softcake
Goto Top

Mac Snow Leopard Promiscuous Mode

Hallo,

ich bin mit Wireshark auf Fehlersuche im Netzwerk.
Leider scheint auf meinem Mac-Book-Pro der Promiscuous Mode nicht aktiviert zu werden. Ich bekomme keinen Traffic angezeigt.

Kann mir jemand sagen, ob ich das irgendwie manuell aktivieren kann? Oder kann es sein, daß meine Netzwerkkarte diesen Mode gar nicht kann?
In den "Capture Options" ist der Haken zumindest gesetzt...

Gruß
softcake

Content-ID: 169571

Url: https://administrator.de/contentid/169571

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

aqui
aqui 12.07.2011 um 15:01:07 Uhr
Goto Top
Nein, daran liegt es de facto nicht ! Der Grund das nix angezeigt wird liegt in der Tatsache das Wireshark keine Zugriffsrechte auf die Devices bekommt. Unglücklicherweise überschreibt Mac OSX diese Settings immer wieder beim Booten.
Deshalb wird ein kleines Shellscript ChmodBPF mitgeliefert was man vor dem Start von Wireshark ausführen muss. (Da sollte man natürlich das HowTo lesen !)
Alternativ kannst du die Kommandos aber auch einfach im Terminal manuell eingeben mit folgenden Kommandos:
sudo chgrp admin /dev/bpf*
sudo chmod 644 /dev/bpf*

Fertisch !
Wireshark starten und schon steht dem Sniffern nix mehr im Wege !
Die Kommandos kannst du dir auch als Textdatei abspeichern und per Cut and Paste vor dem Wireshark Start eingeben...oder eben das mitgelieferte Script ChmodBPF vorher starten !
softcake
softcake 12.07.2011 um 15:20:24 Uhr
Goto Top
Hallo aqui,

hatte ich schon gemacht, aber leider sehe ich nur 0.0.0.0 als Source, die er an verschiedene Adressen innerhalb des Interfaces schickt. Sieht nach Broad- und Mulicast aus...
Ich bekomme keinen Traffic mit, der über das Interface flutscht...

Habe Wireshark auch schon als "root" ausgeführt, jedoch auch ohne Erfolg.
aqui
aqui 12.07.2011 um 15:26:54 Uhr
Goto Top
Schliess mal direkt mit einem Crossover einen anderen PC an und führe da dann mal ein Ping aus. Das solltest du ja wenigstens sehen.
Wenn du an einem Switchport hängst siehst du nur Broadcasts, das ist klar, denn der Switch forwardet ja nur etwas auf Basis der Mac Adressen. Um an einem Switchport zu messen musst du zwingend einen sog. Mirror Port einrichten !
Details dazu hier:
http://www.heise.de/netze/artikel/Fehler-erschnueffeln-221587.html
softcake
softcake 12.07.2011 um 15:29:35 Uhr
Goto Top
Port ist auf schon Cisco gespiegelt.
Nutze ich Wireshark unter Windows flutschen auch jede Menge Pakete durch.
aqui
aqui 12.07.2011 um 15:42:18 Uhr
Goto Top
Hier rennt ein MacBook mit OSX 10.6.8 und Wireshark 1.4.2 vollkommen problemlos !
softcake
softcake 12.07.2011 um 15:46:01 Uhr
Goto Top
ist es möglich unter OSX irgendwo nachzusehen, was die Netzwerkkarte überhaupt supportet? Habe das Gefühl, das es wohl daran liegen könnte...
aqui
aqui 12.07.2011 um 15:58:08 Uhr
Goto Top
Sorry ich hatte oben einen Fehler gemacht (ist korrigiert). Der chmod Befehl muss korrekterweise so lauten:
sudo chmod 644 /dev/bpf*
Ggf. musst du das nochmal ändern. Damit sollte es dann aber klappen !
softcake
softcake 12.07.2011 um 16:07:08 Uhr
Goto Top
habe die neuste Version von Wireshark geladen und installiert und siehe da, nach reboot gehts auch bei mir nun.
In dieser Version braucht auch das "chmod" nicht mehr jedesmal gesetzt werden.

hm... dein chmod-befehl ist doch oben wie unten identisch?!

dennoch, aqui, auch dieses mal... einen herzlichen Dank face-smile

Gruß
softcake
aqui
aqui 12.07.2011 um 16:38:46 Uhr
Goto Top
Ich hatte das obige chmod Kommando nachträglich korrigiert um hier nix falsches stehen zu lassen.
Klasse wenns jetzt klappt ! Hab auch gerade mal upgedatet auf die aktuelle 1.6er Version face-wink
dog
dog 12.07.2011 um 17:23:56 Uhr
Goto Top
Es reicht auch Wireshark als root zu starten:

sudo /Applications/Wireshark.app/Contents/MacOS/Wireshark

Ob das guter Stil ist sei mal dahin gestellt.
softcake
softcake 12.07.2011 um 17:31:46 Uhr
Goto Top
Ne du, witzigerweise hatte ich damit auch keinen Erfolg...