Linuchs: tshark - Rufe vorbeikommender Smartphones protokollieren

Moin,

ich bin ja nicht so der Netzwerk-Fetischist, aber wenn es um Überwachung geht, bin ich dünnhäutig. Hier ein Video von CC2tv über Smartphones, die sämtliche WLAN-Netznamen, in denen sie schon mal waren, in die Gegend rufen:

youtu.be/QzCAeAayCa0?t=896

Mit dem Kommando tshark kann man diese Rufe der vorbeikommenden Geräte angeblich empfangen und speichern:

sudo tshark -l -i wls3 -f 'type mgt subtype probe-req' \ -T fields -e frame.time -e wlan.sa_resolved \ -e wlan_radio.channel -e radiotap.dbm_antsignal -e wlan.ssid

Das funktioniert auf meinem Ubuntu nicht, diese Meldung kommt:

Running as user "root" and group "root". This could be dangerous. Capturing on 'wls3' tshark: The capture session could not be initiated on interface 'wls3' (No such device exists). Please check that you have the proper interface or pipe specified. 0 packets captured

Was ist wls3 und was könnte ich stattdessen eingeben?

Gruß, Linuchs

  1. Hallo,

    Mit dem Kommando tshark kann man diese Rufe der vorbeikommenden Geräte angeblich empfangen und speichern:

    soweit ich auf die Schnelle rausfinden konnte, scheint tshark quasi die Kommandozeilen-Variante von Wireshark zu sein.

    sudo tshark -l -i wls3 -f 'type mgt subtype probe-req' -T fields -e frame.time -e wlan.sa_resolved -e wlan_radio.channel -e radiotap.dbm_antsignal -e wlan.ssid

    Das funktioniert auf meinem Ubuntu nicht, diese Meldung kommt:

    `Running as user "root" and group "root". This could be dangerous.

    Ein Programm als root auszuführen, birgt immer ein gewisses Risiko, vor allem, wenn man nicht weiß, wozu dieses Programm imstande ist.

    Capturing on 'wls3'
    tshark: The capture session could not be initiated on interface 'wls3' (No such device exists).

    Okay, auf deinem Rechner gibt es also kein Netzwerkinterface wls3. Welche auf deinem System existieren, kriegst du beispielsweise mit ifconfig -a heraus.

    Ciao,
     Martin

    --
    Ein Tag, an dem du nicht wenigstens einmal gelacht hast, ist ein verlorener Tag.
    1. Hallo Martin,

      Okay, auf deinem Rechner gibt es also kein Netzwerkinterface wls3. Welche auf deinem System existieren, kriegst du beispielsweise mit ifconfig -a heraus.

      tshark -D
      1. ciscodump (Cisco remote capture)
      2. randpkt (Random packet generator)
      3. sshdump (SSH remote capture)
      4. udpdump (UDP Listener remote capture)
      

      Welches könnte WLAN sein? Habe WLAN an- und abgeschaltet, aber diese vier bleiben konstant.

      Habe auch Wireshark für die grafische Anzeige installiert.

      1. n'Abend,

        Okay, auf deinem Rechner gibt es also kein Netzwerkinterface wls3. Welche auf deinem System existieren, kriegst du beispielsweise mit ifconfig -a heraus.

        tshark -D
        

        gut, auch 'ne Möglichkeit.

        1. ciscodump (Cisco remote capture)
        2. randpkt (Random packet generator)
        3. sshdump (SSH remote capture)
        4. udpdump (UDP Listener remote capture)
        

        Welches könnte WLAN sein?

        Oh. Hmm. Ähm ...

        Das sieht aus, als ob tshark nur seine eigenen "virtuellen" Interfaces kennt. Die drei mit "remote capture" kann man wohl schon mal ausschließen, und der Random Packet Generator ist vermutlich eher etwas zum Testen von Capture-Setups.
        Ich kenne tshark nicht, und den großen Bruder, der Drahthai, habe ich schon lange nicht mehr benutzt. Aber IIRC installiert der immer einen Capture-Treiber, der an einen physisch vorhandenen Netzwerk-Treiber andockt. Sieht so aus, als ob dem tshark bei dir genau das fehlt.
        Aber ich fürchte, da bin ich mit meinem Latein im Moment am Ende.

        Habe auch Wireshark für die grafische Anzeige installiert.

        Und kannst du damit Live-Traffic am Netzwerkanschluss mitschneiden?

        So long,
         Martin

        --
        Sei n die Anzahl der bekannten Bugs in einem Programm, dann gilt stets: n = n+1
        1. Habe auch Wireshark für die grafische Anzeige installiert.

          Und kannst du damit Live-Traffic am Netzwerkanschluss mitschneiden?

          Nee, der will irgendwelche Angaben ...

  2. Hello,

    das Interface nennt sich typisch z. B. "wlan0".

    Wozu willst Du die SSIDs der WLANs lesen?

    Das Verfahren ist notwendig, damit sich Clients auch an WLANs anmelden können, die ihre SSID nicht mit dem Beacon publizieren. Wozu dieses Versteckspiel notwendig ist, kann ich nicht nachvollziehen. Vermutlich stammt es noch aus einer Zeit, in der man noch WEP für sicher hielt.

    Um die Pakete der (fremden) SSIDs lesen und auswerten zu können, muss die Netzwerkschnittstelle auf promiscous eingestellt werden. Das Programm tut das vermutlich. Das kannst Du aber auch mit wireshark machen oder manuell. Dann kaennst Du auch mit Bordmitteln den Traffic loggen.

    Aber heutzutage sollte spätestens beim Schlüsseltausch nach WPA2 Schluss sein mit der "Kommunikation". Da Du die abgefangenen Eröffnungspakete nicht lesen (dechiffrieren) kannst, kannst Du nicht antworten und es kommt keine Verbindung mit den fremden Mobiles zustande.

    Wenn Du also genauer beschreibst, was Du bezweckst, kann man Dir vermutlich eher helfen.

    Spannender ist es z. B. die IPv6 der Mobiles oder ihre MAC zu loggen. Damit kannst Du in einem verzweigten WLAN-Netz Standortlogging betreiben. Das ist z. B. für ein Spiel ganz lustig. Die Mobiles könnten aber auch die Privacy Extension geladen haben. Dami würfeln sie sich jedes Mal einen neuen Clientanteil zu ihrer IPv6 aus.

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.