Captura de paquets en xarxa local

De Cacauet Wiki
Dreceres ràpides: navegació, cerca

Introducció

La eina més coneguda és Wireshark, però n'hi ha moltes més.

Escanejar IPs

Molts cops el què necessitem és cercar tots els dispositius presents a la xarxa. Resumint, les comandes interessants per fer-ho son:

  • sudo arp-scan -l --interface=wlan0
  • arp-scan --localnet
  • nmap -sP 192.168.0.1/24


Ethernet cablejada

Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics hubs enlloc d'un switch. Però la majoria de dispositius actuals actuen com a switch.

Hi ha diversos sistemes de facilitar el poder llegir els paquets d'una xarxa:

  • Utilitzar un hub físic.
  • Utilitzar Wireshark sobre la màquina que volem controlar.
  • TAP (Test Access Point): dispositiu físic que intercepta el trànsit de xarxa.
  • MAC flood: atacar el switch perquè degradi el seu comportament al de hub.

Aquest article aclareix tots aquests conceptes:

https://wiki.wireshark.org/CaptureSetup/Ethernet


Wifi

Malgrat els diversos sistemes de seguretat implementats, és més fàcil intervenir una Wifi. Per fer-ho caldrà:

  1. Posar la nostra interfície de xarxa en mode monitor
    1. Desactiva el network-manager
    2. Configura la wlan amb l'arxiu /etc/network/interfaces
      https://askubuntu.com/questions/168687/wireless-configuration-using-etc-network-interfaces-documentation
    3. Passa a mode monitor
      https://ubuntuforums.org/showthread.php?t=1644160
  2. Utilitza Wireshark