Сниффинг HTTP трафика WI-Fi БеЗ подключения к сети

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by SergW, 14 Mar 2013.

  1. SergW

    SergW New Member

    Joined:
    12 Mar 2013
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте.
    Везде говорится о сниффинге траффика при подключении к сети, которую снифишь.
    Можно ли снифить сесси пользователей не подключаясь к этим сетям? Например в режиме мониторинга в Backtrack 5 записывать дамп выбранной AP airodump-ng с соответствующими опциями, и последующей расшифровкой этого дампа в случае шифрования wep wpa/wpa2 с помощью команды airdecap (и в wireshark есть такая возможность)
    Сеть для теста была Open. Я попробовал.airodump-ng -c 3 --bssid 00:1C:FF:FF:62:FF -w test.cap mon0. После открытия дампа в wiresharke, ни какого http там не нашлось вообще.
    Может есть какой то ещё вариант без подключения к сети??
     
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,773
    Likes Received:
    12,849
    Reputations:
    352
    Мммм, странно что никто не ответил.
    По теме:
    Не удивительно, что в перехваченном cap файле Вы не нашли никаких http, ведь на то и существует шифрование сети Wi-Fi.
    Но с Airdecap-ng Вы легко сможете расшифровать Cap файл WEP/WPA/WPA2.

    Пользуем её так: Airdecap-ng [options] <pcap files>.
    Опции:
    -l – не удалять заголовок 802.11;
    -b – bssid – фильтрация по MAC-адресу точки доступа;
    -k – pmk – перевод ключа в шестнадцатиричную систему;
    -e – essid – фильтрация по символьному имени точки доступа;
    -p – pass – указывается при расшифровке WPA / WPA2;
    -w – key – указывается при расшифровке WEP.

    Примеры использования:
    1. Открытая сеть
    airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap

    2. сеть с шифрованием WEP
    airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap

    3. сеть с шифрованием WPA/WPA2
    airdecap-ng -e 'the ssid' -p passphrase tkip.cap

    На выходе после расшифровки у нас будет файл -dec.cap, в котором и увидите все Ваши http и т.д.
     
    _________________________
    #2 user100, 2 Jul 2013
    Last edited: 10 Jul 2013
  3. pro100stos

    pro100stos New Member

    Joined:
    5 Aug 2012
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    -p – pass – указывается при расшифровке WPA / WPA2;
    -v – key – указывается при расшифровке WEP.

    То есть для расшифровки нужно знать ключ от этой Wi-Fi сети?
     
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,773
    Likes Received:
    12,849
    Reputations:
    352
    Именно что password / ключ нужно знать. К тому же при расшифровке трафа с шифрованием WPA/WPA2 в cap-файле должен быть handshake.
     
    _________________________
  5. pro100stos

    pro100stos New Member

    Joined:
    5 Aug 2012
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Сканировал эфир ваершарком, определял IP подключений пользователей всех сеток по направлению моего адаптера как то он. Как он это делал без ключа? Или эта инфа с открытых сеток?
     
  6. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,773
    Likes Received:
    12,849
    Reputations:
    352
    В открытых сетках траф не шифруется. В остальных случаях ситуация будет как у ТС.
     
    _________________________
  7. pro100stos

    pro100stos New Member

    Joined:
    5 Aug 2012
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Смысл темы тогда теряет актуальность. Если для расшивки нужен ключ, то намного проще на мой взгляд будет просто подключиться к сетке и снифать нешифрованный трафф, чем ловить , расшифровывать и потом смотреть.
     
  8. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,773
    Likes Received:
    12,849
    Reputations:
    352
    Смысл в этом методе все же есть, например:
    -Не надо светить своё присутствие в прослушиваемой сетке и логах роутера (MAC-адрес, имя компа, лишний IP).
    - Не надо заморачиваться с ARP спуфингом - от которого могут быть лаги с интернетом у законных клиентов.

    - Расшифровка трафа - дело довольно тривиальное, к тому же позволяет лишний раз проверить правильность подобранного пароля .
     
    _________________________
  9. SergW

    SergW New Member

    Joined:
    12 Mar 2013
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Спасибо всем за ответы. Но расшифровать дамп wpa2 записанного airdump-ом расшифровать не удается (может потому что там нет handshake). Я просто дампил в файл, а затем подсовывал в airdecap с правильным ключём, но из кучи мусора получалась ещё одна куча.
    А открытый траффик и так видно(во всяком случае wireshark-ом если дампить)
     
  10. SergW

    SergW New Member

    Joined:
    12 Mar 2013
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    А можно ли "спаять" два шифрованных дампа wpa2 одной точки, но записанные в разное время?? Первый дамп обычный, второй с handshake. Т.е если их объеденить с помощью wireshark получиться дамп с нужной мне инфой который можно будет правильно airdecap-ить
    Проверять эту "гипотезу" особо времени нет, поэтому решил сначала спросить.
     
  11. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    80
    Reputations:
    0
    так а при чём тут хендшейк,ну поймал и что....в хендшейке же не HTTP трафик зашифрован а ключ сети,пасс :) толку в этом смысле от хендшейка?
     
  12. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    80
    Reputations:
    0
    так а там только http будут и всё?внешний ip адрес роутера не проскочит?
     
  13. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    80
    Reputations:
    0
    ты что,сканировал чужую точку,не подключенную к ней и точка тебе все ip показывала,как так?как сделал? :)
     
  14. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    80
    Reputations:
    0
    так если ключ есть,то всё понятно тогда......тут же и спрашивается,если вообще к точке не подключён,ключа нет......просто чужая точка,вот и как увидеть,куда,на какие сайты через эту точку заходят...
     
  15. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    80
    Reputations:
    0
    ну что,не получилось расшифровать?больше никак не пытался?
     
Loading...