1 votes

Nicolas Garnier avatar

Que fait airmon-ng lorsqu'il active le mode promiscuous sur une carte sans fil ?

Demandé el 23 de Février, 2017
Quand la question a-t-elle été
1249 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je capture le trafic sur mon réseau domestique sans fil à l'aide de wireshark. Pour cela, j'ai dû - configurer une nouvelle interface de surveillance à partir de mon interface sans fil en utilisant airmon-ng script ; - activer le mode promiscuous sur mon interface de surveillance dans wireshark.

Je ne comprends pas bien ce que j'ai fait, ni pourquoi c'était nécessaire. Google n'a pas fourni de réponse pertinente puisqu'une recherche avec les mots clés airmon-ng ou aircrack-ng conduit à des tutoriels pour craquer les réseaux protégés par WEPs... J'ai trouvé le code source d'airmon-ng qui m'a conduit à errer sans but dans mon /sys/devices.

Je comprends que, par défaut, les cartes sans fil filtrent les paquets de manière à ce que seuls ceux qui leur sont adressés (adresse MAC correcte ou diffusion) soient transmis au système. Voici mes questions :

  1. S'agit-il d'un filtrage matériel ou logiciel (pilote ?)?
  2. Que signifie airmon-ng ?
  3. Pourquoi n'est-il pas possible d'activer le mode moniteur sur certains appareils ? S'agit-il d'un problème avec les pilotes ?
  4. Pourquoi est-il nécessaire de créer une autre interface ?
  5. Existe-t-il un parallèle avec une interface internet recevant du trafic d'un concentrateur ? Les paquets sont-ils "pré-filtrés" dans cette configuration ?
  6. Quelle est l'utilité de la case à cocher "promiscuous mode" dans wireshark si tout le travail est fait à un niveau inférieur ?

Je suis désolé pour ces questions de noob, ce n'est pas mon domaine ;-) Merci !

Demandé el 23 de Février, 2017 par Nicolas Garnier

Réponse

Trop de publicités?

2voto

James Mertz avatar
James Mertz Points 390

Tout d'abord, notez que le mode promisc et le mode moniteur sont deux choses différentes en Wi-Fi :

  • Le mode "promiscuous" désactive le filtrage des trames L2 dont le MAC de destination est différent. Mais en Wi-Fi, vous êtes toujours limité à la réception des données du même réseau.

  • Le mode "Monitor" désactive le filtrage au niveau de L1, de sorte que vous voyez n'importe quoi que la radio est capable de recevoir (y compris d'autres réseaux, des trames de contrôle telles que des balises, et parfois même des éléments provenant d'autres canaux).

(En revanche, dans le cas de l'Ethernet en concentrateur, il s'agit d'un seul mode "promiscuous").

S'agit-il d'un filtrage matériel ou logiciel (pilote ?)?

Il s'agit généralement d'un filtrage matériel, qui permet d'économiser une quantité considérable d'énergie par rapport à un filtrage basé sur l'unité centrale.

Que fait airmon-ng ?

Avec les pilotes sans fil modernes basés sur nl80211, cela équivaut à peu près à :

iw phy0 interface add mon0 type monitor
...
iw mon0 interface del

Une grande partie du code qui s'y trouve sert uniquement à assurer la compatibilité avec les anciens pilotes (WEXT et autres trucs bizarres).

Pourquoi n'est-il pas possible d'activer le mode moniteur sur certains appareils ? S'agit-il d'un problème avec les pilotes ?

Cela varie - parfois le pilote ne le prend pas en charge, et parfois le micrologiciel de l'appareil lui-même ne le permet pas.

Pourquoi est-il nécessaire de créer une autre interface ?

C'est ainsi que le nl80211 est architecturé. Il est pourrait Cependant, il est possible de faire passer une interface gérée en mode moniteur.

Existe-t-il un parallèle avec une interface internet recevant du trafic d'un concentrateur ? Les paquets sont-ils "pré-filtrés" dans cette configuration ?

Oui, c'est un peu la même chose. Le Wi-Fi et l'Ethernet en concentrateur sont tous deux moyen partagé tous les hôtes reçoivent tout et jettent ce qu'ils ne veulent pas.

[Q]uel est l'intérêt de la case à cocher 'promiscuous mode' dans wireshark si tout le travail est fait à un niveau inférieur ?

Voir ci-dessus - il s'agit d'un paramètre beaucoup plus ancien qui peut encore être utile pour Ethernet ou d'autres types de connexion.

Répondu el 23 de Février, 2017 par James Mertz (390 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X