Descifrando paquetes wireshark(aircrack-ng)

xxxabii · 22-02-2016 17:42:26

Hola,

Estoy haciendo un proyecto para la universidad y el tema es que tengo que capturar los paquetes en la biblioteca. Disponemos de red wifi abierta(al conectarnos nos pide nuestro usuario y contraseña). Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.

¿ Cómo podría obtener toda la información de la red ?

Gracias por vuestro tiempo.

Saludos

kcdtv · 22-02-2016 19:40:16

Buenas tardes xxxabi smile
Bienvenido a wifi-libre wink

Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.

Si usas airodump-ng indicas un fichero en salida para guardar las capturas.

sudo airodump-ng -i <interfaz_en_modo_monitor> --bssid <mac_router_biblio> --channel <canal_router_biblio> -w <fichero_salida_paquetes>

Una vez que has capturado lo que querías, parras airodump-ng y abres el paquete de capturas que has indicado con wireshark(tendrá una extensión *.cap)

xxxabii · 22-02-2016 19:51:53

kcdtv escribió:

Buenas tardes xxxabi
Bienvenido a wifi-libre
Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.
Si usas airodump-ng indicas un fichero en salida para guardar las capturas.
sudo airodump-ng -i <interfaz_en_modo_monitor> --bssid <mac_router_biblio> --channel <canal_router_biblio> -w <fichero_salida_paquetes>
Una vez que has capturado lo que querías, parras airodump-ng y abres el paquete de capturas que has indicado con wireshark(tendrá una extensión *.cap)

Hola, gracias por la bienvenida big_smile .

Utilizo el comando que me dices pero el archivo no me guarda con una extensión .cap si no una extensión .ivs.

No se si me podrías ayudar, ya que no consigo cambiar la extensión.

Gracias por tu tiempo.

kcdtv · 23-02-2016 00:10:17

¿ivs?
Muy extraño.... por defecto es *.cap y los iv's es más bien con cifrado WEP
No pasa nada : puedes precisar el formato usando el opción --output-format pcap en tu linea airodump-ng

--output-format
                  <formats> : Output format. Possible values:
                              pcap, ivs, csv, gps, kismet, netxml

tienes que bien fijar tu canal y usar el filtro bssid con la mac del router de la bilbioteca, sino vas a tener un lio que no verás en tus capturas.
pcap es lo mismo que cap y te lo lee wireshark
Puedes ver las opciones de airodump-ng, aircrack-ng, aireplay-ng etc... haciendo en consola

airodump-ng --help

aircrack-ng --help

etc

xxxabii · 23-02-2016 12:05:10

kcdtv escribió:

¿ivs?
Muy extraño.... por defecto es *.cap y los iv's es más bien con cifrado WEP
No pasa nada : puedes precisar el formato usando el opción --output-format pcap en tu linea airodump-ng
--output-format
                  <formats> : Output format. Possible values:
                              pcap, ivs, csv, gps, kismet, netxml
tienes que bien fijar tu canal y usar el filtro bssid con la mac del router de la bilbioteca, sino vas a tener un lio que no verás en tus capturas.
pcap es lo mismo que cap y te lo lee wireshark
Puedes ver las opciones de airodump-ng, aircrack-ng, aireplay-ng etc... haciendo en consola
airodump-ng --help
aircrack-ng --help
etc

Hola,

Te comento el problema, al poner --output-format pcap me da este error: IVS and PCAP format cannot be used together.

Si lo hago en csv, si que me lo hace pero al abrirlo con el excel solo me aparece la información que tengo en el terminal,es decir, el bssid,el pwr etc. Y lo que quiero ver es el formato de las tramas para poder hacer un estudio..

El comando que utilizo es el siguiente,el que me has dicho tú,vaya jaja: sudo airodump-ng -i mon0 --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturaupna11 --output-format pcap

Un saludo y gracias por tu tiempo

kcdtv · 23-02-2016 17:13:52

No se que versión de aircrack-ng usas... una vieja sin dudas ya que tienes una interfaz mon0 y no wlan0mon.
Empieza por bien actualizar tu suite aircrack-ng y sus dependencias. En este tema doy los pasos a seguir para tener la ultima revisión en corso Instalar aircrack-ng en un linux recién instalado
Luego vuelves a capturar el trafico con airodump-ng.
Sin abrir wireshark o usar wireshark
Debería funcionar, no te hará falta especificar el formato, lo haces así

sudo airodump-ng wlan0mon --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturanueva

Y si puedes copiar y pegar la salida de airodump-ng mientras escaneas para que veamos si no hay un cipher o algo que se nos escapa. .

