Hacking: Monitor Mode

Hacking: Monitor Mode

hvis du laver analyse, har du det problem, at en adapter i standardindstillingen kun accepterer datapakkerne og sender dem videre til analyse, der er adresseret til den. Beslutningskriteriet er MAC-adressen på den trådløse adapter. Men hvis du vil analysere eller endda registrere datatrafikken for alle VLANs, vil du også modtage alle datapakker. For at gøre dette skal du skifte den respektive USB-adapter til skærmtilstand. For at dette skal lykkes, skal den anvendte adapter mestre skærmtilstanden.

  • hacking: den rigtige adapter

den sædvanlige måde at skifte en adapter til skærmtilstand er via kommandoen “airmon-ng” i Aircrack suite. Der er dog konstellationer, hvor denne kommando ikke virker. I dette tilfælde anbefales det at bruge kommandoen “ivconfig”.

Hvad er skærmtilstanden god til?

skærmtilstanden er en driftstilstand for en skærmadapter for at være i stand til at modtage, registrere og analysere enhver datatrafik for alle tilgodehavender (informationsindsamling). Denne driftstilstand er også nødvendig for hacking og pentesting.

opgave

  1. Kontroller, om din adapter understøtter skærmtilstand.
  2. skift adapteren til skærmtilstand.
  3. Afslut Skærmtilstand.

Løsning: Kontroller USB-adapteren

for at kunne kontrollere USB-adapteren skal de trådløse værktøjer installeres.

apt-get install iw

så lad os se på, hvilke USB-adaptere der er tilgængelige i vores system.

iwconfig

adapterne kan genkendes ved hjælp af grænsefladebetegnelsen “vlan0”, “vlan1” eller lignende.
så kontrollerer vi, om en af adapterne kan håndtere skærmtilstanden.

først bestemmer vi de eksisterende grænseflader:

iw dev

derefter bestemmer vi, om den tilsvarende adapter kan håndtere skærmtilstanden:

iw phy0 info | grep monitor

” phy0″ er den fysiske grænseflade, som vi skal bestemme med “IV dev”. Der kan være flere af dem i et system. Så for eksempel også “phy1”, “phy2” osv. Afhængigt af hvilken adapter du vil bruge, skal du vælge grænsefladen.

løsning: Tænd for skærmtilstand med “ip” og “iconfig”

de trådløse værktøjer skal allerede være installeret. Hvis dette er tilfældet, tager du først grænsefladen ud af drift og tænder derefter skærmtilstanden. Adapteren skal starte automatisk.

først skal du tage enheden ud af drift:

ip link set wlan1 down

derefter skifter du det manuelt til skærmtilstand.

iwconfig wlan1 mode monitor

hvis grænsefladen ikke starter automatisk, kan du starte den manuelt.

ip link set wlan1 up

så skal du kontrollere, om adapteren virkelig styrer skærmtilstanden.

iwconfig

linjen med grænsefladebetegnelsen “vlan1” skal sige “Mode:monitor”. Hvis ja, styrer adapteren skærmtilstanden og skifter også til denne tilstand med det samme.

lejlighedsvis sker det, at enheden er blokeret.

rfkill list

problemet her er, at du ikke umiddelbart kan se, hvilken grænseflade det er med denne repræsentation. Indekset er vigtigt. Dette er tallet før tyktarmen (“:”). Det er vigtigt at vælge den rigtige grænseflade og derefter “fjerne blokeringen” af enheden.

rfkill unblock {INDEX}

Alternativt kan du blot “fjerne blokeringen” af alle enheder.

rfkill unblock all

derefter kan du prøve igen at skifte til skærmtilstand.

opløsning: Stenografi notation for kommandolinjen

stenografi notation med” ip ” og ” ifconfig “for grænsefladen “vlan0”:

ip link set wlan0 down && iwconfig wlan0 mode monitor && ip link set wlan0 upifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up

kort notation med” ip ” og ” ifconfig “til grænsefladen “vlan1”:

ip link set wlan1 down && iwconfig wlan1 mode monitor && ip link set wlan1 upifconfig wlan1 down && iwconfig wlan1 mode monitor && ifconfig wlan1 up

kontroller derefter, om grænsefladen er i skærmtilstand.

iwconfig

løsning: Fortryd skærmtilstand med “ip” og “iconfig”

du kan fortryde skærmtilstanden på samme måde.

ip link set wlan1 downiwconfig wlan1 mode managedip link set wlan1 upiwconfig

opløsning: Tænd for skærmtilstand med”airmon-ng”

også her er forudsætningen, at USB-adapteren har mestret skærmtilstand. For at skifte det til skærmtilstand er et værktøj fra Aircrack suite egnet. Dette er en samling af programmer, der gør det muligt at analysere VLANs og udnytte deres sårbarheder.
brug af Aircrack suite kræver normalt root privilegier. Det anbefales ikke at arbejde med “sudo”, men som bruger “root”.

apt-get install aircrack-ng

Aircrack er muligvis allerede installeret. Efter en vellykket installation vil vi se på, om de installerede adaptere også genkendes.

airmon-ng

det er vigtigt at finde ud af, hvilke USB-adaptere der endda findes i eller på dette system. Du skal være i stand til at vælge, hvilken af de listede adaptere, der passer til skærmtilstanden. Hvis kun en vises, bruges denne.

