一个毫无毅力之人的自勉
分类: LINUX
2011-07-19 13:40:10
Promiscuous和Monitor(RFMON)的区别
在传统的有限网络中,我们知道网卡可以工作在两种模式,即普通和混杂模式。在混杂模式(Promiscuous
mode)下面,我们可以直接对以太网内部的流量进行监听。这个时候网卡不会区分流经其的数据包的目标地址是不是本机,一股脑儿的都将其截下供协议栈上层
进行调用查看。这也正是传统的sniffer软件得以存在的一个根本基础。
无线网络和传统的有线以太网相比,有不同也有相似之处。无线局域网的信号传递完全是以无线电的方式进行广播传输的,这也就意味着每个人可以一定的装置来对
无线电讯号进行接收并进行破解。所以无线局域网相对于有线网络来说更加的不安全。按照理论来说,当一个网卡连接到一个已知的无线网络之后,它应该可以和传
统的以太网络一样能设置为混杂模式接受到所有的数据包。因为在无线的环境下所有的无线电讯号都可以被网卡接收,无线ap没有办法扮演一个交换机实现点对点
的限制转发。但实际情况是,目前的驱动貌似还没进行足够的开发来支持这样的混杂模式,至少对于我的IPW4965是如此。
但这并不意味着没有办法对无线流量进行监听。无线网卡有着一个特殊的模式,即监听模式(monitor mode, or RFMON,
Radio Frequence monitor
mode)。上文已经说了所有的数据包都是以无线电信号来传输的,所以在这个模式下面网卡可以接收到所有它能够接收的无线电信号并试图进行解析,而不仅仅
局限于它所连接的无线局域网。这样的模式对于无线局域网的发现机制来说有着根本的作用,也无形的提供了破解无线局域网的工具。一些工具如
KISMET,NetStumbler等可以利用monitor模式来进行发现无线局域网的SSID和破解它的密码。
这样听起来,貌似monitor模式要远甚于promiscuous模式,但是对于无线局域网的软件开发来说,没有promicuous模式是一个很麻烦
的事情。至少我现在还在对这方面进行研究。虽然看到了一点希望,如可以在monitor模式下进行数据包的注入,不过具体的实现还有待发掘。
这有一些好文:
几个网站:
BackTrack:
http://backtrack.offensive-security.com/index.php/HCL:Wireless
无线工具:
aircrack-ng-0.9
Aircrack-ptw-1.0.0
CainV4.8_CN
CommView for WiFi-5.6_EN
Hitchhiker0.4 PPC
NetworkStumbler
AirPcap ex
WildPackets OmniPeek
WinAircrack
WiFiFoFum_2.2.12 PPC
WiFiGraph0.3.RC3 PPC