Captura de paquets en xarxa local
Introducció
La eina més coneguda és Wireshark, però n'hi ha moltes més.
Escanejar IPs
Molts cops el què necessitem és cercar tots els dispositius presents a la xarxa. Resumint, les comandes interessants per fer-ho son:
- sudo arp-scan -l --interface=wlan0
- arp-scan --localnet
- nmap -sP 192.168.0.1/24
Ethernet cablejada
Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics hubs enlloc d'un switch. Però la majoria de dispositius actuals actuen com a switch.
Hi ha diversos sistemes de facilitar el poder llegir els paquets d'una xarxa:
- Utilitzar un hub físic.
- Utilitzar Wireshark sobre la màquina que volem controlar.
- TAP (Test Access Point): dispositiu físic que intercepta el trànsit de xarxa.
- MAC flood: atacar el switch perquè degradi el seu comportament al de hub.
Aquest article aclareix tots aquests conceptes:
https://wiki.wireshark.org/CaptureSetup/Ethernet
Wifi
Malgrat els diversos sistemes de seguretat implementats, és més fàcil intervenir una Wifi. Per fer-ho caldrà:
- Posar la nostra interfície de xarxa en mode monitor
- Desactiva el network-manager
- Configura la wlan amb l'arxiu /etc/network/interfaces
- Passa a mode monitor
- Utilitza Wireshark