airsnort und madwifi

ccc · Beitrag von **ccc** » 28.08.2006 15:20:49

hallo

habe auf meinem sarge stable airsnort installiert, aber bekomme follgende Fehlermeldung:

/sbin/wlanctl-ng ath0 lnxreq_wlansniff enable=true channel=3 keepwepflags=false prismheader=false > /dev/null
sh: line 1: /sbin/wlanctl-ng: No such file or directory

wie kann ich das beheben ?

p.s
habe wlan karte mit atheros chipset und habe madwifi treiber installiert

Teddybear · Beitrag von **Teddybear** » 28.08.2006 15:26:02

moin

GANZ einfach.... Airsnort kann mit dem MADWIFI nicht KOMUNIZIEREN..
ALSO auf OTHER einstellen...
Und dann per

Code: Alles auswählen

iwconfig ath0 mode monitor

die WLan Karte in den Monitor modus schalten..

Greetz Sascha

ccc · Beitrag von **ccc** » 28.08.2006 15:30:48

Teddybear hat geschrieben:moin

GANZ einfach.... Airsnort kann mit dem MADWIFI nicht KOMUNIZIEREN..
ALSO auf OTHER einstellen...
Und dann per
Code: Alles auswählen
iwconfig ath0 mode monitor
die WLan Karte in den Monitor modus schalten..

Greetz Sascha

bekomme diese Fehlermeldung:

Code: Alles auswählen

debian:~# iwconfig ath0 mode monitor
Error for wireless request "Set Mode" (8B06) :
    SET failed on device ath0 ; Invalid argument.

neuss · Beitrag von **neuss** » 28.08.2006 15:37:41

Hallo,

Bei dem neuen Madwifi-Treiber ( ich glaube ab 0.9.0 ) must Du einen monitor VAP erstellen. Wie das geht steht in der README bei den Madwifi Sourcen.

gruss neuss

ccc · Beitrag von **ccc** » 28.08.2006 15:49:59

funktioniert irgendwie niecht:

Code: Alles auswählen

Live Monitoring and Writing Raw 802.11 Packets
==============================================
The driver can be used in a live "monitor" mode via the ath0raw
device. To turn on the device you must run the following:

sysctl -w dev.ath0.rawdev=1      # create ath0raw
ifconfig ath0raw up              # start receiving packets on ath0raw

This will create a ath0raw device. You can send packets to the device and 
they will be sent directly to the card, bypassing any state machine.
Finally, you can choose to receive packets on ath0raw in a number of 
different packet formats:

sysctl -w dev.ath0.rawdev_type=0 # normal 802.11 frames (default)
sysctl -w dev.ath0.rawdev_type=1 # prism headers + 802.11
sysctl -w dev.ath0.rawdev_type=2 # radiotap + 802.11

Code: Alles auswählen

debian:~# sysctl -w dev.ath0.rawdev=1
error: 'dev.ath0.rawdev' is an unknown key

neuss · Beitrag von **neuss** » 28.08.2006 15:55:56

README hat geschrieben:To create a monitor VAP, use:

wlanconfig ath1 create wlandev wifi0 wlanmode monitor
ifconfig ath1 up

ccc · Beitrag von **ccc** » 28.08.2006 16:25:47

habe gemacht:

Code: Alles auswählen

debian:~# wlanconfig ath1 create wlandev wifi0 wlanmode monitor
ath1
debian:~# iwconfig ath1 mode monitor
debian:~# ifconfig ath1 up
debian:~# iwconfig ath1
ath1      IEEE 802.11b  ESSID:""
          Mode:Monitor  Channel:0  Access Point: 00:00:00:00:00:00
          Bit Rate:0 kb/s   Tx-Power:16 dBm   Sensitivity=0/3
          Retry:off   RTS thr:off   Fragment thr:off
          Encryption key:off
          Power Management:off
          Link Quality=27/94  Signal level=-68 dBm  Noise level=-95 dBm
          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

habe beim airsnort die network device ath1 und driver type other gewählt,
aber airsnort zeigt gar nichts an, obwohl ich in der näche 3 wireless router habe.

neuss · Beitrag von **neuss** » 28.08.2006 16:31:47

ccc hat geschrieben:debian:~# iwconfig ath1 mode monitor

ist überflüssig, stört aber auch nicht. Ansonsten sieht es gut aus.
Lass airsnort mal als root laufen.

gruss neuss

ccc · Beitrag von **ccc** » 28.08.2006 16:34:20

ich lasse bereits airsnort als root laufen, aber zeigt nichts an.

liegt es vielleicht daran, dass jetzt 2 wlan devices: ath0 und ath1 aktiv sind:

Code: Alles auswählen

debian:~# ifconfig
ath0      Link encap:Ethernet  HWaddr 00:14:6C:31:B2:2A
          inet addr:192.168.210.20  Bcast:192.168.200.255  Mask:255.255.255.0
          inet6 addr: fe80::214:6cff:fe31:b22a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:131 errors:0 dropped:0 overruns:0 frame:0
          TX packets:148 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:114751 (112.0 KiB)  TX bytes:20087 (19.6 KiB)

ath1      Link encap:UNSPEC  HWaddr 06-14-6C-31-B2-2A-30-3A-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:103 errors:0 dropped:0 overruns:0 frame:0
          TX packets:103 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6136 (5.9 KiB)  TX bytes:6136 (5.9 KiB)

wifi0     Link encap:Ethernet  HWaddr 00:14:6C:31:B2:2A
          inet6 addr: fe80::214:6cff:fe31:b22a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3390 errors:0 dropped:0 overruns:0 frame:612
          TX packets:277 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:199
          RX bytes:662160 (646.6 KiB)  TX bytes:33212 (32.4 KiB)
          Interrupt:11 Memory:f8a97000-f8aa7000

neuss · Beitrag von **neuss** » 28.08.2006 16:54:33

ccc hat geschrieben:liegt es vielleicht daran, dass jetzt 2 wlan devices: ath0 und ath1 aktiv sind:

Nein. Das ist ja das Feature mit den VAP's, das man mehrere Interfaces hat.
Bist Du überhaupt auf einem Kanal von einem der Netzwerke, die Du ausspionieren willst?

ccc · Beitrag von **ccc** » 28.08.2006 17:01:52

ath0 mit WPA-PSK kommuniziert auf dem kanal 9 mit meinem wireless router:

Code: Alles auswählen

debian:~# iwconfig ath0
ath0      IEEE 802.11g  ESSID:"myessid"
          Mode:Managed  Frequency:2.452 GHz  Access Point: 00:0F:B5:3B:A8:B1
          Bit Rate:54 Mb/s   Tx-Power:16 dBm   Sensitivity=0/3
          Retry:off   RTS thr:off   Fragment thr:off
          Encryption key:ADB8-F024-CD91-C2D4-707A-B6ED-E18D-7DE2   Security mode:restricted
          Power Management:off
          Link Quality=38/94  Signal level=-57 dBm  Noise level=-95 dBm
          Rx invalid nwid:4906  Rx invalid crypt:0  Rx invalid frag:0
          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

soll ich wpasupplicant abstellen oder spielt keine rolle ?

neuss · Beitrag von **neuss** » 28.08.2006 18:07:27

ccc hat geschrieben:soll ich wpasupplicant abstellen oder spielt keine rolle ?

das sollte keine Rolle spielen.

Ob die VAP's auf verschiedenen Kanälen laufen können weiß ich nicht, bei mir hat es als ich es vor einigen Monaten probiert habe nicht funktioniert.
Must Du einfach mal selbst ausprobieren.
Ich kann es nicht probieren, da ich wieder die alten Madwifi Treiber verwende ( mit den neuen Treibern hatte ich Probleme bei schwachen Netzen ).

gruss neuss

Teddybear · Beitrag von **Teddybear** » 28.08.2006 21:09:04

Nabend,

Also wenn du deine Nachbarschaft durch scannen möchtest, dann installier Aircrack
das tool Airodump (was zu Aircrack gehört) ist in der lage auch die Frequenzen zu scannen, was airsnort mit dem Madwifi nicht kann..

Greetz Sascha

ccc · Beitrag von **ccc** » 30.08.2006 02:36:24

Teddybear hat geschrieben:Nabend,

Also wenn du deine Nachbarschaft durch scannen möchtest, dann installier Aircrack
das tool Airodump (was zu Aircrack gehört) ist in der lage auch die Frequenzen zu scannen, was airsnort mit dem Madwifi nicht kann..

Greetz Sascha

aircrack ist glaube das, was ich brauche

habe mit apt-get installiert,
aber ich vermisse airmon.sh skript

und:

Code: Alles auswählen

airodump ath1 crackdatei 0

funktioniert nicht !

die "0" am schluss bedeutet, dass das ganze Frequenzband gescannt werden soll.