xxxabii · 23-02-2016 19:54:08

kcdtv escribió:

No se que versión de aircrack-ng usas... una vieja sin dudas ya que tienes una interfaz mon0 y no wlan0mon.
Empieza por bien actualizar tu suite aircrack-ng y sus dependencias. En este tema doy los pasos a seguir para tener la ultima revisión en corso Instalar aircrack-ng en un linux recién instalado
Luego vuelves a capturar el trafico con airodump-ng.
Sin abrir wireshark o usar wireshark
Debería funcionar, no te hará falta especificar el formato, lo haces así
sudo airodump-ng wlan0mon --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturanueva
Y si puedes copiar y pegar la salida de airodump-ng mientras escaneas para que veamos si no hay un cipher o algo que se nos escapa. .

He seguido tus pasos pero se me queda colgado en un instante, lo he comentado en el mismo tema para que fuera mas comodo.

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.

Muchas gracias por tu tiempo.

Un saludo

kcdtv · 23-02-2016 20:28:00

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.

Esto no es un problema en si.
Lo de capturar trafico es algo "físico y estúpido"
Si estas en buenas condiciones de recepción pillas los paquetes que transitan por los aires y los guardas.
Es lo que hace airodump-ng y es lo que guarda en el fichero *.cap
Luego viene el momento de lidiar con estas capturas y analizarlas y es a este momento que viene bien usar el compañero wireshark
Los eventuales problemas llegan a este momento.
Por ejemplo si el portal cautivo para entrar credenciales lleva un sistema de cifrado asimétrico vas efectivamente atener un problema para ver los credenciales en texto plano.
Esto serían un eventual problema relativo a "descifrar paquetes"
Pero primero hay que pillar le trafico correctamente, ya verás luego que sorpresas (o no) te ha reservado tu profe analizando las con wireshark.

xxxabii · 23-02-2016 20:35:23

kcdtv escribió:

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.
Esto no es un problema en si.
Lo de capturar trafico es algo "físico y estúpido"
Si estas en buenas condiciones de recepción pillas los paquetes que transitan por los aires y los guardas.
Es lo que hace airodump-ng y es lo que guarda en el fichero *.cap
Luego viene el momento de lidiar con estas capturas y analizarlas y es a este momento que viene bien usar el compañero wireshark
Los eventuales problemas llegan a este momento.
Por ejemplo si el portal cautivo para entrar credenciales lleva un sistema de cifrado asimétrico vas efectivamente atener un problema para ver los credenciales en texto plano.
Esto serían un eventual problema relativo a "descifrar paquetes"
Pero primero hay que pillar le trafico correctamente, ya verás luego que sorpresas (o no) te ha reservado tu profe analizando las con wireshark.

Perfecto, mañana a la mañana me pasare a capturarlo y a ver si tengo suerte. Intentare colocarme en un sitio estrategico a ver si capturo todo bien.

En cuanto a los problemas que me encontrare luego..ya lo ire comentando y como me va guiando el profesor, así queda guardada toda la info por si en un futuro lo necesita alguien.

Muchas gracias por tu ayuda,de verdad.

xxxabii · 24-02-2016 08:26:19

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:

sudo airmon-ng start wlan0

el error que me sale es este: station mode vif disabled

Después, lanzo el comando airodump y solo me capta los paquetes ARP, ningún paquete http ni nada, y he estado haciendo pruebas conectandome al wifi con el movil y pidiendo diferentes páginas y nada..solo capturo los ARP

un saludo

Ultima edición por xxxabii (24-02-2016 08:58:34)

kcdtv · 24-02-2016 16:30:52

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:

A ver. smile
Eres estudiante : estas acostumbrado a la "metodología universitaria".
Aplica la aquí. wink
Tienes que ir "a la fuente" : es decir la wiki en el sitio de aircrack-ng
Si tienes un problema al activar el mode monitor mirra cuales son los comandos que te dan a ejecutar en la doc oficial de airmon-ng.
Porque si vas allí veras que tienes que hacer primero

airmon-ng check kill

Si no quieres usar "check kill" puedes usar la solución casera wifi-libre : Modificación del fichero NetworkManager.conf para arreglar airmon-ng

