Descifrando paquetes wireshark(aircrack-ng) (Pagina 1) / Hacking wireless : los métodos alternativos / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 22-02-2016 17:42:26

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Descifrando paquetes wireshark(aircrack-ng)

Hola,

Estoy haciendo un proyecto para la universidad y el tema es que tengo que capturar los paquetes en la biblioteca. Disponemos de red wifi abierta(al conectarnos nos pide nuestro usuario y contraseña). Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.

¿ Cómo podría obtener toda la información de la red ?

Gracias por vuestro tiempo.

Saludos

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 22-02-2016 19:40:16

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

Buenas tardes xxxabi smile
Bienvenido a wifi-libre wink

Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.

Si usas airodump-ng indicas un fichero en salida para guardar las capturas.

sudo airodump-ng -i <interfaz_en_modo_monitor> --bssid <mac_router_biblio> --channel <canal_router_biblio> -w <fichero_salida_paquetes>

Una vez que has capturado lo que querías, parras airodump-ng y abres el paquete de capturas que has indicado con wireshark(tendrá una extensión *.cap)

Desconectado

#3 22-02-2016 19:51:53

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

kcdtv escribió:

Buenas tardes xxxabi smile
Bienvenido a wifi-libre wink

Lanzo airmon-ng en mi tarjeta de red y después, airodump en mon0. Cuando empieza la escucha, lanzo wireshark en el interfaz mon0. Capturo los paquetes pero quiero ver si son conexiones http y diferentes cosillas, y solo tengo el beacon frame.

Si usas airodump-ng indicas un fichero en salida para guardar las capturas.

sudo airodump-ng -i <interfaz_en_modo_monitor> --bssid <mac_router_biblio> --channel <canal_router_biblio> -w <fichero_salida_paquetes>

Una vez que has capturado lo que querías, parras airodump-ng y abres el paquete de capturas que has indicado con wireshark(tendrá una extensión *.cap)

Hola, gracias por la bienvenida big_smile.

Utilizo el comando que me dices pero el archivo no me guarda con una extensión .cap si no una extensión .ivs.

No se si me podrías ayudar, ya que no consigo cambiar la extensión.

Gracias por tu tiempo.

Desconectado

#4 23-02-2016 00:10:17

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

¿ivs?
Muy extraño.... por defecto es *.cap y los iv's es más bien con cifrado WEP
No pasa nada : puedes precisar el formato usando el opción --output-format pcap en tu linea airodump-ng

--output-format
                  <formats> : Output format. Possible values:
                              pcap, ivs, csv, gps, kismet, netxml

tienes que bien fijar tu canal y usar el filtro bssid con la mac del router de la bilbioteca, sino vas a tener un lio que no verás en tus capturas. 
pcap es lo mismo que cap y te lo lee wireshark
Puedes ver las opciones de airodump-ng, aircrack-ng, aireplay-ng etc... haciendo en consola

airodump-ng --help
aircrack-ng --help

etc

Desconectado

#5 23-02-2016 12:05:10

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

kcdtv escribió:

¿ivs?
Muy extraño.... por defecto es *.cap y los iv's es más bien con cifrado WEP
No pasa nada : puedes precisar el formato usando el opción --output-format pcap en tu linea airodump-ng

--output-format
                  <formats> : Output format. Possible values:
                              pcap, ivs, csv, gps, kismet, netxml

tienes que bien fijar tu canal y usar el filtro bssid con la mac del router de la bilbioteca, sino vas a tener un lio que no verás en tus capturas. 
pcap es lo mismo que cap y te lo lee wireshark
Puedes ver las opciones de airodump-ng, aircrack-ng, aireplay-ng etc... haciendo en consola

airodump-ng --help
aircrack-ng --help

etc

Hola,

Te comento el problema, al poner --output-format pcap me da este error:  IVS and PCAP format cannot be used together.

Si lo hago en csv, si que me lo hace pero al abrirlo con el excel solo me aparece la información que tengo en el terminal,es decir, el bssid,el pwr etc. Y lo que quiero ver es el formato de las tramas para poder hacer un estudio..

El comando que utilizo es el siguiente,el que me has dicho tú,vaya jaja: sudo airodump-ng -i mon0 --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturaupna11 --output-format pcap

Un saludo y gracias por tu tiempo

Desconectado

#6 23-02-2016 17:13:52

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

No se que versión de aircrack-ng usas... una vieja sin dudas ya que tienes una interfaz  mon0 y no wlan0mon.
Empieza por bien actualizar tu suite aircrack-ng y sus dependencias. En este tema doy los pasos a seguir para tener la ultima revisión en corso Instalar aircrack-ng en un linux recién instalado
Luego vuelves a capturar el trafico con airodump-ng.
Sin abrir wireshark o usar wireshark
Debería funcionar, no te hará falta especificar el formato, lo haces así

sudo airodump-ng wlan0mon --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturanueva

Y si puedes copiar y pegar la salida de airodump-ng mientras escaneas para que veamos si no hay un cipher o algo que se nos escapa. .

