WLAN-Hacking: Monitor Mode
Wenn man WLAN-Analyse betreibt hat man das Problem, dass ein WLAN-Adapter in der Default-Einstellung nur die Datenpakete annimmt und zur Analyse weiterreicht, die an ihn adressiert sind. Das Entscheidungskriterium ist die MAC-Adresse des WLAN-Adapters. Wenn man aber den Datenverkehr aller WLANs analysieren oder sogar aufzeichnen möchte, dann will man auch alle Datenpakete empfangen. Dazu muss man den jeweiligen WLAN-Adapter in den Monitor Mode schalten. Damit das gelingt, muss der verwendete WLAN-Adapter den Monitor Mode beherrschen.
Der übliche Wege, einen WLAN-Adapter in den Monitor Mode zu schalten geht über das Kommando "airmon-ng" der Aircrack-Suite. Allerdings gibt es Konstellationen, bei denen dieses Kommando nicht funktioniert. In dem Fall empfiehlt es sich das Kommando "iwconfig" zu verwenden.
Für was ist der Monitor Mode gut?
Der Monitor Mode ist eine Betriebsart eines WLAN-Adapters, um jeglichen Datenverkehr aller empfangbaren WLANs empfangen, aufzeichnen und analysieren zu können (Information Gathering). Ebenso ist diese Betriebsart fürs WLAN-Hacking und -Pentesting erforderlich.
Aufgabe
- Prüfen Sie, ob ihr WLAN-Adapter den Monitor Mode beherrscht.
- Schalten Sie Ihren WLAN-Adapter in den Monitor Mode.
- Beenden Sie den Monitor Mode.
Lösung: WLAN-Adapter prüfen
Um den WLAN-Adapter prüfen zu können, müssen die Wireless-Tools installiert sein.
apt-get install iw
Dann schauen wir uns erst einmal an, welche WLAN-Adapter in unserem System verfügbar sind.
iwconfig
Die WLAN-Adapter erkennt man an der Interface-Bezeichnung "wlan0", "wlan1" oder ähnlich.
Dann überprüfen wir, ob einer der WLAN-Adapter den Monitor Mode beherrscht.
Zuerst ermitteln wir die vorhandenen WLAN-Schnittstellen:
iw dev
Dann ermitteln wir, ob der entsprechende Adapter den Monitor-Mode beherrscht:
iw phy0 info | grep monitor
"phy0" ist die physikalische Schnittstelle, die wir mit "iw dev" ermitteln müssen. Davon kann es in einem System mehrere geben. Also zum Beispiel auch "phy1", "phy2" usw. Je nach dem, welchen WLAN-Adapter man verwenden möchte, muss man die Schnittstelle wählen.
Lösung: Monitor Mode mit "ip" und "iwconfig" einschalten
Die Wireless-Tools sollten bereits installiert sein. Wenn dem der Fall ist nimmt man zuerst das Interface außer Betrieb und schaltet dann den Monitor Mode ein. Der WLAN-Adapter sollte automatisch in Betrieb gehen.
Zuerst muss man das WLAN-Device außer Betrieb nehmen:
ip link set wlan1 down
Anschließend schaltet man es manuell in den Monitor Mode.
iwconfig wlan1 mode monitor
Wenn das Interface nicht automatisch in Betrieb geht, kann man es manuell starten.
ip link set wlan1 up
Dann sollte man prüfen, ob der WLAN-Adapter wirklich den Monitor Mode beherrscht.
iwconfig
In der Zeile mit der Interface-Bezeichnung "wlan1" sollte "Mode:monitor" stehen. Wenn ja, dann beherrscht der WLAN-Adapter den Monitor Mode und ist auch gleich in diesen Zustand geschaltet.
Gelegentlich kommt es vor, dass das Device blockiert ist.
rfkill list
Das Problem hierbei ist, dass man mit dieser Darstellung nicht auf Anhieb sieht, um welches Interface es sich handelt. Wichtig ist der Index. Das ist die Nummer vor dem Doppelpunkt (":"). Es gilt hier die richtige Schnittstelle zu wählen und anschließend das Device zu "unblocken".
rfkill unblock {INDEX}
Alternativ kann man einfach alle Geräte "unblocken".
rfkill unblock all
Danach kann man noch einmal versuchen, den WLAN-Adapter in den Monitor Mode zu schalten.
