wireshark - eig. wlan - kein fremder verkehr

Q

queroben

0
Hallo,
bin neu hier, hoffe ich hab das richtige Subforum erwischt. Ich interessiere mich vor allem aus politischer Perspektive für Datenschutz, und möchte aus Neugier/Spielfreude selbst nachzuvollziehen, wie schwer/einfach das belauschen von WLANs ist. Es geht mir nicht darum, an irgendwelche Passwörter zu kommen.

Also:

Aktuelles LinuxMint (gnome) mit Wireshark und etherape ist auf einem IBM Thinkpad Laptop installiert. Der Laptop befindet sich in einem WLAN mit WEP key (ja, ich weiss...), den ich kenne. Im gleichen Netz sind noch mehrere andere Computer, die über einen Router Internetzugriff haben.

Mit Wireshark bin ich inzwischen soweit gekommen, dass ich meinen eigenen Traffic lesen kann. Von den anderen Rechnern sehe ich zwar auch Aktivität, aber nur Sachen in der Art:

203 19zensiert.110 19zensiert.1.255 NBNS Registration NB FREMDER-PC-NAME netbios-ns

200 fe80::6zensiert76:35be fzensiert::16 ICMPv6 Multicast Listener Report Message v2


Ich hab mir zwar noch nicht genau durchgelesen was es ist, aber sieht nach Dingen aus, die zwei PCs untereinander austauschen und für den Endnutzer nicht sichtbar ist, richtig?
Ich frage mich, warum ich , wenn ich mit einem der anderen Computer Mails abrufe, auf meinem Laptop keine POP Aktivität angezeigt bekomme. Die gesamte Kommunikation in dem WLAN müsste doch theoretisch sichtbar sein?

Gebe ich in die Konsole "ifconfig" ein, so ist unter anderem unter eth1 zu lesen:
UP BROADCAST RUNNING PROMISC MULTICAST

Promisc scheint also zu funktionieren. "lspci" zeigt mir unter Netzwerkkarte an:
Intel Corporation PRO/Wireless 2200BG [Calexico2] Network Connection


Hat jemand einen Idee, warum ich von anderen Computern zwar Signale, aber keinen "echten" Traffic sehe? Achja, bin ziemlich Newbie, wenn ihr die Antworten so formuliert, dass ich unter dem Stichwort die passenden wiki-einträge leicht finden kannt, hilft mir das sehr :)

gruss quero


P.S: Mit etherape das gleiche - ich sehe vereinzelt Aktivität der anderen PC, aber nur in Form mir bis jetzt großteils unbekannter Protokolle, aber keine TCP Verbindung
 
1. Das Zeug brauchst nicht zensieren das ist link local und nich von belang.
Und ja das ist in der tat Zeug das der Endnutzer nicht sieht. z.b der Multicast join.

Die anderen Rechner haengen die am WLAN oder per Kabel dran ? Wenn ja dann wirst du es nicht am WLAN sehen es sei denn es ist ein broadcast. Die 2 Eintrage die du gezeigt hast sind broad bzw multicasts und werden an alle Rechner im Subnet geflooded. Wenn du allen Traffic sehen willst musst du entweder einen Mirroring am switch/router einrichten oder alles ueber deinen laptop routen. Wenn du traffic sehen willst schick eifnach mal einen ping direkt an den laptop du solltest nun ICMP Echo Requests und Responses im Wireshark sehen.

Ad Promisious: Promiscious heisst lediglich das Pakete die auf dem interface rein kommen an das OS / (IP) Stack weitergereicht werden auch wenn es nicht fuer diesen Host bestimmt is (default behaviour ist Pakete mit destination != host wegschemeissen). Allerdings hilft dir das nur was wenn die Pakete auch bis zum interface kommen was in einem geswitchten Netzwerk nicht der Fall ist da der Switch die Pakete nur auf das interface forwarded an dem das Target sitzt. Ausnahmen: Destination Addresse ist nicht bekannt oder es ist ein broadcast dann "flooded" det Switch es auf allen interfaces raus. Erkennen kannst du einen broadcase im wireshark auf Ethernet ebene daran das die destination mac ff:ff:ff:ff:ff:ff ist auf IP Ebene ist ein broadcast durch die Addresse wo alle host bits 1 sind gekennzeichnet in deinem Beispiel 192.168.1.255 wenn wir von einer Netzmaske von 255.255.255.0 (/24) ausgehen
Darum ist das netbios paket "203 19zensiert.110 19zensiert.1.255 NBNS Registration NB FREMDER-PC-NAME netbios-ns" auch an die Addresse addressiert.
Und wenn du auf den Ethernet header schaust wirst du sehen das das Pakete die destination ff:ff:ff:ff:ff:ff hat.

MFG
 
Zuletzt bearbeitet:
Hallo,

danke schonmal. Ja, habe gerade einen Ping auf einen der anderen Computerim WLAN geschickt, da kann ich sowohl Frage als auch Antwort mitschneiden.

Die anderen PCs sind nicht über Kabel, sondern ebenfalls wireless verbunden. Das Umleiten oder Mirroring macht nur in einem Kabelnetzwerk Sinn, in einem WLAN sollte eigentlich alles auch so an meiner Netwerkkarte vorbeikommen?

Aber wenn ja, warum sehe ich dann nur diese broad/multicasts, aber die anderen Pakete nicht? Hat der WLAN Router die Möglichkeit, auch ohne Kabel die Pakete so zu beschriften, dass sie von meiner Karte nicht angenommen werden? Und wenn ja, wie kann das umgangen werden? (Ich dachte, genau das wäre der Promisc mode)

gruss quero
 
Bei Wlan gibt es eigentlich nur 2 Möglichkeiten, die mir einfallen, die das erklären würden:

1) Die Rechner stehen so weit auseinander, dass die sich gegenseitig nicht mehr sehen, jeweils aber natürlich noch den Router erreichen. In diesem Fall kannst du natürlich die anderen Daten nicht mehr sehen. Halte ich bei deiner Beschreibung aber eher für unwahrscheinlich.

2) Die Karte funktioniert im promiscuous mode nicht korrekt. Bei Google findet man immer wieder Probleme mit dieser Karte.
 
Hi,
die Entfernung ist es sicher nicht, dann ist es wohl Möglichkeit nr. 2 . Hab ein wenig gegoogelt, da sieht man tatsächlich einiges zu dem Thema. Der monitor mode scheint bei mir merkwürdigerweise korrekt zu funktionieren (mit airdump getestet).

Nagut, hätte es zwar gerne mal life gesehen, aber anhand meiner eigenen Daten hab ich jetzt immerhin eine Vorstellung, wie es aussehen sollte. Und dass es nicht allzu schwer ist, wenn keine unerwarteten Hardwareprobleme dazwischenkommen.

danke, quero
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben