No describiré en profundidad la estructura de una trama 802.11 pero cabe comentar que se destinan dos bits de la trama para definit 3 grupos (tipos) de paquetes: administración (para la asociación, desasociacion, autenticación...), control (gestion acceso al medio) y datos. Estos a su vez tienen subtipos identificados por 4 bits más ,es decir que por cada tipo tendremos hasta 2⁴ = 16 subtipos.
Generalmente los drivers de las tarjetas inalámbricas transforman el formato de los paquetes 802.11 al formato ethernet (802.3) por lo que no podremos ver la estructura de todos los paquetes WLAN sin intervención. Eso se hace poniendo la tarjeta en modo monitor con lo que seremos capaces de analizar las cabeceras de las tramas 802.11 y con ello no solo de los paquetes de datos, sino también de los paquetes de control y administración.
Desgraciadamente no todas las tarjetas permiten el modo monitor y tampoco todos los sistemas. En Linux tenemos menos problemas y mediante la librería pcap suele poderse.
Winpcap es la versión para windows ya que en éste con sus drivers (NDIS) no soporta el modo monitor de la tarjeta . Wireshark se apoya en lipcap(Linux) o winpcap (windows) para la captura de tráfico. Otra posibilidad es usar los productos Airpcap de cacetech pero no son gratuitos precisamente.
Modo monitor:
Permite ver las tramas 802.11 y deshabilitar los filtros SSID y canal tipicos de la WLAN lo que nos permite capturar tráfico independientemente del SSID y el canal de tráfico.
En el medio inalámbrico al ser emisiones de radio éstas llegan a cualquier máquina dentro de su radio de alcance por lo que se asemejaría a una topología HUB en una red cableada.
Modo promiscuo:
Al igual que en ethernet, deshabilita el filtro MAC y nos pernmite capturar paquetes independientemente de la dirección MAC de destino que lleven. Es decir, la tarjeta no descartará el paquete como haría normalmente si no corresponde con su MAC y lo pasa al sistema para su proceso.
El modo monitor es sólo aplicable a medios inalámbricos mientras que el modo promiscuo es posible en ambos.
En capturas WLAN se hace uso del modo promiscuo para poder monitorizar todo el tráfico de paquetes sin estar asociados a ningún SSID y/o canal en particular.
Sobre la captura, pues similar a la parte ethernet. En este caso como el tráfico no va por un circuito físico no tenemos el problema de la red switcheada y con el modo monitor que nos elimina los filtros de SSID y canal podremos "sniffar" todo el tráfico aéreo.
I.Capturas con Wireshark en una red Ethernet
Winpcap es la versión para windows ya que en éste con sus drivers (NDIS) no soporta el modo monitor de la tarjeta . Wireshark se apoya en lipcap(Linux) o winpcap (windows) para la captura de tráfico. Otra posibilidad es usar los productos Airpcap de cacetech pero no son gratuitos precisamente.
Modo monitor:
Permite ver las tramas 802.11 y deshabilitar los filtros SSID y canal tipicos de la WLAN lo que nos permite capturar tráfico independientemente del SSID y el canal de tráfico.
En el medio inalámbrico al ser emisiones de radio éstas llegan a cualquier máquina dentro de su radio de alcance por lo que se asemejaría a una topología HUB en una red cableada.
Modo promiscuo:
Al igual que en ethernet, deshabilita el filtro MAC y nos pernmite capturar paquetes independientemente de la dirección MAC de destino que lleven. Es decir, la tarjeta no descartará el paquete como haría normalmente si no corresponde con su MAC y lo pasa al sistema para su proceso.
El modo monitor es sólo aplicable a medios inalámbricos mientras que el modo promiscuo es posible en ambos.
En capturas WLAN se hace uso del modo promiscuo para poder monitorizar todo el tráfico de paquetes sin estar asociados a ningún SSID y/o canal en particular.
Sobre la captura, pues similar a la parte ethernet. En este caso como el tráfico no va por un circuito físico no tenemos el problema de la red switcheada y con el modo monitor que nos elimina los filtros de SSID y canal podremos "sniffar" todo el tráfico aéreo.
I.Capturas con Wireshark en una red Ethernet
No hay comentarios:
Publicar un comentario