Microsoft Network Monitor 3.3 (captura paquetes/modo monitor)

[maripuri]

Parece que hay una herramienta que permite monitorizar nuestra red y capturar paquetes con ella. Se llama Microsoft Network Monitor y ya está por la ver. 3.3

Esta herramienta puede poner en modo monitor bastantes modelos de tarjetas, al parecer.  He leido algún post y se dice que en Vista y Windows 7 funciona (no se XP)

Os dejo un documento pdf que habla del tema, a ver si vemos correr este post, creo que merece la pena investigar sobre ello.

http://www.inguardians.com/pubs/Vista_Wireless_Power_Tools-Wright.pdf

Según se vaya obteniendo mas información será comentada.

Lo puedes descargar desde Microsoft Download

leida parte de la documentación:

Sistemas operativos compatibles: Windows 7, Windows Server 2003 Service Pack 2, Windows Server 2003 Service Pack 2 x64 Edition, Windows Server 2008, Windows Vista 64-bit Service Pack 1, Windows Vista Service Pack 1, Windows XP 64-bit, Windows XP Service Pack 3

[time]jue 17 sep 2009 00:03:02 GMT-2[/time]


voy a cenar y luego lo pruebo con la zappa
[time]jue 17 sep 2009 00:47:55 GMT-2[/time]Cuelgo los enlaces, para que todos los vean y puedan aportar algo:

http://forum.aircrack-ng.org/index.php?topic=4719.0

http://translate.google.es/translate?js=y&prev=_t&hl=es&ie=UTF-8&u=http%3A%2F%2Fforum.aircrack-ng.org%2Findex.php%3Ftopic%3D4719.0&sl=en&tl=es&history_state0=

Esto es lo que hay por parte de Aircrack. Ahora lo que he visto es del foro de Microsoft del programa en cuestión.

http://www.server-management.co.uk/features/How_to_monitor_remote_traffic

http://social.technet.microsoft.com/Forums/en-US/netmon/threads

http://www.codeplex.com/NMParsers

Y eso es todo lo que tengo. 

Hala! al tajo.. a ver como se desarrolla el tema y quiero ver gente colaborando/arrimando el hombro..

[lampi]

He estado haciendo alguna cosilla y vistarfmon es necesario para el modo monitor pero me da un error,

C:\Users\Lampi\Desktop\Microsoft Network Monitor 3>vistarfmon 1 mon
Error setting WLAN interface operational mode: 50


Usage: vistarfmon <interface number> <mon|sta>

Available interface(s):
  1. [CommView] Atheros Wireless Network Adapter, Mode: ExSta, State: dised


C:\Users\Lampi\Desktop\Microsoft Network Monitor 3>vistarfmon 1 mon
Error setting WLAN interface operational mode: 50

Con el fin de utilizar esta herramienta, usted necesita el Windows Vista con nativos de 6 NDIS Controlador WiFi.

Los drivers nativos NDIS 6, donde hay de esto.

[lampi]

Una cosa buena, parace que si puedo poner la wifi en modo monitor, con los drivers que instalo windows 7

Pruebalo y veras que cuando la tenemos en vistarfmon 1 sta no puedes ver las redes que tienes al alcance, ponla en vistarfmon 1 mon que seria modo monitor y ya no puedes ver ninguna.

Lo que me parece raro es que esto soft es del 2008 y ahora se habla de esto, probar vosotros que yo no tengo cambio. 


Como habeis empezado el curso y veo que os portais bien, aqui teneis el vistarfmon 1.0,

http://lampiweb.com/foro/index.php?action=downloads;sa=view;down=58


Esto significaria que todas las wifi que tengan esos controladores se pueden poner en monitor, luego bien lo otro que maripuri tiene los enlaces y un pdf de esto.

Me piro que madrugo, el ultimo que apague el foro, gracias.

[maripuri]

Los drivers nativos NDIS 6, donde hay de esto.

Aquí hay algo..  Network Driver Interface Specification  (NDIS)

configurable then the minimum value for this parameter is 6

configurar el valor mínimo para este parámetro es de 6

http://www.microsoft.com/whdc/device/network/NDIS/NDIS6drvport.mspx

De NDIS 6.0 es la próxima gran versión de la biblioteca de controladores de la especificación de interfaz de red. Los tres objetivos principales que han guiado el diseño y desarrollo de NDIS 6.0 son:

Mejorar el rendimiento y la escalabilidad del conductor
Simplificar el modelo de controlador NDIS
Mejorar la seguridad del conductor

Este documento se centra en la descarga el objetivo primer diseño: mejorar el rendimiento del conductor y la escalabilidad. Este documento describe los cambios necesarios para migrar un legado de controlador de minipuerto de NDIS 6.0. Cambios significativos en el controlador de minipuerto se discuten y se ilustran con ejemplos de código.

Fragmentos de código que utiliza en este documento se derivan de controlador de la NIC E100BEX minipuerto que se suministra con Microsoft Windows en el Driver Kit (WDK). Este documento tiene por objeto complementar, no reemplazar, la documentación NDIS 6.0 que se suministra con el WDK.

Incluido en este documento:

Introducción
Compatibilidad con versiones anteriores
Resumen de los cambios necesarios para Puerto Legacy Miniport Drivers
Manejo de interrupciones
MiniportHaltEx Función
MiniportShutdownEx Función
Y descarga de retirar a un controlador de minipuerto
Transferencia de datos de Código de Caminos
MiniportOidRequest Función
MiniportCancelOidRequest Función
MiniportResetEx Función
Detención y reinicio de un adaptador de minipuerto

NDIS6drvport.doc




[time]jue 17 sep 2009 01:52:06 GMT-2[/time]Y este documento tambien: http://asignaturas.diatel.upm.es/fft1/Torre%20de%20protocolosV2.pdf
[time]jue 17 sep 2009 02:00:11 GMT-2[/time]Para entendernos:

la mayoría de los drivers de las tarjetas usan llamadas al protocolo NDIS de Microsoft. Es decir, que crean drivers que se comunican con el sistema operativo de una forma genérica dictada por este protocolo

Para linux hay una utilidad llamada NdisWrapper

leer mas

Me da que esto tira hasta en las USB   

Me piro que madrugo, el ultimo que apague el foro, gracias.

"Apagao".. como yo, que me caigo ya.. 

Septiembre 17, 2009, 13:01:49 pmAlgo mas de ayuda aquí: http://www.computerperformance.co.uk/vista/vista_network_monitor.htm

[lampi]

La atheros se puede poner en modo monitor pero luego se escoña y no vuelve a normal, para tener los drivers tendras que desinstalar todos los que tengas de esa tarjera y en windows update ya te los buascara.
Creo que el problema puede ser de ser una pcmia y esta en un adaptador a pci

La netgear usb no se puede pero tengo una smc pci con rtl en windows 7 que si funciona.

Y... aqui se queda la cosa.

[maripuri]

Voy a probar con la Connection en un rato.. cuando acabe de instalar esto todo.

[lampi]

Aunque no deja de ser solo monitor, si no hay nada para acelerar el trafico casi no merece la pena.

[maripuri]

No me hagas mucho caso, en alguno de los links últimos que puse habla de inyección pero no se si se refiere a lo que necesitamos.

Cunando lo vea lo pongo, lo que si vi es esto:

      Monitor de red 3 analizadores están escritos en un lenguaje que está diseñado específicamente para hacer que el analizador de desarrollo más sencillo. Esto también proporciona un nivel de protección contra la explotación potencial de códigos maliciosos que pueden ocurrir si los analizadores fueron creados como archivos DLL. Usted puede ver o modificar los analizadores que se incluyen en el Monitor de red 3. Documentación para el lenguaje de la NPL se puede acceder en el menú Ayuda.

si se puede modificar a lo mejor se puede hacer algo.

[lampi]

Bueno, yo no puedo y tampoco quiero meterme mucho en esto, aqui esta el tema y al que le interese que indage, eso de darlo todo mascao ya lo han quitado.

[maripuri]

De ayer a hoy poco se puede hacer, seguiré mirando a ver si me aclaro de algo. Comentaré lo que vea.
Septiembre 17, 2009, 13:49:14 pmEn monitor creo que si la puse, ahora de momento no veo el tráfico

[lampi]

Como entras para ver esa pantalla.




Ya esta, es que hice un portable que no va bien.

[maripuri]

En la principal Star Page, abajo a la izq Propeties pulsa ahí.

mira esto:



Hice lo que decias, desintalé drivers, reinicié y busco en update

[time]jue 17 sep 2009 14:03:20 GMT-2[/time]Esto sigue capturando y veo el resto de las redes 
[time]jue 17 sep 2009 14:06:00 GMT-2[/time]Me fijo y en esa ventana (Display Filter) me doy cuenta de muestra el essid, canal, señal en dbm y y rate. Abajo a la dcha en hex
Septiembre 17, 2009, 14:15:24 pmHay un intento de asociación     pero creo que no soy yo.. 

[lampi]

La atheros sigue funcionando mal por lo comentado, esta tarde cuando termine ya vere de poner la otra que si que rula.

El commview no hace lo mismo o hace menos. 

[maripuri]

La Connection parece que rula bien. Me dedicaré a buscar lo comentado de la inyección vi algo seguro.. pero donde     

El commview no hace lo mismo o hace menos.

El tema es ver si con este se puede inyectar y tal y tal..    Porque la compatibilidad de los .cap con aircrack está en el 1er pdf  que puse al parecer.

[lampi]

Con el commview se puede inyectar pero con sus drivers que son lo que usa aircrack, esta seria una solucion para otras tarjetas.

[maripuri]

Con el commview se puede inyectar pero con sus drivers

Eso está claro.. pero ya ves lo que ocurre con los últimos, y sin ellos parece que no sirve lo nuevo de Aircrack.. ni "tinytoon" ni nada de aquí en adelante..

O eso parece. Al menos Aircrack 1.0 final se pudo adaptar a excepción de los tres ejecutables que comenté.
Septiembre 17, 2009, 14:38:33 pm

Tuesday, June 30, 2009 10:24 PM
TCP Analyzer Expert: Make Your Network Run Faster

Me estoy emocionando..    aquí ya se habla hasta de los "shaquespeares"

https://connect.microsoft.com/site/sitehome.aspx?SiteID=216

How to Analyze Traffic

Say you suspect a problem or want to analyze some traffic. The first thing you need to do is collect a trace using Network Monitor. TCP Analyzer can try to "guess" the general problem and describe the issue. But for this to work properly you will need to take the trace from the machine initiating the connection. Also it helps to have the entire TCP connection as the window size is negotiated during the TCP 3-way handshake.

[lampi]

Bueno, ya comentaras los avances sobre la inyeccion, uno se tiene que ir.

[maripuri]

Venga, yo lo dejo en un rato que también tengo cosas que hacer. 

[Frodo]

Es una pena que en windows xp solo funcione con la red propia.

[maripuri]

En el centro de descargas dicen que tiene compatibilidad con Xp pero igonoro si sólo es para la red propia Frodo.     

Windows XP 64-bit, Windows XP Service Pack 3

Si veo algo te comento, aunque mucho me temo que ya habrás trasteado con el y no va.

Saludos.

[Frodo]

E probado con el vistarfmon.



Aunque creo que es cosa del driver. Todavia tengo puesto el del commview.

[lampi]

Eso me lo hacia en la atheros, hay que quitar todos los drivers y dejar que windows meta los que tenga.

[erborricobueno]

Aparte de todo lo comentado,no se nos puede olvidar darle los permisos de administrador, a esa CMD para todos los usuarios, antes de las pruebas.

[maripuri]

En el hilo el sr. X comenta hoy:

Realmente no creo que los paquetes capturados sean paquetes inalámbricos.

I don't really think you captured packets wireless packets.

Otra cosa es "ver por dentro" lo capturado, pero me indicaba que estaba en modo monitor y capturando paquetes.. 
[time]jue 17 sep 2009 22:45:37 GMT-2[/time]

5.6 Converting NetMon Captures to Libpcap Format
While the NetMon UI has powerful features for analyzing packet captures, few attack tools include the
ability to natively read from the NetMon stored capture file format. In order to leverage tools such as
Aircrack-ng, coWPAtty and Cain for wireless analysis, the capture file format needs to be libpcapcompatible.
Some tools such as Wireshark support reading and converting NetMon Ethernet captures,
but do not correctly interpret NetMon wireless captures.
Fortunately, the NetMon API allows developers to write custom applications and interpret data from
NetMon stored captures. Combined with the ability to create a libpcap capture file, it is possible to
convert the NetMon file to a libpcap file. This feature is implemented in nm2lp, released under the GPL
v2 license and available at http://www.inguardians.com/tools.

5.6 Conversión de NetMon Captura de Libpcap Formato
Mientras que la interfaz de usuario NetMon posee características muy útiles para el análisis de captura de paquetes, herramientas de ataque son pocos los
capacidad nativa para leer desde el NetMon almacenados de captura de formato de archivo. Con el fin de aprovechar las herramientas como el
Aircrack-ng, cowpatty y Caín, para el análisis inalámbrica, el formato de archivo de captura debe ser libpcapcompatible.
Algunas herramientas como el apoyo a la lectura y la conversión de Wireshark NetMon captura de Ethernet,
pero no interpretan correctamente captura NetMon inalámbrica.
Afortunadamente, la API de NetMon permite a los desarrolladores a escribir aplicaciones personalizadas e interpretar los datos de los
NetMon almacenados captura. Combinado con la capacidad de crear un archivo de captura libpcap, es posible
convertir el archivo a un archivo de NetMon libpcap. Esta función se implementa en nm2lp, liberado bajo la licencia GPL
v2 licencia y disponible en http://www.inguardians.com/tools.

The output wlan.dump file can then be parsed in any libpcap-compliant tools including Wireshark,
Kismet, Cain, Aircrack-ng and many others. This opens up tremendous opportunity for a remote
penetration tester to attack and compromise the security of wireless networks within range of the
compromised Vista client.

   
El archivo de salida wlan.dump continuación se puede analizar en cualquier libpcap herramientas compatible incluidos Wireshark,
Kismet, Caín, Aircrack-ng y muchos otros. Esto abre enormes oportunidades para un mando a distancia
de pruebas de penetración para atacar y poner en peligro la seguridad de las redes inalámbricas dentro del alcance de la
cliente de Windows Vista en peligro.

Aunque es una traducción "pachangera" creo que se entiende.

Existe la posibilidad de convertir los archivos capturados para que herramientas como Aircrack-ng, cowpatty y Caín los pueda interpretar.

la herramienta para hacer el archivo .cap libpcapcompatible sería nm2lp (NetMon to LibPcap) y la podemos descargar desde aquí

Esto es un pasito mas.. 

[erborricobueno]

Comentar nada más que.-


La portabilidad da problemas por el mismo motivo para que no funcione en XP, al no cargar el nmwifi.exe.

Al no instalarlo, esto motiva la imposibilidad de ejecución de un servicio que carga, que esta muy establecido e imprescindible para el funcionamiento de netmon.exe.

Me he molestado en desempaquetar todos los diferentes instaladores, independientemente del SO el gestor de instalación es el mismo para todos a través de un scripts común. Para l@s miran códigos:_

Código: [Seleccionar]

Option Explicit

Dim args, argCount, i
Dim exitcode
Dim cmdShell
Dim core_MSI_Options, parser_MSI_Options

Set cmdShell = WScript.CreateObject("WScript.Shell")
Set args = WScript.Arguments
argCount = args.Count

core_MSI_Options = ""
parser_MSI_Options = "/passive"

if argCount > 0 then
for i = 0 to argCount - 1
if args.Item(i) = "/q" then
core_MSI_Options = "/qn"
parser_MSI_Options = "/qn"
end if
next
end if

cmdShell.Run "cmd /c copy Microsoft_Parsers.msi %TEMP%", 0, True
exitcode = cmdShell.Run("msiexec /l*v %Temp%\NetmonInstall.log /i netmon.msi " + core_MSI_Options, 1, True)
if exitCode = 0 then
exitcode = cmdShell.Run("msiexec /l*v %Temp%\NetmonParserInstall.log /i %TEMP%\Microsoft_Parsers.msi " + parser_MSI_Options, 1, True)
cmdShell.Run "cmd /c del /f %TEMP%\Microsoft_Parsers.msi ", 0, True
end if

WScript.Quit exitcode


No es necesario saber nada, en un golpe de vista se ve perfectamente forma y estructura.
Pero mirando mejor se ve bastante más en el proceso de instalación.