Lösung: Kurzschreibweisen für die Kommandozeile
Kurzschreibweise mit "ip" und "ifconfig" für das Interface "wlan0":
ip link set wlan0 down && iwconfig wlan0 mode monitor && ip link set wlan0 up ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up
Kurzschreibweise mit "ip" und "ifconfig" für das Interface "wlan1":
ip link set wlan1 down && iwconfig wlan1 mode monitor && ip link set wlan1 up ifconfig wlan1 down && iwconfig wlan1 mode monitor && ifconfig wlan1 up
Prüfen Sie anschließend, ob das Interface sich im Monitor mode befindet.
iwconfig
Lösung: Monitor Mode mit "ip" und "iwconfig" rückgängig machen
Man kann auf die selbe Weise den Monitor Mode rückgängig machen.
ip link set wlan1 down iwconfig wlan1 mode managed ip link set wlan1 up iwconfig
Lösung: Monitor Mode mit "airmon-ng" einschalten
Auch hier ist die Voraussetzung, dass der WLAN-Adapter den Monitor Mode beherrscht. Um ihn in den Monitor Mode zu schalten eignet sich ein Tool aus der Aircrack-Suite. Das ist eine Sammlung von Programmen, die es ermöglichen, WLANs zu analysieren und deren Schwachstellen auszunutzen.
Die Verwendung der Aircrack-Suite setzt in der Regel Root-Rechte voraus. Es empfiehlt sich nicht mit "sudo", sondern gleich als Benutzer "root" zu arbeiten.
apt-get install aircrack-ng
Gegebenenfalls war Aircrack bereits installiert. Nach erfolgreicher Installation schauen wir uns an, ob die installierten WLAN-Adapter auch erkannt werden.
airmon-ng
Es gilt herauszufinden, welche WLAN-Adapter überhaupt in oder an diesem System existieren. Man sollte in der Lage sein, welchen der aufgelisteten WLAN-Adapter für den Monitor Mode in Frage kommt. Wenn nur einer angezeigt wird, dann verwendet man diesen.
Hinweis: Man kann einen WLAN-Adapter nur ein mal verwenden. Wenn man parallel zum WLAN-Hacking eine Internet- oder Netzwerk-Verbindung braucht, dann muss man diese Verbindung über Ethernet oder einen zweiten WLAN-Adapter herstellen.
Für die folgenden Schritte wählen wir den WLAN-Adapter mit der Interface-Bezeichnung "wlan1". Andere und individuell eingerichtete Systeme haben eventuell mehrere WLAN-Adapter und andere Bezeichnungen.
Dann versetzen wir den WLAN-Adapter in den Monitor Mode.
airmon-ng start wlan1
In der Regel wird dieses Kommando mit einer Fehlermeldung wie "Found 5 processes that could cause trouble." quittiert. Die kann man in der Regel nicht ignorieren.
In der Regel wird man dazu aufgefordert folgendes Kommando auszuführen:
airmon-ng check kill
Dieses Kommando sorgt dafür, dass "alle" WLAN-Schnittstellen abgeschossen werden. Wenn man nur einen WLAN-Adapter im System hat, dann ist das OK. Wenn man noch einen zweiten hat, mit dem man eine Verbindung zum Netzwerk halten will, dann eher nicht.
Hinweis: Wenn man einen zweiten WLAN-Adapter in Betrieb halten will, dann kann man auch die Kommandos ip/iwconfig verwenden, um einen WLAN-Adapter in den Monitor Mode zu schalten.
Manchmal bekommt man die Empfehlung folgendes Kommando auszuführen:
rfkill unblock wlan1
Das gelingt deshalb nicht, weil das Kommando "rfkill" nicht die Interface-Bezeichnung, sondern einen Index erwartet. Der Index ist die Zahl vor dem Doppelpunkt (":"), die das Interface beim Kommando "rfkill list" kennzeichnet.
