Wireshark hace uso de las librerías libpcap o winpcap en windows para capturar tráfico de red. Las librerías winpcap no están pensadas para integrarse con tarjetas inalámbricas, por lo que directamente no ofrecen soporte para capturar tráfico WiFi con Wireshark o con otras herramientas cómo Cain & Abel o Elcomsoft Wireless Security Auditor en windows.
Limitaciones de Winpcap y tráfico WiFi con Wireshark
Las limitaciones de captura de paquetes WiFi en Windows dependen de Winpcap y no propiamente de Wireshark. Wireshark sin embargo si incluye soporte de Airpcap, unos adaptadores de red WiFi especiales, y algo caros, cuyos drivers soportan la monitorización de tráfico de red en modo monitor en Windows, que es como se denomina a la captura de tráfico en modo promiscuo en una red WiFi.
Acrylic WiFi incluye un driver de captura de tráfico que hace uso de la tecnología NDIS que captura tráfico de red WiFi en modo monitor en Windows y que permite capturar tráfico WiFi con Wireshark desde Windows Vista, Windows 7, Windows 8 y Windows 8.1. Con este driver podemos dotar, de forma automática, a otros sniffers WiFi de compatibilidad para capturar tráfico de redes inalámbricas en Windows.
Driver NDIS e interfaces WiFi en Wireshark
Para lograr esta integración Acrylic instala una librería propia airpcap.dll en el sistema simulando ser la librería de una tarjeta Airpcap original. Cuando Wireshark carga la librería de airpcap proporcionada por Acrylic del sistema, esta devuelve una lista falsa de tarjetas airpcap instaladas, con una entrada por cada tarjeta WiFi interna o tarjeta WiFi usb instalada.
Aprovechando este método, podemos usar nuestro analizador de red favorito para ver el tráfico WiFi con wireshark. Haciendo doble click sobre la interfaz de red podemos ver las opciones, en donde se puede observar que la interfaz de red WiFi va a mostrar la cabecera radiotap, que incluye información del nivel de señal de los paquetes capturados.
Si hacemos click en el botón “Wireless settings” podemos configurar las opciones avanzadas, como por ejemplo el canal WiFi que queremos monitorizar, y y la comprobación de FCS. El FCS o Frame Check Sequence es una firma de integridad de los paquetes WiFi que permite descartar aquellos corruptos, que se han leido incorrectamente.
Capturando tráfico WiFi con Wireshark en Windows
Resumiendo, tras instalar Acrylic WiFi arrancamos Wireshark como Administrador (pulsando el botón derecho sobre el icono de Wireshark y seleccionando “Ejecutar como Administrador”) y seleccionamos cualquier tarjeta WiFi que aparece con el nombre de interfaz de red NDIS. En nuestro caso la tarjeta WiFi integrada en nuestro equipo DELL (Dell Wireless 1702/b/g/n)
No hay comentarios:
Publicar un comentario