我正在使用 Wireshark 进行 802.11g 嗅探。AP 未使用任何加密。以下是我的观察:
- 绝大多数数据包都是信标和探测请求。
- 如果我使用过滤器过滤掉信标
!(wlan.fc.type_subtype==0x08),我可以看到一些 ARP、ICMPv6、IGMPv3 和 DHCP 数据包。这些数据包大多是在站点与 AP 建立新连接时产生的。 - 当我执行 Ping 或 telnet 操作时,我看不到任何数据包,即使 Ping/telnet 操作顺利进行且成功。
- 基本上,只显示广播数据包。(一个例外是,某些数据包的目标地址为 Cisco_00:00:00/01:0b:85:00:00:00)。
有人知道哪里出了问题吗?
我的 Wireshark 版本是 1.8.2。我使用的是 Ubuntu 12.10 和 USB 无线适配器 Belkin F5D7050。我已将 WLAN 接口置于监控模式airmon-ng start wlan1。
(更新:这看起来像是驱动程序或硬件问题。还有一些类似的讨论,例如这里。
答案1
您可能正在“受保护”的网络上捕获数据,即使用 WEP 或 WPA/WPA2 加密的网络,并且只有在 Wireshark 拥有足够的信息解密这些帧时,它才能解析这些帧的有效负载。 “如何解密 802.11”页面Wireshark Wiki 对此进行了详细解释。