El modo de monitor , o modo RFMON (monitor de radiofrecuencia), permite que una computadora con un controlador de interfaz de red inalámbrica (WNIC) controle todo el tráfico recibido en un canal inalámbrico. A diferencia del modo promiscuo , que también se utiliza para la detección de paquetes , el modo monitor permite capturar paquetes sin tener que asociarlos primero con un punto de acceso o una red ad hoc . El modo de monitor solo se aplica a redes inalámbricas, mientras que el modo promiscuo se puede utilizar tanto en redes cableadas como inalámbricas. El modo de monitor es uno de los ocho modos en los que las tarjetas inalámbricas 802.11 pueden operar: maestro (que actúa como un punto de acceso), administrado (cliente, también conocido como estación), ad hoc ,Modo repetidor , malla , Wi-Fi Direct , TDLS y monitor.
Usos
Los usos del modo monitor incluyen: análisis de paquetes geográficos, observación del tráfico generalizado y adquisición de conocimientos sobre la tecnología Wi-Fi a través de la experiencia práctica. Es especialmente útil para auditar canales no seguros (como los protegidos con WEP ). El modo de monitor también se puede utilizar para ayudar a diseñar redes Wi-Fi. Para un área y canal determinados, se puede descubrir la cantidad de dispositivos Wi-Fi que se están utilizando actualmente. Esto ayuda a crear una mejor red Wi-Fi que reduce la interferencia con otros dispositivos Wi-Fi al elegir los canales Wi-Fi menos utilizados.
Software como KisMAC o Kismet , en combinación con analizadores de paquetes que pueden leer archivos pcap , proporcionan una interfaz de usuario para el monitoreo pasivo de redes inalámbricas .
Limitaciones
Por lo general, el adaptador inalámbrico no puede transmitir en modo monitor y está restringido a un solo canal inalámbrico, aunque esto depende del controlador del adaptador inalámbrico, su firmware y las características de su conjunto de chips. Además, en el modo de monitorización, el adaptador no comprueba si los valores de comprobación de redundancia cíclica (CRC) son correctos para los paquetes capturados, por lo que algunos paquetes capturados pueden estar dañados.
Soporte del sistema operativo
La API de Especificación de interfaz de controlador de red de Microsoft Windows (NDIS) tiene extensiones compatibles para el modo de monitor desde la versión 6 de NDIS, disponible por primera vez en Windows Vista . [1] NDIS 6 admite la exposición de tramas 802.11 a los niveles de protocolo superiores, [2] mientras que las versiones anteriores solo expusieron tramas Ethernet falsas traducidas de las tramas 802.11. La compatibilidad con el modo de monitor en NDIS 6 es una característica opcional y puede implementarse o no en el controlador del adaptador del cliente. Los detalles de implementación y el cumplimiento de las especificaciones NDIS varían de un proveedor a otro. En muchos casos, el proveedor no implementa correctamente la compatibilidad con el modo de monitor. Por ejemplo, los controladores Ralink informan lecturas incorrectas de dBm y los controladores Realtek no incluyen valores CRC de 4 bytes finales. [ cita requerida ]
Para las versiones de Windows anteriores a Windows Vista, algunas aplicaciones de análisis de paquetes como OmniPeek de Wildpackets y CommView para WiFi de TamoSoft proporcionan sus propios controladores de dispositivo para admitir el modo de monitor.
Las interfaces de Linux para controladores 802.11 admiten el modo de monitor y muchos controladores ofrecen ese soporte. [3] Los controladores STA ( Ralink , Broadcom ) y todos los controladores proporcionados por los demás fabricantes no admiten el modo de monitor. [4] FreeBSD , NetBSD , OpenBSD y DragonFly BSD también proporcionan una interfaz para controladores 802.11 que admite el modo de monitor, y muchos controladores para esos sistemas operativos también admiten el modo de monitor. En Mac OS X 10.4 y versiones posteriores, los controladores para adaptadores de red AirPort Extreme permiten poner el adaptador en modo monitor. Libpcap 1.0.0 y versiones posteriores proporcionan una API para seleccionar el modo de monitor al realizar capturas en esos sistemas operativos.
Ver también
Referencias
- ^ "Modo de funcionamiento del monitor de red" . Kit de controladores de Windows: dispositivos y protocolos de red . Microsoft . Consultado el 30 de noviembre de 2007 .
- ^ "Indicando paquetes Raw 802.11" . Kit de controladores de Windows: dispositivos y protocolos de red . Microsoft . Consultado el 30 de noviembre de 2007 .
- ^ Aircrack / Aireplay-ng en modo de monitor de inyección de paquetes en Windows, consultado el 11 de septiembre de 2007
- ^ "Solución de problemas de controladores inalámbricos" . Documentación de Kali Linux . Elemento 3. Sin modo de monitorización.
enlaces externos
- Preguntas frecuentes de AirSnort: ¿Cuál es la diferencia entre monitor y modo promiscuo? at the Wayback Machine (archivado el 30 de diciembre de 2014)
- Una lista de adaptadores Wi-Fi que admiten el modo de monitor en Linux