tcpdump come sniffer

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
emmexx
Linux 0.x
Linux 0.x
Messaggi: 50
Iscritto il: lun gen 05, 2009 14:37
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: kde

tcpdump come sniffer

Messaggioda emmexx » mar gen 08, 2019 8:23

Descrivo il problema:
vorrei capire se mio figlio quindicenne è in possesso delle credenziali di accesso di uno dei servizi tipo Wow Fi di Fastweb o Vodafone Wifi ed utilizza quelli per connettersi quando il wifi casalingo è bloccato o quando ha terminato i dati disponibili con il suo abbonamento.

Ho usato tcpdump -i wlan0 -I ma mi pare si veda un po' poco traffico rispetto a quel che di solito produce tcpdump.
Quali altri parametri posso aggiungere al comando? Ad esempio sarebbe utile filtrare per ssid in modo da selezionare solo Wow Fi e Vodafone Wifi e per mac address del telefono di mio figlio (se riesco ad individuarlo).

Non mi serve craccare o analizzare il contenuto del traffico, voglio solo sapere se quello sepcifico cellulare si connette ad una di quelle 2 reti wifi. È sufficiente tcpdump o devo per forza installare aircrack-ng o altro?

grazie
maxx

Avatar utente
gigiobagiano
Linux 3.x
Linux 3.x
Messaggi: 530
Iscritto il: dom mar 11, 2007 12:58
Nome Cognome: Filippo
Slackware: 14.2
Kernel: vanilla-4.4.38
Desktop: xfce
Distribuzione: SalixOS
Contatta:

Re: tcpdump come sniffer

Messaggioda gigiobagiano » mar gen 08, 2019 17:38

tcpdump lanciato sul tuo computer guarda cosa fa il tuo pc non il suo cellulare...

emmexx
Linux 0.x
Linux 0.x
Messaggi: 50
Iscritto il: lun gen 05, 2009 14:37
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: kde

Re: tcpdump come sniffer

Messaggioda emmexx » mar gen 08, 2019 18:36

gigiobagiano ha scritto:tcpdump lanciato sul tuo computer guarda cosa fa il tuo pc non il suo cellulare...

?

-I --monitor-mode
Put the interface in "monitor mode"; this is supported only on IEEE 802.11 Wi-Fi interfaces,
and supported only on some operating systems.


Non significa che la scheda wifi viene messa in monitor mode e che tcpdump fa il dump di ciò che arriva alla scheda wifi?

maxx

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 460
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: tcpdump come sniffer

Messaggioda brg » gio gen 10, 2019 13:25

Per prima cosa l'interfaccia wireless deve essere impostata in modalità "monitor", se supportata.

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up

emmexx
Linux 0.x
Linux 0.x
Messaggi: 50
Iscritto il: lun gen 05, 2009 14:37
Slackware: 12.1
Kernel: 2.6.24.5-smp
Desktop: kde

Re: tcpdump come sniffer

Messaggioda emmexx » gio gen 10, 2019 15:41

brg ha scritto:Per prima cosa l'interfaccia wireless deve essere impostata in modalità "monitor", se supportata.

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up

Mi scuso, sono stato un po' troppo stringato nel descrivere i vari comandi.
Prima di lanciare tcpdump imposto la scheda wireless in monitor mode con i comandi da te indicati (anche se online si trova scritto che l'opzione -I di tcpdump dovrebbe fare la stessa cosa ma a me non funziona).

Riepilogando:

Codice: Seleziona tutto

ifconfig wlan0 down
iwconfig wlan0 mode Monitor
ifconfig wlan0 up
tcpdump -i wlan0 -I

Ottengo un output che include sostanzialmente solo righe di tipo Probe Response o Beacon mentre nella documentazione che si trova online sul funzionamento del protocollo 802.11 risulta che dovrebbero esserci anche altri tipi di righe (probe request, authentication, ecc.).
Volevo capire se si tratta di un limite di tcpdump, se serve qualche opzione particolare, se è un limite del driver della mia scheda wireless o un limite della scheda wireless.

grazie
maxx