Muitas pessoas utilizam ferramentas que operam de forma passiva para capturar pacotes da rede. Este tipo de sondagem é extremamente interessante porque nenhum pacote é inserido na rede alvo. Ou seja, não ocorre troca de informações entre o “espião” e a rede. Isto torna o indivíduo que se utiliza de tais métodos praticamente indetectável.

Sondar uma rede passivamente é fácil. Basta ter uma NIC (Network Interface Card – placa de rede) capaz de operar no modo promíscuo monitor ou RFMON (Radio Frequency Monitor) e um programa. A interface quando em modo promíscuo escuta toda a rede – ou – recebe todos os pacotes que nela trafegam. Já o RFMON é caracterizado por entender pacotes específicos de redes sem fio (por exemplo: difusão do nome da rede – ESSID).

Por vários motivos, nem todas as placas conseguem trabalhar no modo de monitoramento. O Sistema Operacional, por exemplo, influencia diretamente no sucesso ou não deste procedimento. A placa ipw2200, até o momento, não consegue operar no modo monitor no Windows (XP). Mas no Linux é extremamente fácil colocá-la para trabalhar neste modo. Alias, Linux é o SO mais indicado aos que desejam se aventurar no mundo da espionagem passiva, pois possui uma quantidade considerável de drivers com capacidade para RFMON.

Abaixo algumas placas que operam em RFMON – classificadas por tipo de sistema:

Linux: Atmel_USB, ACX100, ADMTek, Atheros, Cisco, Prism2, Orinoco, WSP100, Drone, wtapfile, pcapfile, wrt54g, ipw2100, rt2400, rt2500, rt8180, ipw2200, ipw2915, ipw3945 e Broadcom 43xx;

OpenBSD: Prism2 (wi), Atheros (ath), Intel 2200/2225/2915 (iwi), Intel 2100 (ipw), Ralink (ral and ural), Realtek RTL8180L (rtw), WSP100, Drone, wtapfile e pcapfile;

FreeBSD: Atheros, Prism2, WSP100, Drone, wtapfile e pcapfile;

MacOSX: Airport, WSP100, Drone e wtapfile;

Win32: WSP100, Drone, wtapfile e pcapfile. Desconhecemos drivers públicos de RFMON para Win32.

Observação: o suporte por tipo de sistema está em constante alteração. Ainda restam esperanças se um chipset específico não está na lista acima. É só procurar em artigos mais recentes.

A VsF possui um notebook Centrino com adaptador Mini-PCI Pro/Wireless 2200 (ipw2200). Ver:

A interface de captura desta placa é ethX. Para colocá-la no modo promíscuo monitor basta utilizar o seguinte comando:

root@vivasemfio:/# ifconfig eth0 promisc

root@vivasemfio:/# ifconfig eth0
eth0 Encapsulamento do Link: Não Especificado Endereço de HW 00-**-35-**-D5-AA-**-CA-00-00-00-00-00-00-00-00
endereço inet6: fe80::20e:35ff:fe60:d5aa/64 Escopo:Link
UP BROADCASTPROMISC MULTICAST MTU:1500 Métrica:1
RX packets:7924 errors:0 dropped:0 overruns:0 frame:0
TX packets:901 errors:0 dropped:0 overruns:0 carrier:1
colisões:0 txqueuelen:1000
RX bytes:25401 (24.8 KiB) TX bytes:0 (0.0 b)
IRQ:11 Endereço de E/S:0×8000 Memória:cffff000-cfffffff

Alguns programas, como o Kismet, ao serem ativados colocam a placa em modo de monitoramento automaticamente.

Muitas pessoas reclamam da instabilidade duma placa quando esta opera em RFMON. Nesses casos, é comum existir uma relação do problema com o DHCP habilitado. Funciona assim: o modo monitor entra em ação antes da obtenção de endereço por DHCP. Após algum tempo (cerca de 1 minuto) o tempo de espera do DHCP termina e a interface é desligada. Ou, recebe-se um endereço por DHCP. Mas será incapaz de renová-lo. Ao ocorrer uma tentativa de renovação, desliga-se a interface. Para evitar tais problemas, basta desabilitar o DHCP.

É isso!