鉴于下面我的家庭 wifi 设置 (WPA2),我可以看到从内部网络到“Net back”(南北流量)的所有流量。
我在本地网络上使用 wlan0 进行 ssh。我在 Raspberry Pi 上运行 suricata 作为 IDS,并将日志发送到云端。生活很好。
我想查看并记录从内部 wifi client1 到内部 wifi client2 的东西向连接。我的 wifi 路由器不提供该功能。
我得到了另一张 wlan 卡,认为在监控模式下可以解决问题,但我相信除非加入 SSID,否则我将无法解密流量(尝试过 - 除了 tcpdump 中的管理帧外什么都看不到)。
我还尝试了 w/wlan1 混杂模式(在 ifconfig 中确认了 PROMISC),认为它已加入 SSID,因此可以解决问题(然后我会让我的 IDS/suricata 知道 PSK),但我看不到流量除了单播/广播(没有其他 wifi 客户端)。
这是在一个小公寓里,但我的 wifi 客户端(最近的 Androids/Chromebooks)距离 <5 英尺远以进行测试。
RPi 中的 wlan1 卡是 Panda Wireless PAU05。
出于更多的好奇,我注定要在我说我想要的道路上失败吗?
我宁愿这样做是为了充实学术,或者至少了解我为什么会失败。IE 我知道BriarIDS和SweetSecurity。我也不想在高端路由器上花太多钱,想继续修修补补。
> +-------------------+ |
> | | Cable Modem | |
> +----+--------------+ |
> |
> |
> |
> +<------Anonymous Ethernet bridge:Eth0 (No IP)--+
> |
> +-----+
> | |
> | Pi |
> | |XXXXXXXXXXX..Wlan0..Wifi Signal..XXXXXX
> +----++ XX
> | XX
> +<-----------AEB:--Eth1 (No IP)--+ XX
> | XX
> +---+---------------------------+ XXX
> | (DMZ port has the ISP IP) | XXX
> | | XX
> | Wirleless Router -TP Link |XX
> | |
> | (internal ports) |
> +-------------------------------+
> |
> |
> +------------------------+
> | Internal wired pc, etc.|
> +------------------------+
监控模式是您所需要的,但解密其他设备的 WPA2-PSK 流量的能力与加入网络无关。您只需要 PSK(或密码和 SSID,您可以从中导出 PSK)以及目标设备加入网络时的 WPA2 4 次握手。
您还需要嗅探器的无线网卡支持 AP 和目标设备中无线硬件的所有与速度相关的功能。因为如果 AP 和目标设备都使用 802.11ac,而你的嗅探器卡只使用 802.11n 及以下,那么嗅探器将无法观察到 AP 和目标设备使用 802.11ac 特定交换的任何数据包调制和编码方案 (MCSes)。除了受支持的 802.11 速度相关标准 (a/b/g/n/ac) 和受支持的 MCS,您还必须考虑受支持的空间流(1x1、2x2、3x3 等)和受支持的信道宽度 (20/40/80 /160MHz)。