tcpdump am Accesspoint anmelden

Muß man unbedingt, um mit tcpdump einen WLan-Verkehr mitzuschneiden, sich am Accesspoint anmelden, oder gibt es noch eine anere Möglichkeit wenn man das WLan-Passwort hat?
 
Du könntest airdecap verwenden, um den mit tcpdump mitgeschnittenen Netzwerktraffic zu entschlüsseln. Oder du verwendest direkt Wireshark, das auch direkt den Traffic entschlüsseln kann.
 
Ok, habe gerade tshark gegoogelt. Jetzt die Frage: Wenn ich den Netzwerkschlüssel habe, zeichnet das Toll den entschlüsselten Netzverkehr auf, ohne sich am AP anzumelden? Wenn ja, welche Option muß ich von den vielen nehmen?
 
Verstehe ich das richtig, daß ich nur im Nachhinenein entschlüsseln kann?
Also nicht "live" entschlüsseln ohne sich am Router anzumelden.
 
Welchen Vorteil erhoffst du dir denn durch eine "Live"-Entschlüsselung? Die Pakete kannst du im kleinen Konsolenfenster meist eh nicht mitlesen, was der doch hohen Paketfrequenz der meisten Protokolle geschuldet ist.
 
Mich interessiert halt die Technik. Nur wenn man weiß was geht, kann man auch was dagegen tun. Als Hintergrundgedanke: Wenn ich mich am Zugangspunkt anmelde kann ich mit tcpdump direkt alle Daten entschlüsselt abspeichern. Der Angegriffene könnte mich dann aber bemerken. Wenn ich jetzt mit tshark alle Daten im "Klartext" mitschneiden könnte, würde mich der Angegriffene ja auch nicht bemerken. Ich könnte dann in der PCAP-Datei mit einem normalen Editor suchen oder was weiß ich. Als zweites würde ich nur die Daten dieses einen Netzwerkes mitschneiden und nicht die eines anderen, was vll auf dem gleichen Kanal sendet.

Jetzt allen Befürchtungen vorzubeugen: Ich arbeite mit einem, eigens dafür installierten WLAN, kein Fremdwlan oder sonstiges. So nebenbei, ich habe mal versucht von meinem Übungswlan das Passwort zu knacken, ist jetzt wirklich ein einfaches Kennwort, aber halt mit ein paar Sonderzeichen. Nach zwei Tagen habe ich es aufgegeben. So einfach wie anderswo beschrieben, ist es, zumindest für mich, nicht.
 
Mich interessiert halt die Technik. Nur wenn man weiß was geht, kann man auch was dagegen tun. Als Hintergrundgedanke: Wenn ich mich am Zugangspunkt anmelde kann ich mit tcpdump direkt alle Daten entschlüsselt abspeichern. Der Angegriffene könnte mich dann aber bemerken. Wenn ich jetzt mit tshark alle Daten im "Klartext" mitschneiden könnte, würde mich der Angegriffene ja auch nicht bemerken. Ich könnte dann in der PCAP-Datei mit einem normalen Editor suchen oder was weiß ich. Als zweites würde ich nur die Daten dieses einen Netzwerkes mitschneiden und nicht die eines anderen, was vll auf dem gleichen Kanal sendet.

1. Es kommt auf die Verschlüsselung an, ob du überhaupt etwas entschlüsseln kannst. Fremden WEP- oder WPA Personal-verschlüsselten Traffic kannst du mittels PSK entschlüsseln. WPA2 Enterprise nutzt für jeden Client ein eigenen Benutzername/Passwort-Kombination, daher ist ein Angriff hier nicht so einfach möglich.

2. Die Anmeldung am Router hat letzten Endes nichts damit zu tun, ob du verschlüsselten Traffic entschlüsseln kann. Auch, wenn du bei WPA2 Enterprise am Router angemeldet (in dem Sinne, dass du als WLAN-Teilnehmer "angemeldet" bist) bist, kannst du nicht den Traffic von anderen entschlüsseln. Auf dem Router selbst kannst du natürlich jede Art von Traffic mitschneiden, mit etwas Geschick auch TLS/SSL-basierten Traffic. Es spielt also lediglich die Verschlüsselungsmethode eine Rolle.

3. "Live"-Entschlüsselung bringt dir keinen Vorteil, wenn du keine MitM-Angriffe planst (siehe ettercap). Ob du die Daten On-the-Fly entschlüsselst, oder später die PCAP-Datei kurz vor der Analyse, spielt keine Rolle. In der Regel ist die Live-Entschlüsselung eh unangebracht, da zu rechenintensiv, da ja alles in Echtzeit entschlüsselt werden muss.

btw: Niemand interessiert es, ob du in einem privaten, oder in einem fremdes WLAN mithören möchtest, solange du es hier nicht breittritst, dass du Straftaten begehen willst. Niemand kann deine Angaben hier prüfen, daher sind jegliche Beteuerungen Zeitverschwendung. Du kannst mit den Tools Mist bauen, das ist jedem klar. Solange du also nicht explizit sagst, dass du gerade das WLAN deines Schwarms versucht anzugreifen, solange wird man dir hier versuchen zu helfen ;)
 
Zurück
Oben