A raiz de las necesidades de mi script (PixieScript) y  de lo hablado en este post me decidí a hacer una herramienta que intente cubrir las necesidades de todos aquellos que desarollamos scripts y nos vemos limitados a las herramientas standar por llamarlo de alguna manera.

De esa idea ha surgido Dixie Escaner , desarrollado a partir de wash pero orientado de una forma muy distinta.
De entrada no depende de ningun db, ni de una ruta prefijada ... Su caracteristica principal es las diferentes posibilidades que tenemos a la hora de mostrar los datos del escaneo y pasarselos a nuestros scripts, pues entre otras cosas nos permite decidir los datos a volcar por pantalla o en un archivo y los delimitadores entre los campos.

En un principio como algunos de vosotros ya sabeis, era un simple escaner wps, pero como siempre, me lio me lio y acaba siendo algo más desarrollado, asi que me he decidido a publicarlo aquí..

Entre otras mejoras, y respecto a la primera versión de pruebas que publiqué en seguridad wireless ahora muestra el tipo de cifrado del AP, los datos por pantalla no se descuadran  he añadido colorines y alguna cosilla más.

En fín, os presento las características de este nuevo escaner.

OPCION -i --interface
Argumento requerido, es la interface que vayamos a usar.
Solamente no tendremos que pasarle esta opción si leemos paquetes desde un pcap.

OPCION -w --wps
Solamente nos mostrará datos de APs con WPS activado. No requiero ningún argumento adicional.

OPCION -c --canal 
Podemos decierle al escaner que trabaje en un rango de canales o en unos canales concretos.
Para un solo canal : -c 2
Para usar un rango : -c 1-8 
Para usar canales en concreto : -c 2,5,8,10 
Si no le pasamos esta opción el escaner trabajara de los canales 1 a 13.

OPCION -l --lcap 
En vez de capturar paquetes los leerá del pcap que le pasemos como ruta.
Si usamos esta opción no podemos usar el argumento -i

OPCION -e --ecap 
Escribirá los paquetes capturados en un archivo pcap que le pasemos como ruta.

OPCION -t --tiempo
Estará escaneando la cantidad de segundos pasados como argumento y luego se detendrá.

OPCION  -o --output
Creará un archivo (de texto) con los datos recogidos por el escaner. Los separará entre ellos con el delimitador que nosotros queramos.
Es necesario usar lel argumento -d conjuntamente con esta opción.

OPCION -d --delimitador
Con está opción le indicamos al programa el delimitador a usar en el archivo de volcado de datos (-o)
Usarlo entre comillas simples ... -d '#'

OPCION -h --handshake 
Está opción nos servirá para capturar handshakes. Por pantalla no aparecerá nada hasta que no se capture un handshake.
Es necesario usar la opción -e para crear el archivo pcap donde guardar el handshake.
Podemos usar dos tipos de argumentos con esta opción:
                  -h XX:XX:XX:XX:XX:XX -> solo capturará el handshake del bssid pasado como argumento y se detendrá el programa.
                  -h 0                            -> capturará cualquier handshake detectado y seguira hasta que el usuario lo detenga.
En ambos casos el el momento de la captura se mostrará un aviso en pantalla.
Recomiendo trabajar en un solo canal cuando usemos esta opción.

OPCION  -I --info
Mostrará información adicional de cada bssid que tenga WPS activado. La información a mostrar dependerá de los argumentos que le pasemos.
Teneis la lista detallada de cada información que pude mostrar, para usarlo simplemente  -I 3,6,7 o los campos que querais.

OPCION  -D --daemon
Lanzará el programa de fondo, no se mostrará ningún tipo de interface.
Esta opción está pensada para ejecutar el escaner desde un sript y parsear el archivo de volcado.
Usarlo con -t y -o. 

PARA COMPILARLO
make
PARA INSTALARLO
make install
PARA DESINSTALARLO
make distclean
PARA USARLO
Si lo haceis desde la misma carpeta donde lo habeis compilado :
./DixieScanSi lo has instalado
DixieScan
PARA CREAR UN MODULO UNA VEZ COMPILADO
chmod +x CrearModulo
./CrearModulo
DESCARGA VERSION 1.0
Dixie Escaner v1.0
DESCARGA VERSION 1.1 ( Interface con GTK)
Dixie Escaner  v1.1
DESCARGA VERSION 1.2 ( Agregadas opciones al makefile y script para crear módulo)
Dixie Escaner v1.2

Para acabar decir que esto para mi es un ejercicio de aprendizaje, y que no soy ningún programador experto ni nada similar, así que si eres un gurú del c, ten compasión de mi  

Captura de la versión 1.1

el error del power en 00 , es el mismo de wash.

abria que mirar airodump-ng , que durante unoa dias tambien padecio el bug (algo cambio en el driver ath9k) , y despues lo arrgfelaron.


lo de los descuadres por pantalla , le paso a geminis en algun script y lo acabao arreglando , pero no se que toco.


filtrar por canal ... eso si que creo deberias mirarlo , poder elegir si quieres escanear un solo canal o un rango , si no se le pasa argumento , pues que escanee en todos.

geminis arreglo descuadres similares en BASH , no en C , pero lo comentaba por que igual el podia explicarte como lo solucionaba , aunque igual no te vale para C .

