Sniffer réseau wifi sous Debian

Le Mon, 4 Apr 2011 17:39:59 +0200,
jerome moliere <jerome.moliere@gmail.com> a écrit :

Bonjour à tous,
je ne me convertis pas au piratage mais suite à mon souci
professionnel de dialogue entre un Windows Mobile et un LAN avec
broadcast via adresse de broadcast de service en Classe D je dois
sniffer les datagrammes émis par mon client (Windows Mobile) pour
voir quel time to live est positionné par la stack windows ...
Avez vous déjà fait cela ?
Si j'ai bien compris :
- je dois avoir une carte wifi avec un chipset supportant le mode
promiscuous
- utiliser tshark ou wireshark ou autre
- passer par un interface TAP au dessus de mon interface wlan0
- filtrer ce qui va bien

est ce cela?

merci de votre soutien

Jerome

bonjour,

apt-file search bin/sniff

python-dogtail: /usr/bin/sniff
sniffit: /usr/sbin/sniffit

apt-cache search dsniff

dsniff - Divers outils pour écouter le trafic réseau pour des insécu rités de texte en clair


apt-cache search sniff

arpon - versatile anti ARP poisoning daemon
daemonlogger - simple network packet logger and soft tap daemon
darkstat - network traffic analyzer
dvbsnoop - DVB / MPEG stream analyzer
etherpuppet - create a virtual interface from a remote Ethernet interface
ettercap-gtk - Multipurpose sniffer/interceptor/logger for switched LAN
ettercap - Multipurpose sniffer/interceptor/logger for switched LAN
freeradius-utils - FreeRADIUS client utilities
gssdp-tools - GObject-based library for SSDP (tools)
gvpe - creates a virtual ethernet between multiple endpoints
harden-remoteaudit - Audit your remote systems from this host
hunt - Advanced packet sniffer and connection intrusion
imsniff - Simple program to log Instant Messaging activity on the network
jpnevulator - Serial sniffer
kismet - Wireless 802.11b monitoring tool
libhttp-browserdetect-perl - module to extract system data from an HTTP Us er Agent string
libpam-opie - Use OTPs for PAM authentication
nast - packet sniffer and lan analyzer
netexpect - Network Expect, a framework for manipulating network packets
netsniff-ng - the packet sniffing beast
netwox-doc - documentation for netwox toolbox
netwox - networking utilities
ngrep - grep for network traffic
php-codesniffer - tokenises PHP code and detects violations of a defined s et of coding standards
pylint - python code static checker and UML diagram generator
python-nids - Python binding for libnids (aka pynids)
rkhunter - rootkit, backdoor, sniffer and exploit scanner
python-scapy - Packet generator/sniffer and network scanner/discovery
sigrok - Logic analyzer and protocol decoder software
sipcrack - SIP login dumper/cracker
sniffit - packet sniffer and monitoring tool
sslsniff - SSL/TLS man-in-the-middle attack tool
tcpick - TCP stream sniffer and connection tracker
tcptrack - TCP connection tracker, with states and speeds
vnstat - console-based network traffic monitor
libwiretap-dev - a network packet capture library -- development files
libwiretap0 - a network packet capture library -- shared library
tshark - network traffic analyzer - console version
wireshark-common - network traffic analyzer - common files
wireshark - network traffic analyzer - GTK+ version
vusb-analyzer - tool for visualizing logs of USB packets
kismet-macbook - Wireless 802.11b monitoring tool

slt
bernard


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110404180726.4bfd7259.bernard.schoenacker_free.fr@hamtaro

Le lundi 04 avril 2011 à 17:39 +0200, jerome moliere a écrit :

Bonjour à tous,
je ne me convertis pas au piratage mais suite à mon souci
professionnel de dialogue entre un Windows Mobile et un LAN avec
broadcast via adresse de broadcast de service en Classe D je dois
sniffer les datagrammes émis par mon client (Windows Mobile) pour voir
quel time to live est positionné par la stack windows ...
Avez vous déjà fait cela ?
Si j'ai bien compris :
- je dois avoir une carte wifi avec un chipset supportant le mode
promiscuous
- utiliser tshark ou wireshark ou autre
- passer par un interface TAP au dessus de mon interface wlan0
- filtrer ce qui va bien

est ce cela?

merci de votre soutien

Jerome

Bonjour,

J'y ai déjà goûté pour un iPhone, avec Wireshark. La procédure est
décrite ici :
http://wiki.wireshark.org/HowToDecrypt802.11

Dans mon cas, j'ai dû saisir la clef WPA encodée, c'est à dire l'option
wpa-psk, sinon la détection échouait (pas de décryptage). Tu peux la
générer depuis cette page :
http://www.wireshark.org/tools/wpa-psk.html

Le point important est d'attraper la phase d'association du mobile (les
paquets EAPOL) avec son point d'accès pour que le décryptage réussisse.


Pour ce qui est du paramétrage de l'interface, ça doit dépendre de
celle-ci. Dans mon cas (Intel 5100agn) :

ip link set wlan0 down
iwconfig wlan0 mode monitor
ip link set wlan0 up
Lancer ensuite Wireshark et sélectionner wlan0
Associer le mobile au point d'accès

Si ça a fonctionné, les paquets décodés doivent apparaître au milieu des
beacons et autres. Tu peux ne conserver que les paquets décodés en
saisissant "llc" dans le champ "Filter:".