Teddybear · Beitrag von **Teddybear** » 31.08.2006 15:34:33

Moin

was funktioniert denn da nicht, mit airodump??

ccc · Beitrag von **ccc** » 31.08.2006 17:33:21

Code: Alles auswählen

# airodump ath1 crackdatei 0

  airodump 2.1 - (C) 2004 Christophe Devine

  usage: airodump <wifi interface> <output filename> [mac filter]

vermutlich ist die ältere version von aircrack und deshalb versteht "0" nicht.

neuss · Beitrag von **neuss** » 31.08.2006 17:49:20

Hallo,

Du brauchst das neue aircrack-ng .
Es gibt gibt für Sarge einen Backport für aircrack-ng.
Trage das mal in deine /etc/apt/sources.list

Code: Alles auswählen

deb http://aircrack-ng.le-vert.net/debian sarge main

ein.

gruss neuss

Teddybear · Beitrag von **Teddybear** » 31.08.2006 17:57:14

moin

hast du denn auch das device ath1 erstellt bevor du airodump ausführst??
Weil so wie ich diese "fehlermeldung" interpretiere existierte ath1 bei ausführung von airodump nicht..

greetz Sascha

neuss · Beitrag von **neuss** » 31.08.2006 18:04:17

airodump ath1 crackdatei 0

ich glaube das airodump die 0 als Syntaxfehler interpretiert und deshalb usage meldet.
Seinen monitor VAP ( ath1 ) hatte ccc doch erstellt.

gruss neuss

ccc · Beitrag von **ccc** » 31.08.2006 18:08:17

neuss hat geschrieben:
airodump ath1 crackdatei 0
ich glaube das airodump die 0 als Syntaxfehler interpretiert und deshalb usage meldet.
Seinen monitor VAP ( ath1 ) hatte ccc doch erstellt.

gruss neuss

yep, monitor war erstellt !

Teddybear · Beitrag von **Teddybear** » 31.08.2006 18:10:39

neuss hat geschrieben:
airodump ath1 crackdatei 0
ich glaube das airodump die 0 als Syntaxfehler interpretiert und deshalb usage meldet.
Seinen monitor VAP ( ath1 ) hatte ccc doch erstellt.

gruss neuss

Wenn er den Rechner neu gestartet, und das Monitor Device nicht so configuriert hat, das es sich automatisch erstellt, dann ist es erstmal nicht vorhanden..

Code: Alles auswählen

 airodump 2.3 - (C) 2004,2005 Christophe Devine

  usage: airodump <interface name or pcap filename>
                  <output prefix> <channel> [IVs flag]

  Specify 0 as the channel number to hop between b/g channels;
  the channel is ignored if the packet source is a pcap file.

  If the optional IVs flag is set to 1, then only the captured
  unique WEP IVs are saved, so as to save space -- the default
  behaviour is to write the whole packets in libpcap format.

  Examples:

    Capture packets on channel 7: airodump ath0 wlan-dump 7
    Extract IVs from a pcap file: airodump out.cap small 0 1

Also ist das mit der 0 schon ok! Und das ging auch mit den 2.X Versionen..

Greetz Sascha

neuss · Beitrag von **neuss** » 31.08.2006 18:27:34

Nö,

nicht bei allen 2.x Versionen.
bei mir auf jeden Fall nicht, habe es gerade mal mit airodump 2.1 von Sarge probiert.

Wenn ein device nicht existiert kommt:

Code: Alles auswählen

ioctl(SIOCGIFINDEX): No such device

Falls das device nicht im monitor Modus ist:

Code: Alles auswählen

unsupported hardware link type 1
expected ARPHRD_IEEE80211 or ARPHRD_IEEE80211_PRISM
did you put your card in monitor mode ?

und bei falscher Syntax ( z.B. der 0 ):

Code: Alles auswählen

airodump 2.1 - (C) 2004 Christophe Devine

  usage: airodump <wifi interface> <output filename> [mac filter]

Das Channel Hopping scheint also erst in einer späteren Version als 2.1 zu existieren. Bei Teddybear's verwendeter 2.3 ist es ja drin. Die letzte Version ist 2.41, seitdem wird aircrack nicht mehr weiterentwickkelt.
Deshalb ist man, mit dem Nachfolger aircrack-ng sicherlich besser bedient.

gruss neuss