Lo del power , yo tengo dos tarjetas una 9280 y una 9271   , el bug es el mismo de wash , solo que wash , muestra 00 , cuando no puede obtener el valor de rssi.


En airodump , paso lo mismo durantes dias, despues lo arreglaron.

a mi si me sale bien el rssi,una prueba rapida con mi portatil que lleva atheros 9285 ath9k a mi router

./swpse -i mon0 -t 60 -I 123456
1 BSSID: 18:83:BF:xx:xx:xx  RSSI: -72  CANAL: 5  WPS VERSION: 1.0  WPS LOCKED: No  SSID: Orange-xxxx
Manufacturer   : Corporation
Model Name     : ARV7519RW22
Model Number   : 00.96.315
Device Name    : Wireless Router(WFA)
UUID           : 000000000000000300001883BF9BFD92
Serial Number  : 4A343336303132303838

SALUDOS

Bueno, como siempre que empiezo un proyecto se me ocurren mil ideas y acaba siendo algo completamente distinto jeje, y con este escaner no es la excepción.
Estoy implementando muchas cosas nuevas, y entre ellas poder leer el trafico desde un pcap.

Y digo esto , por que como estaba pendiente el tema de que con algunas tarjetas con chipset ath9k no proporcionaba bien el rssi me gustaría probar unas cosas, así que si algún amable poseedor de esa tarjeta que le de fallo me puede proporcionar un pcap (capturado con esa tarjeta claro) le estaria muy agradecido.

Saludos y gracias...

A ver, geminis me proporcionó un pcap capturado con una atk9h, y efectivamente, al abrirlo con mi programa rssi 0, a continuación lo abrí con airodump y mismo resultado, ya extrañado lo abro con wireshark y para mi sorpresa mismo resultado.. rssi 0!!!

Entonces es cuando me he dado cuenta de lo que está pasando, y no es un problema ni del wash, ni del airodump, ni del wireshark... el tema es el siguiente:

Cuando se recibe un paquete hay una función en libpcap que te dice que tipo de paquete es (pcap_datalink), bien, con cualquier driver que he probado el tipo de paquete capturado es DLT_IEEE802_11_RADIO, que sin entrar en detalles técnicos diré que lleva una cabecera (radiotap header) la cual entr otros valores contiene el rssi.

¿ Que ocurre cuando capturamos con ath9k ? Pués que el tipo de paquete es DLT_IEEE802_11 !!! Y resulta que este tipo de paquete no contiene la cabecera radiotap_header, por lo que es imposible obtener entre otros valores el RSSI

Fijaros, la primera es con una ralink y la segunda con la atk9h

53 0.824879     Sagemcom_4b:b2:05 Broadcast   802.11  135  Beacon frame, SN=3630, FN=0, Flags=........, BI=100, SSID=XXXX   -79 dBm

 1 0.000000     00:b0:0c:1c:d7:10      Broadcast   802.11  304  Beacon frame, SN=187  , FN=0, Flags=........, BI=100, SSID=XXXX   

Si os fijais en la segunda captura, la hecha con la athk9 no contiene la sección radiotap header....

Puede que este confundido eh, ya que el pcap que me han proporcionado contiene muy pocas capturas y necesitaria más para confirmar lo que expongo,  pero al menos yo lo entiendo así......

Aquí hablan de ello http://seclists.org/tcpdump/2013/q2/49

Bueno, ¿y entonces como hace airodump para mostrar el rssi? Porque cuando escanea si que lo muestra, y queda reflejado en el archico csv.

Pues no lo se por ahora.... si puedes a la noche enviame un pcap más extenso a ver si saco algo en claro.

De momento tengo aparcado el tema ya que me ha dado por actualizar las libpcap a ver que tal y peta, así que estoy adaptandolo para solucionar el problema, que vamos, lo tengo localizado...

contáctame por privado y dime exactamente que necesitas.


no se que problema tienes con libpcap ... yo en la de desarrollo estoy usando las ultimas y funciona perfecto ..a excepción del rssi con las ath9k


me imagino que lo que necesitas es que el cap , contenga datas además de los beacons ?¿


y airodump , muestra bien el rssi ... te comente que durante un periodo estuvieron igual y después lo arreglaron...no se si lo tendras anticuado.

en la 1.2-rc1  salían con rssi 00 y en la 1.2-rc2  lo corriegieron


buscando en google por      ath9k radiotap patch

salen algunos resultados.

NO , además esa versión de libpacap dio muuuuchos problemas.

en su web pone que la ultima es 1.7.3 ..pero mirando el log de desarrollo veo que tengo


1.7.2  


actualiza.


luego mirare a ver por que el updater no me aviso de la 1.7.3  ya que en desarrollo tengo 1.7.2 y no salio aviso.

jajaja, pues acabo de hacer el tonto modificando el wash para que me funcione con 1.5.3 ajajajaja.... ainsssssssssssssss

de hecho creo que esa versión de libpcap y alguna mas ..no llego ni a entrar en la línea de desarrollo por que rompia mas que arreglaba.


acabo de arrancar la iso de desarrollo , donde me funciona bien tu escáner y es libpcap 1.7.3  , me extrañaba tenerlas desactualizadas  


asi que en 1.7.3  funciona bien , a excepción del rssi con ath9k ...  que podría ser tema de driver que necesite un patch (cosa que también dudo ya que airodump lo soluciono)