Wireshark - modo promíscuo

Assuntos Gerais
#1

Pessoal, eu fui rodar o [color=blue]Wireshark[/color] aki no meu notebook pra capturar os pacotes da rede, mas minha placa não suporta modo promíscuo.

Então instalei no notebook do meu pai e rodei (lá roda em modo promíscuo).

Fui fazer algumas coisas no meu pc, para ver se o wireshark (no pc do meu pai) visualizaria os pacotes…
Mas não visualizava nada!
Mandei dar tracert pelo cmd em sites, mandei dar ping em IPs, nada aparecia (só as coisas que fazia no própio pc do meu pai)…

Só apareceu pacotes do meu pc, quando dei ping do meu pc pro pc do meu pai, ae o wireshark detectava os pacotes…

Por que será?
A minha placa tem que estar modo promíscuo também, para o outro computador visualisar os pacotes?

[color=red]Ps:[/color] A rede é wireless.

#2

OK… me diga o que isso tem a ver com “Java Avancado” e eu te ajudo :shock:

[]'s

#3

A placa que deve estar em modo promíscuo é a do pc que o wireshark esta rodando…só isso… daí ele pega todos os pacotes que rodam pela sua wireless … todos mesmo… o problema deve estar na configuração do seu wireshark…Obs…todas as placas podem rodar em modo promiscuo…é só configurar direito…

GUJ - Notícias, artigos e o maior fórum brasileiro de “JAVA”

#4

Oi,

Ele só abriu o tópico no local errado, não precisam enxer de críticas. Há muito tempo o fórum deixou de ser só sobre Java. Temos um fórum de “Outras linguagens”, de “Flex e RIA” e de “Ruby”. Também temos o fórum de “Ferramentas e Utilitários”, que é o caso desse aplicativo.

Além disso, nenhum de vocês não pode dizer que ele não esteja estudando a parte de sockets do Java, e o wireshark é uma ferramenta fundamental para quem estuda protocolos. Eu mesmo trabalhei com ele por vários anos.

Pedro, você instalou o winpcap na máquina do seu pai? Você está rodando o wireshark como administrador?

#5

Táááa! Desculpa gente, não fui específico.
Estou usando o JpCap para capturar pacotes (é uma API, que funciona como o wireshark), e aprender um pouco sobro protocolos

[quote=schranko]OK… me diga o que isso tem a ver com “Java Avancado” e eu te ajudo :shock:

[]'s
[/quote]
Agora pode me ajudar??

E viny, sim, instalei o wincap… Aliás, na hora que instala o wireshark, já instala o wincap junto…
Mas não estava rodando como administrador não… Não sabia que fazia diferença… Vou esperar meu pai chegar com o note dele e testar…
Valew ae pela sugestão…

  • Sempre que estiver na rede wireless, com meu pc em modo promíscuo, eu consiguirei capturar os pacotes endereçados a todos os outros computadores da rede? Não tem outra limitação não? É porque eu ouvi algo sobre hub, switch, mas não entendi direito.

Obrigado a todos

#6

Nem sempre, depende muito dos equipamentos das redes internas.

O protocolo Ethernet, por padrão, comunica-se com todos os computadores que estiverem “no mesmo fio”. Quando um computador quer se comunicar, ele joga energia no cabo, sinalizando os bits. As placas de rede que estão ligadas no mesmo fio captam esses sinais e a comunicação ocorre. Claro, há um pequeno protocolo (CSMA/CD) para definir quem é o destinatário do pacote em rede local. Enquanto uma máquina comunica, as outras escutam, e não podem comunicar também.

Se houver duas máquinas comunicando tem uma chance de haver colisão. Isso vai gerar uma tensão muito alta no cabo de rede, e as máquinas então param suas comunicações, sorteiam um número aleatório, e tentam novamente após um intervalo baseado nesse número.

O hub nada mais é que um equipamento que funciona como um “distribuidor”. Cada sinal que entra numa porta, é amplificado e distribuído para todas as outras portas. Assim, ao invés de duas máquinas, você pode ligar 8, 16, etc… O hub não tem qualquer tipo de inteligência.

O que acontece é que quando uma rede local tem muitos computadores, ligados em vários hubs em cascata, ocorrem muitas colisões. Mesmo quando não ocorrem, as máquinas tem que esperar muito tempo, até que o canal esteja livre para a comunicação. Por consequência, a rede interna fica lenta, e cai de eficiência bruscamente.

