tcpdump come sniffer

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
emmexx
Linux 0.x
Linux 0.x
Messaggi: 94
Iscritto il: lun 5 gen 2009, 14:37
Slackware: current
Kernel: 4.19.75
Desktop: kde

tcpdump come sniffer

Messaggio da emmexx »

Descrivo il problema:
vorrei capire se mio figlio quindicenne è in possesso delle credenziali di accesso di uno dei servizi tipo Wow Fi di Fastweb o Vodafone Wifi ed utilizza quelli per connettersi quando il wifi casalingo è bloccato o quando ha terminato i dati disponibili con il suo abbonamento.

Ho usato tcpdump -i wlan0 -I ma mi pare si veda un po' poco traffico rispetto a quel che di solito produce tcpdump.
Quali altri parametri posso aggiungere al comando? Ad esempio sarebbe utile filtrare per ssid in modo da selezionare solo Wow Fi e Vodafone Wifi e per mac address del telefono di mio figlio (se riesco ad individuarlo).

Non mi serve craccare o analizzare il contenuto del traffico, voglio solo sapere se quello sepcifico cellulare si connette ad una di quelle 2 reti wifi. È sufficiente tcpdump o devo per forza installare aircrack-ng o altro?

grazie
maxx

Avatar utente
gigiobagiano
Linux 3.x
Linux 3.x
Messaggi: 530
Iscritto il: dom 11 mar 2007, 12:58
Nome Cognome: Filippo
Slackware: 14.2
Kernel: vanilla-4.4.38
Desktop: xfce
Distribuzione: SalixOS
Contatta:

Re: tcpdump come sniffer

Messaggio da gigiobagiano »

tcpdump lanciato sul tuo computer guarda cosa fa il tuo pc non il suo cellulare...

emmexx
Linux 0.x
Linux 0.x
Messaggi: 94
Iscritto il: lun 5 gen 2009, 14:37
Slackware: current
Kernel: 4.19.75
Desktop: kde

Re: tcpdump come sniffer

Messaggio da emmexx »

gigiobagiano ha scritto:tcpdump lanciato sul tuo computer guarda cosa fa il tuo pc non il suo cellulare...
?
-I --monitor-mode
Put the interface in "monitor mode"; this is supported only on IEEE 802.11 Wi-Fi interfaces,
and supported only on some operating systems.
Non significa che la scheda wifi viene messa in monitor mode e che tcpdump fa il dump di ciò che arriva alla scheda wifi?

maxx

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: tcpdump come sniffer

Messaggio da brg »

Per prima cosa l'interfaccia wireless deve essere impostata in modalità "monitor", se supportata.

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up

emmexx
Linux 0.x
Linux 0.x
Messaggi: 94
Iscritto il: lun 5 gen 2009, 14:37
Slackware: current
Kernel: 4.19.75
Desktop: kde

Re: tcpdump come sniffer

Messaggio da emmexx »

brg ha scritto:Per prima cosa l'interfaccia wireless deve essere impostata in modalità "monitor", se supportata.

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up
Mi scuso, sono stato un po' troppo stringato nel descrivere i vari comandi.
Prima di lanciare tcpdump imposto la scheda wireless in monitor mode con i comandi da te indicati (anche se online si trova scritto che l'opzione -I di tcpdump dovrebbe fare la stessa cosa ma a me non funziona).

Riepilogando:

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up
tcpdump -i wlan0 -I
Ottengo un output che include sostanzialmente solo righe di tipo Probe Response o Beacon mentre nella documentazione che si trova online sul funzionamento del protocollo 802.11 risulta che dovrebbero esserci anche altri tipi di righe (probe request, authentication, ecc.).
Volevo capire se si tratta di un limite di tcpdump, se serve qualche opzione particolare, se è un limite del driver della mia scheda wireless o un limite della scheda wireless.

grazie
maxx

Rispondi