tshark und die bssid

linuxdxs · Okt 26, 2014

Hallo Forum, ich google nun schon etwas länger, aber die Lösung scheint sehr sehr weit entfernt zu sein. Gibt es eine Möglichkeit mit tshark einen Host anhand der bssid bei der Aufzeichnung vorauszuwählen?
ich habe es mit folgendem Ausdruck bereits versucht:

tshark -n -R "wlan.addr == xx:xx:xx:xx:xx:xx" -i wlan1 -w /tmp/test1.pcap

Als Antwort bekomme ich dann:

Atshark: Read filters aren't supported when capturing and saving the captured packets.

Kann mir jmd helfen?

SchwarzeBeere · Okt 27, 2014

Aufgrund von Privilege Seperation ist die gleichzeitige Nutzung von -w und -R nicht möglich, zumindest nicht, wenn du direkt Pakete aufzeichnest (d.h. du nutzt nicht den Parameter -r), siehe hier. Deswegen solltest du entweder alles aufzeichnen und nachträglich filtern (z.B. mittels wlan.bssid), oder pcap-Filter nutzen.

edit:
Im Thread des Bugs stehen noch einige Lösungen drin, wenn man doch -R und -w gleichzeitig nutzen will, z.B. die "manuelle Separierung" via dumpcap und pipes.

linuxdxs · Okt 27, 2014

Müsste doch dann dieser Filter funktionieren.
Schon ein wenig kompliziert die ganze Sache.

Code:

dumpcap -i wlan1 -w - | tshark -r -n -R "wlan.addr == xx:xx:xx:xx:xx:xx" 
-w file.pcap

SchwarzeBeere · Okt 27, 2014

linuxdxs hat gesagt.:
Müsste doch dann dieser Filter funktionieren.
Schon ein wenig kompliziert die ganze Sache.

... ist das jetzt ne Frage?

In deinem Befehl hat sich ein kleiner Fehler versteckt. Probier doch mal folgendes:

Code:

dumpcap -i wlan1 -w - | tshark -r - -n -R "wlan.addr == xx:xx:xx:xx:xx:xx"  -w file.pcap

Ansonsten schneide einfach mal alles mit, verifiziere deinen Mitschnitt und versuche dann deine Filter korrekt zu setzen. "Live" einen Filter zu testen ist in der Regel recht fehleranfällig und zeitaufwändig. Alternativ gibts bei wireshark auch bereits bestehende Dumps, siehe hier (wpa-Dump).

linuxdxs · Okt 28, 2014

Ich habe nun das ganze so gelöst:

sudo tcpdump -i wlan1 -w /tmp/test "ether host xx:xx:xx:xx:xx:xx"

Ich wollte mir mit Wireshark die Datenanschauen, finde aber nicht das Feld in dem ich das Kennwort eingeben muß,damit WS die Daten entschlüsselt. Könntet Ihr mir bitte weiterhelfen? Google konnte es nicht, dort wird nur beschrieben, wie man angeblich iein Kennwort heraus findet.

SchwarzeBeere · Okt 28, 2014

Google -> "wireshark wpa" -> erstes Ergebnis

HowToDecrypt802.11 - The Wireshark Wiki

Ähnliches funktioniert mit tshark übrigens auch, du musst nur statt dem Read Filter einen normalen PCAP Filter angeben, z.B. mittels -f oder am Ende des Befehls.

linuxdxs · Okt 29, 2014

Ich habe es jetzt nach dieser Anleitung versucht. Aber nachdem ich das Kennwort eingegeben habe, belibt alles iwi beim Alten

10 0.921607 Tp-LinkT_b4:d6:2d Broadcast 802.11 183 Beacon frame, SN=1138, FN=0, Flags=........, BI=100, SSID=hallo_du

Müßte sich da nicht das Protokoll von 802.11 nach http ändern?

linuxdxs · Okt 30, 2014

Die letzte Frage hat sich erledigt.