Para combater esse problema, criaram um outro dispositivo, chamado switch. O switch é capaz de interpretar o protocolo da rede, e descobrir quais são as duas máquinas que se comunicam. Aí, ele cria um canal virtual apenas entre essas duas máquinas, liberando todos os outros cabos de receberem as comunicações. Dessa forma, não existe colisão e a eficiência da rede se mantém muito alta. E, por conseqüência, se sua rede usar um switch no lugar de um hub, você só captará informações com a máquina que você está se comunicando.

Sim, muitas implementações de placa só entram em modo promíscuo com o administrador do sistema.

#7

Na verdade quando vc trabalha em modo promíscuo… sua placa está pegando tudo que aparece… se for wireless, até de outras redes pega também…
Mas é como vc falou…tem que rodar como administrador…senão não funfa…
Já rodei o wireshark no ubuntu…e ele nem chega a rodar nada se não estiver como admin…só abre a interface…

#8

[quote=leopoldof]Na verdade quando vc trabalha em modo promíscuo… sua placa está pegando tudo que aparece… se for wireless, até de outras redes pega também…
Mas é como vc falou…tem que rodar como administrador…senão não funfa…
Já rodei o wireshark no ubuntu…e ele nem chega a rodar nada se não estiver como admin…só abre a interface…[/quote]

Sim, mas com um switch numa rede local o problema é que “tudo que aparece” resume-se apenas aos pacotes das máquinas com as quais você está se comunicando.

#9

He he he…eis o grande problema

Mas se tiver com wireless isso não deve acontecer… ou acontece?

#10

He he he…eis o grande problema

Mas se tiver com wireless isso não deve acontecer… ou acontece?[/quote]
É isso que quero saber…
Na wireless faz diferença??

Vlws ae pela explicação de todos… Entendi bem…
Pra fazer na prática é bom entender toda teoria antes… rs

#11

Não existe um “switch” wireless, até pq a comunicação nem é por um fio.
Agora, sei que algumas placas wireless não tem modo promíscuo, pelo menos, não nos drivers padrão, disbuidos para clientes no site da placa.

#12

[quote=ViniGodoy]Não existe um “switch” wireless, até pq a comunicação nem é por um fio.
Agora, sei que algumas placas wireless não tem modo promíscuo, pelo menos, não nos drivers padrão, disbuidos para clientes no site da placa.[/quote]

Malz ae a demora pra responder, é pq meu pai tava viajando com o note dele ae não deu pra testar…

Então… Eu loguei como Administrador no sistema, liguei o wireshark em modo promíscuo, mas deu a mesma coisa…
Ele só pegava pacotes endereçados ao próprio IP…

Do meu computador eu dei ping em sites, tracert em sites, entrei na internet, em msn, em tudo, mas nunca aparecia o meu ip (192.168.0.102)…
A única vez que apareceu o meu, foi quando dei ping no ip do meu pai (192.168.0.101), ae aparecia ele no Source e no Destination…

Achei estranho, porque é somente rede sem fio, e está ligado em modo promíscuo.
Quando ligo o wireshark em meu computador (que não dá pra ligar em modo promíscuo), e dou ping no computador do meu pai, é a mesma coisa que aparece…

É como se o computador de meu pai não estivesse em modo promíscuo, mas está!

Axei isso no site do wireshark:

Windows
[i]Capturing WLAN traffic on Windows depends on WinPcap and on the underlying network adapters and drivers. Unfortunately, most drivers/adapters support neither monitor mode, nor seeing 802.11 headers when capturing, nor capturing non-data frames.

Promiscuous mode can be set; unfortunately, it’s often crippled. In this mode many drivers don’t supply packets at all, or don’t supply packets sent by the host.

If you experience any problems capturing packets on WLANs, try to switch promiscuous mode off. In this case you will have to capture traffic on the host you’re interested in.

If anybody finds an adapter and driver that do support promiscuous mode, they should mention it at the bottom of this page, for the benefit of other users. [/i]

#13

Vou instalar linux aki no meu pc e testar…

#14

Resolvi fazer outro tópico, pois a dúvida agora é outra:

http://www.guj.com.br/posts/list/0/228040.java#1168663

#15