Las herramientas de monitoreo están diseñadas para capturar información sensible de la red (por ejemplo, la dirección MAC, dirección IP origen y destino, identificadores de usuario, contraseñas, clave WEP, etc.) como un paso previo a ataques posteriores. Las herramientas de monitoreo son identificadas como Sniffer derivado del mencionado War Driver
(Pellejero et al., 2006b) ejecutado por las herramientas de descubrimiento, y ambos son ataques de carácter pasivo.
Wireshark: Es un herramienta de monitoreo, que se ejecuta en sistemas operativos como Windows, Linux, OS X, Solaris, FreeBSD, NetBSD, entre otros (McClure et al., 2009, Peines, 2013). Los datos capturados de la red se pueden consultar a través de una interfaz gráfica de usuario, mediante sus filtros de visualización. Puede leer y escribir en una larga lista formatos de captura (ejemplo: libpcap de Tcpdump). Captura archivos comprimidos con gzip que pueden ser descomprimidos sobre la marcha. A través de Wireshark se pueden leer datos en tiempo real en Ethernet, IEEE 802.11, PPP con HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, entre otros, dependiendo de la plataforma que se esté usando. Es útil para descifrar múltiples protocolos, incluyendo IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP, WPA/WPA2. Tiene reglas de colores para el análisis intuitivo rápido, aplicándoselo a la lista paquetes (Peines, 2013).
Tcpdump: Es una herramienta estándar de monitoreo de red, es uno de los Sniffer más populares, basado en el sistema operativo UNIX. Tcpdump realiza la decodificación de información de la trama 802.11 en sus 2 últimas versiones, instalando libpcap para apoyarlas. Puede usarse para imprimir todas las cabeceras de los paquetes o para ver todas las cabeceras exactas del tráfico de una red, con el objetivo de supervisar e evitar los ataques que desestabilice el funcionamiento de la misma (McClure et al., 2009).
WifiGossip: Es un prototipo realizado por un grupo de investigadores de la ISPJAE. Es una aplicación que tiene como base la herramienta NetworkMiner. Esta herramienta es un software de código abierto, al cual se le adaptaron e implementaron algoritmos de trabajos, basados en la trama 802.11 y la información que brindan sus campos, posibilitando la identificación de nodos inalámbricos. Con la aplicación WifiGossip, audita características de las redes WLAN, como el modo de trabajo de la red (si es ad hoc o infraestructura), dirección IP, dirección MAC y marca del equipo de conexión. El objetivo de este prototipo es facilitar el trabajo de los administradores de la seguridad de las redes WLAN, notándose que las herramientas de monitorización y análisis de tráfico deben contar con un grupo de prestaciones que les posibiliten una mayor eficacia en sus tareas. Los avances de esta herramienta se centran en la optimización del algoritmo general y la inclusión de métodos activos de detección en la herramienta prototipo (Coya et al., 2014).
WiFi Scanner: Es una herramienta que se usa para descubrir los dispositivos IEEE 802.11, pero esencialmente su trabajo es monitorear. Está diseñada para trabajar sobre el sistema operativo Windows (Wirelessdefence.org, 2010a, Security, 2005, McClure et al., 2009). Proporciona información que identifica al AP como el SSID, dirección MAC del AP, nombre del fabricante del dispositivo basado en la dirección de la MAC, velocidades de trasmisión, estándar 802.11 de la red, RSSI, canal en que opera, tipo de estructura de la red, dirección IP del punto de acceso en la red, servidor DHCP, DNS y algoritmo de cifrado (Security, 2005, McClure et al., 2009).
Airfart: Se diseñó mediante un proyecto de ciencias de la computación para una clase de red de nivel universitario. Esta herramienta está escrita en C y C++ y está constituida por GTK. La interfaz GTK, a través de Airfart, identifica y muestra la dirección MAC del AP, el SSID, la intensidad de la señal, el número de paquetes recibidos, y si está activa o no la
red. La utilidad y uso es de carácter sencillo estando a la altura de la mayoría de los sistemas operativos Linux y UNIX que realizan estas funciones (McClure et al., 2009), siendo una excelente herramienta de monitoreo que identificar AP y analizar paquetes en tiempo real (McClure et al., 2012).
Airbase-ng: Esuna herramienta perteneciente a la suite Aircrack-ng, que se ejecuta en los sistemas operativos de Linux y Windows (Aircrack-ng, 2009a, Wirelessdefence.org, 2010b, Wirelessdefence.org, 2010a). Es una herramienta de monitoreo que captura paquetes cifrados WEP, WPA y WPA2, se utiliza para habilitar un punto de acceso falso, tiene filtros para identificar SSID y para la dirección MAC; además cifra los paquetes enviados y descifra los paquetes recibidos, de esta manera aporta a la suite Aircrack-ng datos para el trabajo en conjunto con las otras herramientas pertenecientes a la suite (Aircrack-ng, 2009a, Ramachandran, 2012).
OmniPeek: Es una herramienta de monitoreo comercial para IEEE 802.11. Se ejecuta en los sistemas operativos Windows 2000, Windows XP y Vista, y es compatible con redes que trabajen en los estándar 802.11a, 802.11b, 802.11g y 802.11n. Algunas soluciones comerciales de captura de paquetes se encuentran disponibles en Windows, pero las de OmniPeek son las más usadas. Este software está diseñado principalmente para solucionar problemas de las redes inalámbricas, con opciones de seguridad. Analiza las redes auditando los canales en un intervalo definido por el usuario y descifra la clave WEP del tráfico. El filtrado de OmniPeek es fácil de configurar y permite guardar la base de datos de los filtros para un análisis determinado de las redes. La herramienta muestra los datos útiles correspondientes a los clientes del AP como la dirección MAC, dirección IP y protocolo de seguridad que tiene cada uno. Mediante Peer Map presenta una matriz de todos los hosts
descubiertos en la red y parte de sus conexiones entre sí, visualizando la relación del punto de acceso con sus clientes (McClure et al., 2009).