[Résolu] Wireshark (Ethereal) et carte Wi-Fi non reconnue comme telle

[Lertsenem]

Bonjour à tous .

 

Je m'initie en ce moment aux joies de l'écoute réseau, et j'ai donc pour ce faire installé Wireshark, apparemment anciennement connu sous le nom Etheral. Jusqu'ici pas de problème, le logiciel tourne bien et je peux découvrir de mes petits yeux ébahis tout ce qui passe par ma carte réseau quand je lance une recherche Google.

Au fil de tutoriels divers sur cet outil, j'apprends qu'il peut également écouter ce qui se passe en wifi. Aussi je me déconnecte de mon réseau et relance une écoute pour voir un peu ce que ça donne... et là plus rien, pas de trames ni de paquets ni rien du tout (alors que mon réseau est actif au même moment).

 

Voici les données :

 

-Je tourne sous Vista (et j'assume), je lance Wireshark en admin (obligé, sinon il ne détecte pas d'interface).

-D'après un "ipconfig /all" sur la console je dispose de quatre interfaces :

Carte Ethernet Connexion réseau Bluetooth

Carte réseau sans fil Connexion réseau sans fil (Intel® PRO/Wireless 3945ABG Network Connection)

Carte Ethernet Connexion au réseau local (Contrôleur intégré Broadcom 440x 10/100)

Carte Tunnel Connexion au réseau local* (Teredo Tunneling Pseudo-Interface)

 

De ce que j'ai compris : la première correspond à la carte Bluetooth, donc sans intérêt ici, la deuxième est ma carte wifi c'est elle que je sélectionnais dans Wireshark pour écouter le trafic passant sur mon ordi, la troisième est une carte Ethernet, donc filaire si j'ai bien compris (?) qui ne me sert pas puisque je ne suis pas connecté par fil.

Quand à la dernière... ben je ne sais pas ce que c'est :/, si quelqu'un savait et pouvait m'expliquer...

 

-Ces quatre interfaces apparaissent bien dans Wireshark, et celle que je sélectionne est la troisième.

 

-J'ai relevé les problèmes suivants (qui ne sont peut être pas des problèmes, juste des trucs qui me paraissent louches):

Même une fois déconnecté de tout réseau, une adresse ip apparaît à côté des interfaces 2 et 3. J'avais pourtant cru comprendre que l'adresse ip était liée au réseau sur lequel on se trouvait?

Quand je clique sur le bouton "Détails" dans Wireshark à côté de l'interface 2, je constate que l'onglet "802.3 (Ethernet)" est allumé alors que "802.11 (WLAN)" est grisé. C'est pourquoi j'ai l'impression que cette carte n'est pas reconnue comme wifi mais comme Ethernet. Hélas, mes recherches dans ce sens se sont révélées infructueuses.

 

Voilà. Si quelqu'un avait des précisions, des explications ou, encore mieux, des solutions à me proposer, je lui en serais reconnaissant.

 

Merci par avance .

Modifié le 4 avril 2008 par Lertsenem

[Greywolf]

peut-être que le pilote de ton interface wifi n'autorise pas le mode "prosmiscuous" nécessaire à une écoute passive

[KewlCat]

Au fil de tutoriels divers sur cet outil, j'apprends qu'il peut également écouter ce qui se passe en wifi.

Ah bon ? Du coup ça rend le "Wire" de "Wireshark" un peu ... comment dire... obsolète ?

Sémantique mise à part, peux-tu nous filer un lien vers le tuto (que tu as suivi) qui explique comment faire de l'écoute WiFi avec Wireshark ?

 

Aussi je me déconnecte de mon réseau et relance une écoute pour voir un peu ce que ça donne...

Se déconnecter du réseau pour écouter ce qui s'y passe me semble pour le moins étrange, en tout cas avec un outil qui est connu pour faire des "dump" de ce qui passe par l'interface réseau. Alors à moins que Wireshark ne contienne un module qui sache "monter d'un niveau" et écouter ce qui est capté par la carte WiFi (et non pas au niveau IP une fois connecté), je doute que cela fonctionne en mode déconnecté (mais je ne maîtrise pas suffisamment Wireshark pour être catégorique)

[Pang]

...Alors à moins que Wireshark ne contienne un module qui sache "monter d'un niveau" et écouter ce qui est capté par la carte WiFi (et non pas au niveau IP une fois connecté), je doute que cela fonctionne en mode déconnecté (mais je ne maîtrise pas suffisamment Wireshark pour être catégorique)

+1

 

Au fil de tutoriels divers sur cet outil, j'apprends qu'il peut également écouter ce qui se passe en wifi.

