20. Dezember 2021
HomeWLANAccessPoint als Sniffer

AccessPoint als Sniffer

By  WLAN  0 Comments

Wie setze ich einen Controller basierten AccessPoint als Sniffer ein ?
Hier einmal ein Beispiel wie es mit einem Cisco WLC 2504 und einen AccessPoint Cisco 3502 funktioniert.

Übersichtsseite des WLAN Controllers, wir sehen ein AP ist aktiv.

Auf die 1 im Berecih AccessPoints klicken und wir gelangen zu der AccessPoint Übersciht. In diesem Fall ist nur einer vorhanden

Auf diesen klicken wir jetzt noch einmal und gelangen zu den Einstellungen des AccessPoint.
Wo wir dann sehen das er im Moment im “local” Mode ist, was der normale Betriebszustand ist.

Hier können wir nun den Mode umstellen auf Sniffer und dann auf Apply drücken.

Es kommt die Warnung das CleanAir abgeschaltet wird, wenn euer AP das kann und danach kommt die Meldung das der AP einen reboot durchführen muss.
Beides bestätigen

Wenn der AP rebootet hat, dann wieder in die Übersicht der AccessPoints gehen und wir wollen als erstes im 2.4GHz Netz den Verkehr mitsniffen, also auf er linken Seite auf den Bereich Radios/802.11b/g/n gehen

dann kann auf der rechten Seite mit der Maus über den Pfeil gehalten werden und configure ausgewählt werden.

Jetzt können wir obern rechts die Checkbox Sniff aktivieren und dann können wir die IP Adresse unserer Workstation eintragen und den Kanal auswählen in dem der Sniffer betrieben werden soll.

Dann noch auf Apply und das wars dann auch schon am WLC.

Jetzt Wireshark öffnen und auf der am AP eingestellten Schnittstelle das mitschneiden starten, nur einen kurzen Moment, bis wir Paket sehen die im Info Feld den Eintrag 5555 -> 5000 haben.
Dann das mitschneiden stoppen und mit der rechten Maustaste auf so einen Eintrag klicken.

“Dekodieren als” auswählen

und im neuen Fenster das SIGCOMP gegen PEEKREMOTE tauschen

und speichern.

Jetzt das vorhandene schliessen und im Wireshark öffnen unter den Reiter Aufzeichnen (Capture) anklicken und dort “Mitschnittfilter” auswählen

Dort erstellen wir einen neuen Eintrag, den wir “RemoteAP Capture” nennen und als Filter tragen wir “udp port 5555” ein

Das ganze speichern und dann in dem Hauptfenster von Wireshark im Feld “mit dem Filter” –> udp port 5555 eintragen

Jetzt kann man die Aufzeichnung starten und bekommt die Daten in lesbarer Form angezeigt

Related Posts