Luego tienes que poner aquí los comandos que usas durante tu prueba con el opción "insertar código" y pegar la salida entera en consola usando la misma opción.
Todos.
Asi se hace en los sitios de "informática-programación" etc...
Necesitamos ver la salida de airodump-ng y la de aimron-ng porque lleva información que no proporcionas (chipset, driver, condiciones de recepción/emisión... wink )
Haz las cosas en orden, paso a paso, una vez y bien. Sino vas a dar vueltas big_smile
Hay cosas quen dices que no tienen sentido : ¿como puedes lanzar airodump-ng si no estas en modo monitor?
¿O es que has usado iwconfig o iw dev para pasar en mode monitor?
No estamos a tu lado... presenta correctamente el problema para que podamos solucionarlo.
Si es un problema de captura es facíl de resolver si nos da los elementos para entender la situación.
saludos smile

xxxabii · 24-02-2016 20:16:13

kcdtv escribió:

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:
A ver.
Eres estudiante : estas acostumbrado a la "metodología universitaria".
Aplica la aquí.
Tienes que ir "a la fuente" : es decir la wiki en el sitio de aircrack-ng
Si tienes un problema al activar el mode monitor mirra cuales son los comandos que te dan a ejecutar en la doc oficial de airmon-ng.
Porque si vas allí veras que tienes que hacer primero
airmon-ng check kill
Si no quieres usar "check kill" puedes usar la solución casera wifi-libre : Modificación del fichero NetworkManager.conf para arreglar airmon-ng
Luego tienes que poner aquí los comandos que usas durante tu prueba con el opción "insertar código" y pegar la salida entera en consola usando la misma opción.
Todos.
Asi se hace en los sitios de "informática-programación" etc...
Necesitamos ver la salida de airodump-ng y la de aimron-ng porque lleva información que no proporcionas (chipset, driver, condiciones de recepción/emisión... )
Haz las cosas en orden, paso a paso, una vez y bien. Sino vas a dar vueltas
Hay cosas quen dices que no tienen sentido : ¿como puedes lanzar airodump-ng si no estas en modo monitor?
¿O es que has usado iwconfig o iw dev para pasar en mode monitor?
No estamos a tu lado... presenta correctamente el problema para que podamos solucionarlo.
Si es un problema de captura es facíl de resolver si nos da los elementos para entender la situación.
saludos

Perdona, estaba escribiendo desde el móvil, ya siento que el mensaje estuviera tan mal redactado jeje.

Te comento, todo solucionado. El tema era que la antena del pc no capturaba del todo bien por la ubicación etc. El profesor me ha dejado una tarjeta con puerto usb y he capturado todo muy bien gracias a tú ayuda, gracias de corazón.

Ahora, tengo que utilizar t-shark que al meter el pcap me saque otro pcap pero filtrando solo con los paquetes "GET" y después encontrar un programa que me diga que X ip pertenece a Y maquina(windows,mac..). Parece que esto marcha jeje.

Gracias de nuevo por todo

kcdtv · 24-02-2016 22:39:10

Perdona, estaba escribiendo desde el móvil, ya siento que el mensaje estuviera tan mal redactado jeje.

No pasa nada. big_smile .. ....Generación "pantallas táctiles".... Tod@s encadenad@s durante 5 horas a un pentium 1 con windows 98, para que entendéis un poco por lo que hemos tenido que pasar nosotros los anticuados.

El tema era que la antena del pc no capturaba del todo bien por la ubicación etc. El profesor me ha dejado una tarjeta con puerto usb y he capturado todo muy bien gracias a tú ayuda, gracias de corazón.

Esto lo puedes ver en la salida de airodump-ng en las columnas "PWR" y "RXQ"

El PWR es el nivel de la intensidad de la señal, se mide en decibelios y como se trata de sensibilidad tienes que interpretar los valores así :
0 sería la perfección y -100 es catastróficamente malo.
Digamos que para bien capturar todo el trafico es recomendable si posible no barrar mucho de los -60dBm
El RXQ es la tasa de paquetes correctamente procesados. Los valores se interpretan "nromalamente":
100 es la perfección (100%) y 0 es que no pillas nada

Ahora, tengo que utilizar t-shark que al meter el pcap me saque otro pcap pero filtrando solo con los paquetes "GET" y después encontrar un programa que me diga que X ip pertenece a Y maquina(windows,mac..). Parece que esto marcha jeje.

T-shark es un interprete de ordenes que hacen los de wireshark
plus_un porque así te familiarizas con usar los programas en linea de comando sin necesidad de entorno gratifico y es necesario saber hacer las cosas así si un día te quieres convertir en administrador de redes o de sitio.
Pues... Entonces te deseo una buena pesca con el "tiburón T" wink
¡Hasta la próxima!

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7778	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3812	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63609	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	422	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258647	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 22-02-2016 17:42:26