Oui, il est capable d'utiliser une carte wifi pour pour sniffer le réseau, si celle ci est connecté...

 

Pour écouter les trames wifi, je ne connais qu'une seule application capable de remplir ce rôle (sous windows), et cette application est chère :

CommView for WiFi

et encore, pas avec toutes les cartes (dépend du chipset).

 

En passant, si quelqu'un connait une application semblable en Freeware, je suis prenneur.

[Lertsenem]

Rebonjour et merci à tous pour vos réponses.

 

Greywolf :

J'ai cherché dans ce sens, et apparemment "les logiciel nécessitant l'utilisation du mode promiscuous fonctionnent avec dess cartes Intel". Oui, c'est formulé bizarrement, mais c'était dit comme ça... Donc a priori le problème ne vient pas de là, sauf formulation hasardeuse :].

 

Kewlcat:

Wireshark, malgré son nom, permet bien une utilisation avec une carte wifi (la procédure n'est apparemment pas différente de l'utilisation d'une carte ethernet, je n'ai en tout cas rien suivi de particulier de ce côté là). Tu peux de plus l'utiliser sans craindre le requin :}.

Blague à part, je suis désolé mais je n'arrive pas à remettre la main sur le tuto où j'avais cru comprendre qu'on pouvait écouter un réseau wifi depuis l'extérieur (ce qui ne me semblait pas incohérent, puisque les ondes vont partout après tout, même si les communications sont cryptées...). Merci en tout cas pour l'explication.

 

Pang:

Merci pour la confirmation (ainsi que pour le lien, mais c'est un peu en dehors de mes moyens ).

Cependant l'existence d'un onglet pour rentrer ses clefs wep et wpa pour décryptage (préférences>protocols>IEEE), ce dont parle la publicité faite sur le lien que tu donnes, me laisse un mince espoir... Si tu pouvais le réduire à néant avec une explication je t'en serais reconnaissant :'D.

 

Merci encore une fois à tous.

[Pang]

....

Cependant l'existence d'un onglet pour rentrer ses clefs wep et wpa pour décryptage (préférences>protocols>IEEE), ce dont parle la publicité faite sur le lien que tu donnes, me laisse un mince espoir... Si tu pouvais le réduire à néant avec une explication je t'en serais reconnaissant :'D.

L'application est capable d'écouter toutes les couches TCP/IP. Effectivement si l'on possède la clef, il est possible de décrypter le contenu des paquets...

http://www.tamos.com/htmlhelp/commview/int/fr/index.html

Ces deux applications n'ont pas le même rôle.

 

Je crois qu'il y a beaucoup plus à apprendre de wireshark ne serait ce que par la puissance de ses filtres.

Jettes voir un oeil ici

[Lertsenem]

Je ne te suis pas très bien... si on est sur le réseau, on a déjà entré la clef lors de la connexion et on n'a donc pas besoin de s'en servir dans Wireshark pour décrypter quoi que ce soit (c'est en tout cas mon cas), non?

Je ne comprends donc pas bien à quoi sert cet onglet. J'ai essayé d'y rentrer mes identifiants et je n'ai pas vu de différence, et une recherche sur le net ne m'a pas donné de résultats très probants.

 

En fouillant le site (officiel, ouais, j'avais pas bien regardé la première fois mais on ne se moque pas :/) que tu m'as donné j'ai trouvé quelque passages ici, ici et là, sur le wifi et wireshark, qui ne sont hélas pas achevé et/ou pas très clairs (pour moi en tout cas :/).

 

Je suis déjà passé sur ton premier lien, mais merci quand même. Effectivement, à ce que j'ai cru comprendre ce sont les filtres qui font la puissance de Wireshark.

[POLAURENT]

Bonjour,

 

Comme c'est professionnellement mon domaine ( le WIFI ) , je vais essayer de vous éclairer .