Beispielsweise so:
rfkill unblock 1
Anschließend kann man es noch einmal versuchen:
airmon-ng start wlan1
Dann prüfen wir, ob das Monitor-Interface eingerichtet wurde und wie die exakte Bezeichnung lautet.
airmon-ng
ifconfig
iwconfig
Das ausgewählte WLAN-Interface (wlan1) wurde jetzt in den Monitor Mode versetzt. Das erkennt man daran, dass wir ein neues Interface bekommen haben. Je nach Aircrack-Version lautet das Interface "mon1", "wlan1mon" oder ähnlich.
Wurde das WLAN-Interface nicht in den Monitor Mode versetzt, dann beherrscht das der WLAN-Adapter, der Chipsatz oder der Treiber nicht.
Hinweis: Ein "airmon-ng check kill" führt dazu, dass "alle" WLAN-Schnittstellen aus dem System gerissen werden. Was will man vielleicht bei einem, aber nicht bei allen. Aus dem Grund eignet sich die Methode mit "ip/iwconfig" besser, um einen WLAN-Adapter in den Monitor Mode zu schalten.
Lösung: Monitor Mode mit "airmon-ng" beenden
Wenn das Monitor-Interface nicht mehr gebraucht wird, dann sollte man es beenden.
airmon-ng stop wlan1mon
Zu beachten ist, dass das hier verwendete Interface "wlan0mon" auf anderen Systemen eine andere Bezeichnung haben kann. Beispielsweise "mon0", "wlan1mon", "mon1" oder ähnlich. Wie genau können Sie über "iwconfig" herausfinden.
Troubleshooting
Manchmal scheitert man daran, einen WLAN-Adapter in den Monitor-Mode zu schalten. In der Regel hängt das mit einem Netzwerk-Manager zusammen, der die Kontrolle der Netzwerk-Schnittstellen nur ungern aus der Hand gibt.
Beim Aufruf von
airodump-ng wlan1mon
erscheint dann vielleicht folgende Fehlermeldung:
ioctl(SIOCSIWMODE) failed: Device or resource busy ARP linktype is set to 1 (Ethernet) - expected ARPHRD_IEEE80211, ARPHRD_IEEE80211_FULL or ARPHRD_IEEE80211_PRISM instead. Make sure RFMON is enabled: run 'airmon-ng start wlan1mon <#>' Sysfs injection support was not found either.
Was hat das zu bedeuten? Die Fehlermeldung deutet verschiedene Fehlerquellen an. Woran es genau liegt unterscheidet sich von Fall zu Fall. In der Regel wird das Device von etwas anderem auch noch benutzt. Beispielsweise von einem Network-Manager.
Wenn sich der WLAN-Adapter nicht in der Monitor-Mode schalten lässt, dann hilft vielleicht folgendes Kommando.
airmon-ng check kill
Danach kann man noch einmal versuchen, den WLAN-Adapter in den Monitor-Mode zu schalten.
Wenn das alles nicht hilft, dann sollte man davon ausgehen, dass sich der verwendete WLAN-Adapter vielleicht nicht dafür eignet, dass der Treiber einen Fehler hat oder am Gesamtsystem etwas nicht stimmt. Dazu sollte man auch wissen, dass nicht jeder WLAN-Chipsatz unter Linux den Monitor Mode unterstützt. Manchmal hilft auch einfach ein Neustart und ein nochmaliger Versuch.
Was kann man mit dem Monitor Mode machen?
Die Nutzung eines WLAN-Adapters im Monitor Mode ist äußerst vielfältig. Sie reichen von der Analyse, Information Gathering, dem Pentesting oder Hacking von WLANs.
- Information Gathering mit Airodump-ng (WEP/WPA/WPA2)
- Information Gathering mit Wash (WPS)
- WLAN-Hacking und -Pentesting
- WLAN-Tracking
Weitere verwandte Themen:
- WLAN-Hacking: Der richtige WLAN-Adapter
- WLAN-Analyse mit iwlist und wavemon
- WLAN-Pentesting mit wifite
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Schützen Sie Ihr Netzwerk
Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen