #2 Gepost op: 2011/07/21, 11:55:55 »
Helemaal disconnecten van mijn eigen AP werkte... half. Ik zie nu al het verkeer van mijn werklaptop en van mijn iphone, maar niet van een andere laptop in ons netwerk. Vreemd!

Met ARP spoofing zie ik wel het verkeer van alle clients. Iemand enig idee hoe dit kan?

Offline jellederksen

  • Lid
  • Steunpunt: Nee
Re: promisc mode + wireshark
« Reactie #3 Gepost op: 2011/07/25, 00:38:49 »
Maak je gebruik van een switch of van een router met een ingebouwde switch? Als dat zo is dan kun je niet de datagrams van andere host systemen zien.
Dat komt doordat de switch het verkeer doorstuurt naar het juiste MAC adres en niet naar alle MAC adressen zoals een hup dat zou doen. Simpel gezegd, het verkeer komt gewoon nooit op jou NIC aan. Als het goed is beantwoord dit ook gelijk je vraag waarom dat het met ARP spoofing wel werkt.
« Laatst bewerkt op: 2011/07/25, 00:44:42 door jellederksen »

Offline yozdje

  • Lid
  • Steunpunt: Nee
Re: promisc mode + wireshark
« Reactie #4 Gepost op: 2011/07/25, 21:50:49 »
Het is inderdaad een router met ingebouwde switch. Thanks!