Captura de paquets en xarxa local
Introducció
La captura de paquets en xarxa local pot tenir molts objectius, però els més importants són:
- Monitorització per a la millora dels serveis de xarxa.
- Atacs als usuaris per intervenir informació confidencial.
La eina més coneguda és Wireshark, però n'hi ha moltes més.
Referències:
Escanejar IPs
Molts cops el què necessitem és cercar tots els dispositius presents a la xarxa. Resumint, les comandes interessants per fer-ho son:
- sudo arp-scan -l --interface=wlan0
- arp-scan --localnet
- nmap -sP 192.168.0.1/24
Ethernet cablejada
Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics hubs enlloc d'un switch. Però la majoria de dispositius actuals actuen com a switch.
En principi, si tenim un dispositiu tipus hub, només cal que posem la nostra interfície de xarxa local en mode promiscu perquè capturi tots les paquets que circulen, i Wireshark ens els mostrarà.
Hi ha diversos sistemes de facilitar el poder llegir els paquets d'una xarxa:
- Utilitzar un hub físic.
- Utilitzar Wireshark sobre la màquina que volem controlar.
- TAP (Test Access Point): dispositiu físic que intercepta el trànsit de xarxa.
- MAC flood: atacar el switch perquè degradi el seu comportament al de hub.
Aquest article aclareix tots aquests conceptes:
https://wiki.wireshark.org/CaptureSetup/Ethernet
Wifi
Al contrari que l'antic sistema de seguretat WEP, els actuals com WPA o WPA2 dificulten la possible captura de paquets simulant una comunicació amb switch. És per aquest motiu que el mode promiscu no ens facilitarà res, ja que no serem capaços de desencriptar els paquets que van a un altre host.
Tot i així, podem capturar els paquets de control de la xarxa que no venen protegits (beacon, etc.)
- Posar la nostra interfície de xarxa en mode monitor
- Desactiva el network-manager
- Configura la wlan amb l'arxiu /etc/network/interfaces
- Passa a mode monitor
- Utilitza Wireshark