NIC gelijktijdig in monitor mode en managed mode?

Dag allen!

Er en vooral mijn excuses moest dit in de verkeerde categorie staan. Ik heb lang getwijfeld tussen Netwerken, Client Softe goederen, Non-Windows OS en Programmeren. Maar heb uiteindelijk gedacht dat het bij Netwerken het meeste kans op een antwoord heeft. (Allesinds: deel 1 van het antwoord)

Het zit dus zo: Ik ben momenteel samen met een partner bezig aan een bachelorproef/stage voor de publieke transportsector. Eén van de dingen die we nodig hebben voor ons project, is het sniffen van Probe Requests. Dit kan alleen in Monitor mode. De NIC in monitor mode lukt ons zonder problemen (zowel in Terminal als in code). Echter vraagt de opdrachtgever nu, om er voor te zorgen dat de NIC tegelijk nog kan gebruikt worden als Acces Point. Wij vertelden hem dat dit niet mogelijk is. Monitor mode is een exclusieve toestand, waarbij alle andere gebruik onmogelijk wordt.

Nu... Vandaag, bij het testen van een ander programma, merkte ik ineens dit in iwconfig:


Blijkbaar is er een 2de interface (die niet zichtbaar is in ifconfig) bijgekomen, genaamd wlan1mon.
Dit gaf ons ergens het vermoeden dat het misschien toch mogelijk zou zijn om de NIC nog als AP te gebruiken, terwijl we hem in ons programma gebruiken in Monitor mode.

Nu is de vraag aan jullie dus: Kan dit? Kan ik deze 2de "virtuele" NIC laten sniffen, terwijl de andere in normaal bedrijf blijft?


Alvast bedankt!

Met vriendelijke groeten,
Azziplekkus

Gisteren na het posten van dit heb ik nog wat extra opzoek werk gedaan, en ben ik dit tegengekomen:

It depends on the hardware and OS.

It is perfectly doable to run, for example, a Linux machine with an ath5K/ath9K device which is supporting two virtual devices - one in managed mode and one in ad hoc mode. I've done this many times and it works flawlessly.

The reason why these cards work well is that much of their behaviour is controlled by the device driver. Other cards use a dedicated processor in the network interface and you are stuck with the behaviour the manufacturers built into the firmware that runs on the WNIC.

en

Linux wireless networks does support multiple interfaces per physical wireless LAN card. So for example you can have one card and two interfaces, wlan0 and wlan1, each on separate networks. Similar when we monitor we have wlan0 and a second interface mon0. The support for multiple interfaces per card depends on the driver/card thought.

I just briefly tried leaving wlan0 up (not deleting it, i.e. skipping the step "sudo iw dev wlan0 del" above) and it working. I captured packets on mon0 and at the same time had normal access via an AP. You should try yourself - hopefully it is the same when running as an AP.

Note the way virtual interfaces work with a single hardware device is that the device quickly switches between operating in each interface. The problem with this is that while operating as one interface, the other interface is not available. That means packets cannot be received on that second interface and may be lost. This not only impacts on performance (50% of time on each interface) but in monitor mode may mean you miss capturing 50% of the packets.

Another interface is to get a second wireless card.

Ik maak er dus uit op dat het in theorie kan, maar dat ik in de praktijk dan de helft van mijn probe requests ga missen (wat onaanvaardbaar is).
Of zijn er nog andere manieren die ik over het hoofd zie?