Bemærk: Du kan kun bruge en adapter en gang. Hvis du har brug for en Internet-eller netværksforbindelse parallelt med trådløs hacking, skal du oprette denne forbindelse via Ethernet eller en anden trådløs adapter.

for de følgende trin vælger vi adapteren med grænsefladebetegnelsen “vlan1”. Andre og individuelt konfigurerede systemer kan have flere adaptere og andre betegnelser.

så sætter vi adapteren i skærmtilstand.

airmon-ng start wlan1

som regel vises denne kommando med en fejlmeddelelse som “fundet 5 processer, der kan forårsage problemer.” anerkende. Som regel kan du ikke ignorere dem.

som regel bliver du bedt om at udføre følgende kommando:

airmon-ng check kill

denne kommando sikrer, at” alle ” grænseflader er skudt ned. Hvis du kun har en adapter i systemet, så er det OK. Hvis du stadig har en anden, som du vil beholde en forbindelse til netværket, så hellere ikke.

Bemærk: Hvis du vil holde en anden adapter i drift, kan du også bruge kommandoerne ip/iconfig til at skifte en adapter til skærmtilstand.

nogle gange får du anbefalingen til at udføre følgende kommando:

rfkill unblock wlan1

dette er ikke muligt, fordi kommandoen “rfkill” ikke forventer grænsefladenavnet, men et indeks. Indekset er tallet foran tyktarmen (“:”), som identificerer grænsefladen med kommandoen “rfkill list”.

for eksempel:

rfkill unblock 1

så kan du prøve igen:

airmon-ng start wlan1

derefter kontrollerer vi, om skærmgrænsefladen er oprettet, og hvad det nøjagtige navn er.

airmon-ng

ifconfig

iwconfig

den valgte grænseflade (1) er nu skiftet til skærmtilstand. Dette kan ses af, at vi har fået en ny grænseflade. Afhængigt af Aircrack-versionen er grænsefladen “mon1”, “vlan1mon” eller lignende.

hvis grænsefladen ikke er indstillet til overvågningstilstand, kan adapteren, chipsættet eller driveren ikke gøre dette.

bemærk: en “airmon-ng check kill” vil medføre, at “alle” grænseflader fjernes fra systemet. Hvad du måske vil have med en, men ikke med alle. Af denne grund er metoden med “ip/iconfig” mere egnet til at skifte en USB-adapter til skærmtilstand.

løsning: Afslut skærmtilstand med “airmon-ng”

hvis skærmgrænsefladen ikke længere er nødvendig, skal du afslutte den.

airmon-ng stop wlan1mon

det skal bemærkes, at “vlan0mon” – grænsefladen, der anvendes her, kan have en anden betegnelse på andre systemer. For eksempel “mon0”, “vlan1mon”, “mon1” eller lignende. Hvor præcist kan du finde ud af om “ivconfig”.

fejlfinding

nogle gange undlader du at skifte en adapter til skærmtilstand. Som regel er dette relateret til en netværksadministrator, der er tilbageholdende med at opgive kontrollen over netværksgrænsefladerne.

når du ringer 

airodump-ng wlan1mon

, følgende fejlmeddelelse vises muligvis:

ioctl(SIOCSIWMODE) failed: Device or resource busyARP linktype is set to 1 (Ethernet) - expected ARPHRD_IEEE80211,ARPHRD_IEEE80211_FULL or ARPHRD_IEEE80211_PRISM instead. Makesure RFMON is enabled: run 'airmon-ng start wlan1mon <#>'Sysfs injection support was not found either.

hvad betyder det? Fejlmeddelelsen angiver forskellige fejlkilder. Hvad der præcist er årsagen adskiller sig fra sag til sag. Som regel bruges enheden også af noget andet. For eksempel fra en netværksadministrator.

hvis adapteren ikke kan skiftes i skærmtilstand, kan følgende kommando hjælpe.

airmon-ng check kill

derefter kan du prøve igen at skifte til skærmtilstand.

hvis alt dette ikke hjælper, skal man antage, at den anvendte trådløse adapter muligvis ikke er egnet til, at føreren har en fejl, eller at der er noget galt med det samlede system. Du bør også vide, at ikke alle chipsæt understøtter skærmtilstand. Nogle gange hjælper det bare med at genstarte og prøve igen.

Hvad kan jeg gøre med skærmtilstanden?

brugen af en USB-adapter i skærmtilstand er ekstremt forskelligartet. De spænder fra analyse, informationsindsamling, pentesting eller hacking af VLANs.

  • informationsindsamling med Airodump-ng (VIP/APV/APV2)
  • informationsindsamling med vask
  • trådløs hacking og pentesting
  • trådløs sporing

andre relaterede emner:

  • trådløs hacking: Den rigtige lysnetadapter
  • lyn-analyse med lysnetliste og bølgemon
  • lyn-pentesting med kone

del:

produkt anbefalinger

alt hvad du behøver at vide om netværk.

Netværkstechnik-Fibel

Netværkstechnik-Fibel er en bog om det grundlæggende inden for netværksteknologi, transmissionsteknologi, TCP/IP, tjenester, applikationer og netværkssikkerhed.

det er hvad jeg vil!

alt hvad du behøver at vide om netværk.

Netværkstechnik-Fibel

Netværkstechnik-Fibel er en bog om det grundlæggende inden for netværksteknologi, transmissionsteknologi, TCP/IP, tjenester, applikationer og netværkssikkerhed.

det er hvad jeg vil!

Leave a Reply

Din e-mailadresse vil ikke blive publiceret.