Desconectado

#7 23-02-2016 19:54:08

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

kcdtv escribió:

No se que versión de aircrack-ng usas... una vieja sin dudas ya que tienes una interfaz  mon0 y no wlan0mon.
Empieza por bien actualizar tu suite aircrack-ng y sus dependencias. En este tema doy los pasos a seguir para tener la ultima revisión en corso Instalar aircrack-ng en un linux recién instalado
Luego vuelves a capturar el trafico con airodump-ng.
Sin abrir wireshark o usar wireshark
Debería funcionar, no te hará falta especificar el formato, lo haces así

sudo airodump-ng wlan0mon --bssid F4:CF:E2:AC:8E:41 --channel 11 -w capturanueva

Y si puedes copiar y pegar la salida de airodump-ng mientras escaneas para que veamos si no hay un cipher o algo que se nos escapa. .

He seguido tus pasos pero se me queda colgado en un instante, lo he comentado en el mismo tema para que fuera mas comodo.

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.

Muchas gracias por tu tiempo.

Un saludo

Desconectado

#8 23-02-2016 20:28:00

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.

Esto no es un problema en si.
Lo de capturar trafico es algo "físico y estúpido"
Si estas en buenas condiciones de recepción pillas los paquetes que transitan por los aires y los guardas.
Es lo que hace airodump-ng y es lo que guarda en el fichero *.cap
Luego viene el momento de lidiar con estas capturas y analizarlas y es a este momento que viene bien usar el compañero wireshark
Los eventuales problemas llegan a este momento.
Por ejemplo si el portal cautivo para entrar credenciales lleva un sistema de cifrado asimétrico vas efectivamente atener un problema para ver los credenciales en texto plano.
  Esto serían un eventual problema relativo a "descifrar paquetes" 
  Pero primero hay que pillar le trafico correctamente, ya verás luego que sorpresas (o no) te ha reservado tu profe analizando las con wireshark.

Desconectado

#9 23-02-2016 20:35:23

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

kcdtv escribió:

Si, cuando lo tenga lo subo. El tema es que cada alumno al conectarnos, nos sale una página de la universidad donde metemos nuestras credenciales y una contraseña dada por la universidad, no se si podria ser un problema porque el profesor me dijo que lo hiciera con esto y que lo sacaria sin problemas.

Esto no es un problema en si.
Lo de capturar trafico es algo "físico y estúpido"
Si estas en buenas condiciones de recepción pillas los paquetes que transitan por los aires y los guardas.
Es lo que hace airodump-ng y es lo que guarda en el fichero *.cap
Luego viene el momento de lidiar con estas capturas y analizarlas y es a este momento que viene bien usar el compañero wireshark
Los eventuales problemas llegan a este momento.
Por ejemplo si el portal cautivo para entrar credenciales lleva un sistema de cifrado asimétrico vas efectivamente atener un problema para ver los credenciales en texto plano.
  Esto serían un eventual problema relativo a "descifrar paquetes" 
  Pero primero hay que pillar le trafico correctamente, ya verás luego que sorpresas (o no) te ha reservado tu profe analizando las con wireshark.

Perfecto, mañana a la mañana me pasare a capturarlo y a ver si tengo suerte. Intentare colocarme en un sitio estrategico a ver si capturo todo bien.

En cuanto a los problemas que me encontrare luego..ya lo ire comentando y como me va guiando el profesor, así queda guardada toda la info por si en un futuro lo necesita alguien.

Muchas gracias por tu ayuda,de verdad.

Desconectado

#10 24-02-2016 08:26:19

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:

sudo airmon-ng start wlan0

el error que me sale es este: station mode vif disabled

Después, lanzo el comando airodump y solo me capta los paquetes ARP, ningún paquete http ni nada, y he estado haciendo pruebas conectandome al wifi con el movil y pidiendo diferentes páginas y nada..solo capturo los ARP

un saludo

Ultima edición por xxxabii (24-02-2016 08:58:34)

Desconectado

#11 24-02-2016 16:30:52

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:

A ver. smile
Eres estudiante : estas acostumbrado a la "metodología universitaria".
Aplica la aquí. wink
Tienes que ir  "a la fuente" : es decir la wiki en el sitio de aircrack-ng
Si tienes un problema al activar el mode monitor mirra cuales son los comandos que te dan a ejecutar en la doc oficial de airmon-ng.
Porque si vas allí veras que tienes que hacer primero

airmon-ng check kill

Si no quieres usar "check kill" puedes usar la solución casera wifi-libre  :     Modificación del fichero NetworkManager.conf para arreglar airmon-ng

   Luego tienes que poner aquí los comandos que usas durante tu prueba con el opción "insertar código" y pegar la salida entera en consola usando la misma opción.
Todos.
  Asi se hace en los sitios de "informática-programación" etc...
Necesitamos ver la salida de airodump-ng y la de aimron-ng porque lleva información que no proporcionas (chipset, driver, condiciones de recepción/emisión... wink )
Haz las cosas en orden, paso a paso, una vez y bien.  Sino vas a dar vueltas big_smile
Hay cosas quen dices que no tienen sentido : ¿como puedes lanzar airodump-ng si no estas en modo monitor?
¿O es que has usado iwconfig o iw dev para pasar en mode monitor?
No estamos a tu lado... presenta correctamente el problema para que podamos solucionarlo.
Si es un problema de captura es facíl de resolver si nos da los elementos para entender la situación.
saludos smile