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1301999647.3388.21.camel@serv.herblain.cdjh.info

--000e0cd29c92f0cb8d04a02a97fa
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'y ai déjà goûté pour un iPhone, avec Wireshark. La procédure est
décrite ici :
http://wiki.wireshark.org/HowToDecrypt802.11

Dans mon cas, j'ai dû saisir la clef WPA encodée, c'est à dire l'option
wpa-psk, sinon la détection échouait (pas de décryptage). Tu peux la
générer depuis cette page :
http://www.wireshark.org/tools/wpa-psk.html

Le point important est d'attraper la phase d'association du mobile (les
paquets EAPOL) avec son point d'accès pour que le décryptage r éussisse.


Pour ce qui est du paramétrage de l'interface, ça doit dép endre de
celle-ci. Dans mon cas (Intel 5100agn) :

ip link set wlan0 down
iwconfig wlan0 mode monitor
ip link set wlan0 up
Lancer ensuite Wireshark et sélectionner wlan0
Associer le mobile au point d'accès

Si ça a fonctionné, les paquets décodés doivent appar aître au milieu des
beacons et autres. Tu peux ne conserver que les paquets décodés en
saisissant "llc" dans le champ "Filter:".

merci christophe pour ces conseils ,je vais tâcher de les suivre....
comment attraper la phase d'association comme tu dis ...

merci encore
jerome
--
J.MOLIERE - Mentor/J
auteur Eyrolles

--000e0cd29c92f0cb8d04a02a97fa
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<br>Bonjour,<br><div class="gmail_quote"><blockquote class="gmail_quote " style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
J&#39;y ai déjà goûté pour un iPhone, avec Wireshark. L a procédure est<br>
décrite ici :<br>
<a href="http://wiki.wireshark.org/HowToDecrypt802.11" target="_blank"> http://wiki.wireshark.org/HowToDecrypt802.11</a><br>
<br>
Dans mon cas, j&#39;ai dû saisir la clef WPA encodée, c&#39;est à dire l&#39;option<br>
wpa-psk, sinon la détection échouait (pas de décryptage). Tu peux la<br>
générer depuis cette page :<br>
<a href="http://www.wireshark.org/tools/wpa-psk.html" target="_blank">h ttp://www.wireshark.org/tools/wpa-psk.html</a><br>
<br>
Le point important est d&#39;attraper la phase d&#39;association du mobile (les<br>
paquets EAPOL) avec son point d&#39;accès pour que le décryptage réussisse.<br>
<br>
<br>
Pour ce qui est du paramétrage de l&#39;interface, ça doit dà ©pendre de<br>
celle-ci. Dans mon cas (Intel 5100agn) :<br>
<br>
ip link set wlan0 down<br>
iwconfig wlan0 mode monitor<br>
ip link set wlan0 up<br>
Lancer ensuite Wireshark et sélectionner wlan0<br>
Associer le mobile au point d&#39;accès<br>
<br>
Si ça a fonctionné, les paquets décodés doivent appara ître au milieu des<br>
beacons et autres. Tu peux ne conserver que les paquets décodés e n<br>
saisissant &quot;llc&quot; dans le champ &quot;Filter:&quot;.<br><br></bloc kquote><div><br></div><div>merci christophe pour ces conseils ,je vais tà ¢cher de les suivre....</div><div>comment attraper la phase d&#39;associa tion comme tu dis ...</div>

<div><br></div><div>merci encore</div><div>jerome </div></div>-- <br>< img src="http://www.eclipsecon.org/2011/static/image/friends/100x100_spea king.gif">J.MOLIERE - Mentor/J<div>auteur Eyrolles<br><div><br></div></div> <br>



--000e0cd29c92f0cb8d04a02a97fa--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/BANLkTimy9vQ9khqr_=yqyim6VjKxXYVZCw@mail.gmail.com

Le mardi 05 avril 2011 à 13:58 +0200, jerome moliere a écrit :

Bonjour,

J'y ai déjà goûté pour un iPhone, avec Wireshark. La procédure
est
décrite ici :
http://wiki.wireshark.org/HowToDecrypt802.11

Dans mon cas, j'ai dû saisir la clef WPA encodée, c'est à dire
l'option
wpa-psk, sinon la détection échouait (pas de décryptage). Tu
peux la
générer depuis cette page :
http://www.wireshark.org/tools/wpa-psk.html

Le point important est d'attraper la phase d'association du
mobile (les
paquets EAPOL) avec son point d'accès pour que le décryptage
réussisse.


Pour ce qui est du paramétrage de l'interface, ça doit
dépendre de
celle-ci. Dans mon cas (Intel 5100agn) :

ip link set wlan0 down
iwconfig wlan0 mode monitor
ip link set wlan0 up
Lancer ensuite Wireshark et sélectionner wlan0
Associer le mobile au point d'accès

Si ça a fonctionné, les paquets décodés doivent apparaître au
milieu des
beacons et autres. Tu peux ne conserver que les paquets
décodés en
saisissant "llc" dans le champ "Filter:".



merci christophe pour ces conseils ,je vais tâcher de les suivre....
comment attraper la phase d'association comme tu dis ...

Il faut que ton mobile se connecte au point d'accès *pendant* que
Wireshark écoute. Il doit y avoir au moins quatre paquets de protocole
EAPOL capturés pour que le décryptage puisse avoir lieu grâce à la clef
que tu as saisi dans les paramètres de Wireshark.

Par exemple, je viens de le faire, et au premier coup il n'a vu qu'un
seul paquet EAPOL, et n'a pas pu comprendre la suite. J'ai déconnecté
puis reconnecté le mobile, et c'est passé (6 paquets en l'occurrence).

Penses bien à filtrer l'affichage avec llc pour ne pas être trop inondé,
tu verras quand même ces paquets EAPOL.

merci encore
jerome
--

De rien !

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1302007877.3388.31.camel@serv.herblain.cdjh.info