tcpdump/wireshark не показывает пакеты в режиме мониторинга

Вопрос или проблема

$ sudo systemctl stop NetworkManager
$ sudo systemctl disable NetworkManager
$ sudo systemctl stop avahi-daemon # Согласно airmon-ng, он мешал интерфейсу
$ sudo systemctl disable avahi-daemon
$ airmon-ng check kill
$ airmon-ng start wlp60s0mon

PHY    Интерфейс    Драйвер       Чипсет
phy0   wlp60s0mon   ath10k_pci   Qualcomm Atheros QCA6174 801.11ac Беспроводной сетевой адаптер (rev 32)
(mac80211 режим мониторинга уже включен для [phy0]wlp60s0mon)

Ответ или решение

Почему tcpdump/Wireshark не показывает пакеты в режиме мониторинга?

Работа с режимом мониторинга Wi-Fi является важной частью анализа сетевого трафика. Однако иногда пользователи сталкиваются с проблемами, когда tcpdump или Wireshark не отображают захваченные пакеты. Давайте рассмотрим основные причины, по которым это может происходить, а также возможные решения.

1. Проверка конфигурации интерфейса

Первоначально вы выполнили верные шаги для включения режима мониторинга. Вы остановили NetworkManager и avahi-daemon, что позволяет избежать конфликтов с другими процессами управления сетевыми интерфейсами. Убедитесь, что интерфейс действительно находится в режиме мониторинга. Для этого вы можете использовать следующую команду:

iw dev wlp60s0mon info

Если вы видите, что режим мониторинга активен, это хороший знак. Если нет, возможно, потребуется вручную переключить интерфейс в этот режим.

2. Ограничения драйвера

Некоторые драйверы могут иметь ограничения по захвату пакетов в режиме мониторинга. Убедитесь, что ваш драйвер ath10k_pci поддерживает режим мониторинга, а также проверьте, есть ли доступные обновления или исправления, которые могут устранить проблемы с его работой.

3. Проблемы с Wireless-модулями

Иногда конфликты с другими модулями ядра могут влиять на захват пакетов. Убедитесь, что:

• Все ненужные модули отключены.
• Метод захвата не требует дополнительных пакетов или библиотек, которые отсутствуют в вашей системе.

Попробуйте использовать airmon-ng для проверки состояния интерфейса перед захватом пакетов:

airmon-ng

4. Отсутствие трафика

Важно понимать, что захват пакетов в режиме мониторинга будет успешным лишь в том случае, если в радиусе действия интерфейса действительно существует трафик. Попробуйте выполнить дополнительные действия для генерации трафика, такие как:

• Подключение других устройств к вашей сети.
• Запуск сетевых приложений на подключенных устройствах.

5. Настройки Wireshark

Если вы видите интерфейс wlp60s0mon в Wireshark, но опция для активации режима мониторинга недоступна, это может быть связано с конфигурацией самого Wireshark. Попробуйте следующее:

• Обновите Wireshark до последней версии.
• Проверьте, что вы запускаете Wireshark с правами суперпользователя (если это необходимо).

Запустите Wireshark через терминал с использованием sudo:

sudo wireshark

6. Перезапуск системы

Если вышеуказанные шаги не помогли, возможно, стоит перезагрузить систему. Простое перезапуск может помочь очистить возможные конфликты, обработать изменения в конфигурации сетевого интерфейса и обеспечить стабильную работу ваших сетевых утилит.

Заключение

Проблемы с отсутствием пакетов в tcpdump и Wireshark в режиме мониторинга могут быть вызваны различными факторами, включая неправильную конфигурацию интерфейса, драйвера, отсутствие трафика и настройки захвата. Следуя приведенным выше рекомендациям, вы сможете диагностировать и устранить проблему. Не забудьте также учитывать физические аспекты сети, такие как расстояние до источников трафика и наличия препятствий, влияющих на качество сигнала.