Warum bekomme ich im WLAN nicht alles mit?

[Liaf]

Hi,
vermutlich habe ich gerade ein riesiges Brett vor dem Kopf und das Thema hat sich schnell erledigt :wink:

Ich wollte schauen ob mein iPhone unter bestimmten Umständen eine Verbindung zum Internet aufbaut.

Mein erster Gedanke war: "Hey, WLAN ist doch wie ein Hub, kann ich nachgucken ob was übertragen wird."

Soweit so gut, habe ich mein iPhone mit dem WLAN verbunden und die mobilen Daten deaktiviert.
Dann habe ich Wireshark auf meinem Notebook gestartet und auf dem WLAN-Interface mitgesnifft, gefiltert auf die IP meines iPhones.

Irgendwie bekam ich aber nichts mit. Also habe ich testweise Websites mit meinem Handy aufgerufen, aber nichts sehen können.

Das WLAN ist WPA2/PSK gesichert und ich bin auch nicht davon ausgegangen etwas Unverschlüsseltes mitlesen zu können, aber doch irgendwie irgendeine Übertragung zu sehen.

Vermutlich sehe ich gerade das Offensichtliche nicht vor mir, daher mag mir vielleicht jemand kurz einen Wink mit dem Zaunpfahl geben

Vielen Dank
Liaf

 

[CDW]

PSK heißt nicht, dass alle Daten im Wlan mit dem gleichen Schlüssel verschlüsselt sind
The twilight of Wi-Fi Protected Access | Pyrit
Oder vereinfacht gesagt: Für jede Verbinung (also für jeden Teilnehmer) wird ein eigener Sessionkey ausgehandelt, mit dem dann auch verschlüsselt wird => "einfach mal sniffen" bringt also erstmal nichts. Die einfachste Option wäre zu schauen, ob der Router irgendwas in Richtung "port mirror"/Weiterleitung bietet.

 

[Liaf]

Vielen Dank für den Link. Ich dachte mir schon, dass es einen clientspezifischen Sessionkey gibt, allerdings hoffte ich auf etwas wie das Diffie-Hellman-Verfahren um den Schlüssel auszutauschen und nicht ein derart transparentes Verfahren.

Nun, ich hatte gehofft, dass ich trotzdem verschlüsselte Nachrichten mitbekomme um zumindest aussagen zu können, ob das iPhone irgendwas übertragen hat.
Dann muss ich mir wohl einen anderen Weg suchen.

Was mich bei dem Link allerdings überrascht hat war, dass WPA2 dort als so unsicher beschrieben wurde.
Ich habe vor einigen Wochen mal selbst versucht mein WLAN zu cracken und musste doch feststellen, dass man sehr viel Glück braucht.
Alleine schon um eine Wordlist mit deutschen Passwörtern zu finden
Wenn dann noch das Passwort keines der 0815-Passwörter ist, musste ich mich zumindest geschlagen geben.
Welch Glück, dass ich es kannte und so die Wordlist kurz ergänzen konnte um zumindest zu sehen, dass der Weg funktioniert

 

[@night@]

Blöde Frage, aber: Hast du den promiscuous-Mode aktiviert? Da mich das Thema auch interessiert hat, habe ich mal etwas dazu recherchiert und das hier gefunden: HowToDecrypt802.11 - The Wireshark Wiki

Ist noch nicht getestet, sieht aber ganz vielversprechend aus.

 

[Liaf]

Ja, hatte ich. Ich hatte sogar zwischendurch den Monitoring Mode an, aber trotzdem nichts mitbekommen.

Der Link von Dir sieht recht interessant aus. Muss ich mir demnächst mal angucken.

Mir ging es jetzt primär nicht darum den genauen Inhalt mitzulesen, sondern herauszufinden, warum ich überhaupt nichts (also auch keine verschlüsselten Pakete) sehe.

 

[@night@]

Also bei mir klappts. Ging aber (logischerweise) auch erst, als ich Wireshark das Passwort+SSID veraten hatte, die Netzwerkkarte im Monitoring Mode war und das Programm die Gelegenheit hatte den 4-Way-Handshake mitzulesen (Kannst du einfach kontrollieren, indem du das Protokoll eapol rausfilterst). Wireshark stürzt aber sehr häufig ab... Weiss jemand womit das zu tun hat?