 

Wireshark , précédemment dénommé "Ethereal", marque malheureusement déposée , est à la base un outil de capture de trames sur réseau cablé.

 

il ne fonctionne pas tout seul , mais utilise un module développé par l'institut polytechnique italien ( polito.it ) dénommé Winpcap.

 

ce module installé en bas niveau permet d'accéder au réseau filaire au niveau le + bas possible , donc d'intercepter tous les paquets transitant sur le réseau 10-100-1000 base T ( communément appelé Ethernet ) . Ce mode dit "Promiscious" permet de voir "toutes" les trames présentes sur le réseau cablé ( 802.3, Ethernet 2, autres ), avant les couches de niveau supérieurs telles que IP, IPX , etc..

 

Winpcap tire cette possibilité de la standardisation de l'accès à l'interface Physique quel que soit le fabricant du chip réseau.( en général , l'interface Physique (PHY) est séparée de la partie traitement du réseau ( 2 chips différents ou différentiables ).

 

En WIFI (802.11b/g/a), au contraire du réseau cablé , il n'y a pas de séparation dans l'architecture des cartes radio . donc la fonctionnalité d'accès à la couche PHY dépend du fabricant du chipset de la carte ( en clair cela doit être prévu par le fondeur du chip).

 

Winpcap ne peut donc pas " sniffer" le réseau en mode promiscious que si :

-le Chipset le permet ( Atheros , Orinoco , certains chips Intel) , le firmware est de la bonne version

-Le Driver d'origine est remplacé par une version "customisée" basé sur le Chip de la carte radio.

 

- L'écoute d'un réseau Wifi ne peut se faire qu'en mode passif , dans le cas contraire on n'est plus en mode "promiscious" et on ne peut voir que les paquets transitant sur l'ESSID du réseau sur lequel on est connecté et qui nous sont destinés ( hormis les broadcasts ).

 

il faut comprendre que sur un réseau cablé l'accès des différentes cartes réseau fait de manière concurrente CSMA/CD ( toutes les cartes voient toutes les trames ) alors qu'en Wifi le mode est de type évitement (CSMA/CA ) , donc il n'est pas possible de faire la même chose que sur un réseau cablé .

 

 

Pour le sniffing réseaux wifi , deux outils de capture pro-semi pro : Airmagnet laptop analyser , Airopeek de Wildpackets , une version Opensource sous Shell "Dos" :la Suite Aircrack, issue du monde linux -> sait générer des fichiers de capture compatibles WIRESHARK .

 

 

En dernier lieu , je ne pense pas que Vista soit suffisament permissif pour faire du sniffing WIFI , surtout en ce qui concerne la disponibilité des drivers modifiés et autres bricolages . XP s'y prête beaucoup mieux !! , voire un linux pour les puristes .

 

 

Concernant les onglets WEP etc... sur Wireshark : en mode non-promiscious les paquets sont interceptés après décryptage des clés WIFI donc sont en clair , ce n'est pas le cas en mode promiscious puisque les données sont "brutes" , Wrireshark doit connaitre la clé du réseau pour décrypter les données.

Modifié le 3 avril 2008 par POLAURENT

[KewlCat]

Là, moi je dis "Respect" !

[Pang]

Bonjour,

 

Merci de vos précisions. Cependant :

En WIFI (802.11b/g/a), au contraire du réseau cablé , il n'y a pas de séparation dans l'architecture des cartes radio . donc la fonctionnalité d'accès à la couche PHY dépend du fabricant du chipset de la carte ( en clair cela doit être prévu par le fondeur du chip).

 

Winpcap ne peut donc pas " sniffer" le réseau en mode promiscious que si :

-le Chipset le permet ( Atheros , Orinoco , certains chips Intel) , le firmware est de la bonne version

-Le Driver d'origine est remplacé par une version "customisée" basé sur le Chip de la carte radio.

 

J'ai plusieurs cartes wifi (rawlink, atheros, realtek). Aucune n'est capable d'utiliser le mode promiscious.

Peut être connaitriez vous un driver alternatif ???

 

Pouvez vous nous expliquer la différence entre winpcap et Airpcap

car ce n'est pas très clair pour moi.

 

Je pensais que la seule interface wifi capable de fonctionner en Promiscious (wireshark & windows) était celle d'Airpcap.

Suis je dans l'erreur ?