tcpdump режим монитора на OS X не показывает пакеты других машин

Question

Я использую macbook air с osx 10.8.4, и я хочу обнюхивать пакеты в той же сети Wi-Fi.

Я установил tcpdump, и я могу получить пакеты своей собственной машины. Но я не могу получить пакеты моего iphone, который находится в той же сети Wi-Fi.

Я провел некоторое исследование и обнаружил, что я должен использовать параметр -I для запуска режима мониторинга. Поэтому я пишу команду

sudo tcpdump -In -i en0 host 192.168.1.102 

192.168.1.102 является IP моего Iphone в сети. И после запуска cmd значок wifi на моем компьютере в верхней панели добавляет «глаз» на него.

Но, к сожалению, когда я занимаюсь серфингом в Интернете с помощью своего iphone, tcpdump все еще ничего не показывает. Зачем?

Answer 1

Если вы захват в режиме монитора на защищенную (WEP или WPA/WPA2) сетях:

• фильтров, используемых при съемке, которые применяются выше канальном, такие как host 192.168.1.102, будет не работы, потому что фильтр будет использоваться с зашифрованными пакетами;
• Если программа, считывающая захват, не может расшифровать пакеты, они будут отображаться только как пакеты данных 802.11, а не как, например, пакеты HTTP-over-TCP-over-IP.

tcpdump не поддерживает дешифрование зашифрованных пакетов 802.11. Wireshark делает, но, как указывает the Wireshark "how to decrypt 802.11" page, вам необходимо указать пароль для сети, вы должны либо использовать WEP, либо использовать режим личного/предустановленного ключа WPA/WPA2 (режим WPA/WPA2 Enterprise/802.1X не является поддерживается), и для WPA/WPA2 вы должны иметь для любой машины, чей трафик должен быть расшифрован, начальное рукопожатие EAPOL для машины.