Captura de paquetes

Captura básica

Se capturan paquetes utilizando la interfaz de red en cuestión (IFACE) y se guarda la información en un fichero pcap que luego se podrá abrir con wireshark.

IFACE=wlan0
PCAP="captura_$(date +%Y%m%d_%H%M%S)"
airodump-ng $IFACE --write "$PCAP"

Si el nombre del pcap ya existe, se crea un fichero con el mismo nombre seguido de una numeración ascendente, evitando sobreescribir capturas que hayamos realizado anteriormente.

Captura en una banda en concreto

Banda a:

IFACE=wlan0
BAND=a
airodump-ng --band $BAND $IFACE

Bandas a, b y g:

IFACE=wlan0
BAND=abg
airodump-ng --band $BAND $IFACE

Captura de un ESSID en concreto

Es posible capturar paquetes de un ESSID en concreto haciendo uso de expresiones regulares, esto permitirá focalizar la captura de paquetes en los SSID que tengamos dentro del alcance y guardar la información en un fichero pcap que luego se podrá abrir con wireshark.

IFACE=wlan0
PCAP=captura
REGEX=WIFI_*
airodump-ng $IFACE --write $PCAP --essid-regex $REGEX

Por ejemplo, el comando anterior, realizará una captura utilizando la interfaz wlan0 de todas aquellas redes cuyo SSID coincida con la expresión regular indicada (WIFI_WTF, WIFI_OMG, etc.) y guardará la información en un fichero llamado captura.

Captura de un BSSID en concreto

Tras realizar una primera captura básica donde se pueden observar las redes que se encuentran alrededor, se identifica el/los BSSID (MAC) de la red objetivo y el canal, para realizar una captura solo de información de dicha red (para capturar solo lo que nos interesa y omitir redes fuera del alcance).

Por ejemplo:

airodump-ng --bssid <MAC del router> --channel <canal en el que se emite> --write <fichero pcap> <interfaz>
airodump-ng --bssid 00:11:22:33:44:55 --channel 6 --write output wlan0

Lo mismo, pero con variables:

IFACE=wlan0
BSSID=00:11:22:33:44:55
CH=6
PCAP=captura
airodump-ng --bssid $BSSID --channel $CH --write $PCAP $IFACE

Shorcuts de teclado útiles

Ordenación por columnas

Mientras se captura con airodump, si se pulsa la s se puede cambiar el orden de los elementos, por ejemplo, para ordenar por número de paquetes, por potencia, por canal, por encriptación, por cifrado, etc.

Mi recomendación general es hacerlo por número de paquetes, dado que cuanto mayor número de paquetes, más interacción hay con los AP en cuestión.

Copiar datos de la captura de forma sencilla

Mientras se captura, no es posible copiar datos, por ejemplo, si necesitamos copiar un BSSID o ESSID en concreto, pero si se pausa, sí. Por lo tanto, si pulsamos en la barra de espacio, se puede pausar, copiar lo que deseemos y volver a pulsar en la barra de espacio para reanudar.

Colorear AP y sus clientes conectados

Mientras se captura con airodump es posible pulsar en tab para entrar en el modo edición, esto permite que podamos subir y bajar con las flechas hasta quedarnos en el AP que nos interesa y pulsar la letra m para colorearlo, existen múltiples colores, así que se pulsará la m hasta tener el color que se desee. Esto hará que tanto el AP como sus clientes se coloreen del color que nos interese y será más fácil realizar ciertos ataques, como los de deautenticación.

Si se quiere salir del modo edición se volverá a pulsar tab.

AnteriorComandos esenciales SiguienteAnálisis de paquetes

Última actualización hace 7 días