Desconectado

#12 24-02-2016 20:16:13

xxxabii
Usuario

Registrado: 22-02-2016
Mensajes: 8

Re: Descifrando paquetes wireshark(aircrack-ng)

kcdtv escribió:

Como comente ayer, actualice a la versión mas nueva de aircrack, pero ahora al lanzar airmon-ng en mi tarjeta de red se me desconecta la tarjeta,es decir, se queda como inhabilitada y ni puedo utilizar airodump ni puedo utilizar la conexión internet. Si reinicio el pc todo vuelve a la normalidad pero al lanzar otra vez el comando pasa lo mismo. El comando es el siguiente:

A ver. smile
Eres estudiante : estas acostumbrado a la "metodología universitaria".
Aplica la aquí. wink
Tienes que ir  "a la fuente" : es decir la wiki en el sitio de aircrack-ng
Si tienes un problema al activar el mode monitor mirra cuales son los comandos que te dan a ejecutar en la doc oficial de airmon-ng.
Porque si vas allí veras que tienes que hacer primero

airmon-ng check kill

Si no quieres usar "check kill" puedes usar la solución casera wifi-libre  :     Modificación del fichero NetworkManager.conf para arreglar airmon-ng

   Luego tienes que poner aquí los comandos que usas durante tu prueba con el opción "insertar código" y pegar la salida entera en consola usando la misma opción.
Todos.
  Asi se hace en los sitios de "informática-programación" etc...
Necesitamos ver la salida de airodump-ng y la de aimron-ng porque lleva información que no proporcionas (chipset, driver, condiciones de recepción/emisión... wink )
Haz las cosas en orden, paso a paso, una vez y bien.  Sino vas a dar vueltas big_smile
Hay cosas quen dices que no tienen sentido : ¿como puedes lanzar airodump-ng si no estas en modo monitor?
¿O es que has usado iwconfig o iw dev para pasar en mode monitor?
No estamos a tu lado... presenta correctamente el problema para que podamos solucionarlo.
Si es un problema de captura es facíl de resolver si nos da los elementos para entender la situación.
saludos smile

Perdona, estaba escribiendo desde el móvil, ya siento que el mensaje estuviera tan mal redactado jeje.

Te comento, todo solucionado. El tema era que la antena del pc no capturaba del todo bien por la ubicación etc. El profesor me ha dejado una tarjeta con puerto usb y he capturado todo muy bien gracias a tú ayuda, gracias de corazón.

Ahora, tengo que utilizar t-shark que al meter el pcap me saque otro pcap pero filtrando solo con los paquetes "GET" y después encontrar un programa que me diga que X ip pertenece a Y maquina(windows,mac..). Parece que esto marcha jeje.

Gracias de nuevo por todo

Desconectado

#13 24-02-2016 22:39:10

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Re: Descifrando paquetes wireshark(aircrack-ng)

Perdona, estaba escribiendo desde el móvil, ya siento que el mensaje estuviera tan mal redactado jeje.

  No pasa nada. big_smile ..  ....Generación "pantallas táctiles".... [email protected] [email protected] durante 5 horas a un pentium 1 con windows 98, para que entendéis un poco por lo que hemos tenido que pasar nosotros los anticuados.  big_smile

El tema era que la antena del pc no capturaba del todo bien por la ubicación etc. El profesor me ha dejado una tarjeta con puerto usb y he capturado todo muy bien gracias a tú ayuda, gracias de corazón.

  Esto lo puedes ver en la salida de airodump-ng en las columnas "PWR" y "RXQ"

  1. El PWR es el nivel de la intensidad de la señal, se mide en decibelios y como se trata de sensibilidad tienes que interpretar los valores así :
    0 sería la perfección y -100 es catastróficamente malo.
    Digamos que para bien capturar todo el trafico es recomendable si posible no barrar mucho de los  -60dBm

  2. El RXQ es la tasa de paquetes correctamente procesados. Los valores se interpretan "nromalamente":
    100 es la perfección (100%) y 0 es que no pillas nada

Ahora, tengo que utilizar t-shark que al meter el pcap me saque otro pcap pero filtrando solo con los paquetes "GET" y después encontrar un programa que me diga que X ip pertenece a Y maquina(windows,mac..). Parece que esto marcha jeje.

T-shark es un interprete de ordenes que hacen los de wireshark
plus_un  porque así te familiarizas con usar los programas en linea de comando sin necesidad de entorno gratifico y es necesario saber hacer las cosas así si un día te quieres convertir en administrador de redes o de sitio.
Pues... Entonces te deseo una buena pesca con el "tiburón T" wink
¡Hasta la próxima!

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 1
Invitados conectados: 4

Conectados: Ike

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 615
Número total de mensajes: 4,217

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20