Wireshark, SNORT mit USB-WLAN-Stick benutzen?

[AccountPasswort]

##
Hallo

"Will nutzen" auf Win7 mit USB-WLAN-Stick
- TP-Link-Wireless-Adapter (ohne Monitoring)
- Alternativ hätte ich auch eine ALFA-GE-RT-3070 mit Monitoring-Mode

- Wireshark (2.0.1)
- SNORT (2.9.8-win32) als (IDS)

Addon:
USBcap für beide installiert
WinPcap für beide installiert

Beides läuft allerdings nicht weil:

# Wireshark findet keine Adapter/ Interface
# SNORT gibt Fehlermeldung

C:\Snort\bin>snort -d
Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
ERROR: Failed to lookup interface: Ò/w└. Please specify one with -i switch
Fatal Error, Quitting..
Could not create the registry key.

Linux sei besser, will aber nicht umziehen mit all den Einstellung die ich in SNORT machen musste nach dem YT-Video: - v=7Pg_ZJV4cSY steht aber als Option.

Habe verschiedene Dinge gesichtet die evtl. dazu führen dass der Stick nicht erkannt wird bzw. der Traffik der dadurch kommt, als da wäre:

# im Geräte Manager unter "andere Geräte" direkt oben unter "User" ist der
1. Ethernetkontroller
2. SM-Bus-Controller
3. USB (Universal Serial Bus) Controller
nicht aktiv bzw. der Treiber nicht installiert.
Alles an USB funktioniert aber fehlerfrei, sowohl Festplatten, Controller wie Mouse sowie der WLAN-Stick.
Muss ich hier Hand anlegen?

# Wiresharkplugins zeigt mir nicht irgend eine *USB*.dll an, die vermuten lässt das er mit USB umgehen kann.
Kann ich Plugins hinzufügen?

# Funktioniert USB(P)cap überhaupt richtig oder verwende ich das falsch?
Gesaugt von Wireshark Link.
"You can capture raw USB traffic on Windows with USBPcap. The Tools page lists some other options for Windows USB capture."
--
"Raw USB traffic can be captured with Wireshark currently only under Linux, see CaptureSetup/USB. If it's an Ethernet (or any other network related) USB adapter, Wireshark can capture e.g. Ethernet traffic from that USB device if the platform supports it (which it usually will do)."

So da steht ich nun da...muss ich jetzt besser auf Linux umziehen oder kann ich auch alternativ auf Windows bisschen rumspielen.
Meine Intension ist nur probieren und meinen eigenen Traffic analysieren und natürlich Schutz von außen bei Anomalien.

Danke für eine Einschätzung und Tips wie ich das zum laufen bekomme.
##

 

[cs_reaper]

Die Frage ist ob der Wlan Stick überhaupt Treiber mäßig funktioniert. Ist der nicht installiert findet ihn auch Wireshark nicht.

 

[x-sector]

habe ich noch nie auf windows genutzt bzw. versucht windows für sowas zu nutzen.
daher kann ich das problem nur bedingt nachvollziehen.
Wenn die Windows Version von Wireshark gleich der Linux ist, so muss der WLAN Adapter (egal ob onboard oder usb) monitor fähig sein.

1) WLAN Adapter auch korrekt installiert? (Treiber findest sicherlich auf der Hersteller Support Website)
2) Monitor Mode fähig?
3) WinPcap bei Win nachinstalliert?

Soll dein W7 Rechner ein Proxy o. ä. sein?
Andernfalls erschließt sich mir der Nutzen nicht wirklich. Captured bzw. Monitored wäre nur der Traffic von diesem PC zum Router. Nicht aber alles was sonst im Netzwerk so kommuniziert bzw. von außerhalb in dein Netzwerk (wofür ein IDS ja interessant ist).

aber vielleicht hilft dir der artikel weiter?
https://www.acrylicwifi.com/de/blog/wie-fangt-man-wlan-traffic-mit-wireshark-in-windows-ein/

Allgemeines
https://wiki.wireshark.org/CaptureSetup/WLAN

 

[AccountPasswort]

Die Frage ist ob der Wlan Stick überhaupt Treiber mäßig funktioniert. Ist der nicht installiert findet ihn auch Wireshark nicht.

Er geht ja und ich hab netz damit...Aber ich weiß nicht um die Monitorfähigkeit...
War Plug and Play.

Wenn die Windows Version von Wireshark gleich der Linux ist, so muss der WLAN Adapter (egal ob onboard oder usb) monitor fähig sein.

1) WLAN Adapter auch korrekt installiert? (Treiber findest sicherlich auf der Hersteller Support Website)
2) Monitor Mode fähig?
3) WinPcap bei Win nachinstalliert?

Soll dein W7 Rechner ein Proxy o. ä. sein?
Andernfalls erschließt sich mir der Nutzen nicht wirklich. Captured bzw. Monitored wäre nur der Traffic von diesem PC zum Router. Nicht aber alles was sonst im Netzwerk so kommuniziert bzw. von außerhalb in dein Netzwerk (wofür ein IDS ja interessant ist).

aber vielleicht hilft dir der artikel weiter?
https://www.acrylicwifi.com/de/blog/wie-fangt-man-wlan-traffic-mit-wireshark-in-windows-ein/

Allgemeines
https://wiki.wireshark.org/CaptureSetup/WLAN

PC soll kein Proxy sein bzw. kein Server oder so, das ist nur für IDS via SNORT und Lerneffekt wie Wireshark bei verschiedenen Webdiensten Daten sammelt und was man da raus lesen kann, und so weiter.

Muss ich mal schauen wegen Treiber und oder Monitorfähigkeit.
Die ALFA kann das auf jeden Fall, die ist mir aber irgendwie Abgeschmiert, vermutlich zu heißt, keine Ahnung.
Das andere Netzwerk interessiert mich nicht. Weil ich dazu WPA2-PSK hacken müsste, wovon ich kein schimmer habe.
Capture ist ja quasi zwingend düe IDS oder?

# Wenn der Stick Daten empfängt und verwertet ist das nicht Capturing/ Monitoring???

 

[chithanh]

Linux sei besser, will aber nicht umziehen

Du kannst zum Funktionstest des Monitor mode mal Ubuntu vom USB-Stick booten und Kismet o.ä. starten.

Wenn das funktioniert, ist es ein Treiber- oder Einrichtungsproblem unter Windows. Wenn nicht, dann ist der Stick vielleicht nicht geeignet.

 

[AccountPasswort]

ich vermute nicht geeignet, hab nachgelesen nix von capturing oder monitoring mode, kann man sowas nicht "simulieren"?