最近我一直在尝试分析我自己的测试路由器上的 wifi 流量。我在 wireshark 网站上查找了如何执行此操作并设置了我自己的测试网络。
我的网络:
dd-wrt 路由器采用 tkip+aes 的 WPA2 个人混合安全。
使用 wireshark 1.8.5 的 kali linux 捕获机器
安卓手机产生流量
然后我将我的 kali 笔记本电脑的无线接口置于监控模式用户 airmon-ng
airmon-ng start wlan0
为了检查创建的监控接口 (mon0) 是否正常工作,我将使用 airodump-ng。当我知道我的监控接口正常工作时,我启动了 Wireshark。我选择 mon0 作为捕获接口并按下选项。在捕获选项中,我将通过 airodump-ng 获得的路由器的 mac 地址放在捕获过滤器区域中。
然后,我将处理查看实际数据所需的数据包解密。我访问了以下网页:http://wiki.wireshark.org/HowToDecrypt802.11
我按照那里的说明进行操作。(只有我需要输入解密密钥的方式与页面上描述的 key#1 系统不同。我得到一个新窗口,我需要在其中选择安全方法 wep、wpa-pwd 或 wpa-psk 并输入密钥)。我使用 wireshark wpa psk 生成器工具来获取正确的预共享密钥。
http://www.wireshark.org/tools/wpa-psk.html
Essid:“测试网”
密码:“wachtwoord”
验证码:33fe484e651381b15859e539279f2991c0f5e5e751ef17f82104d4ad528718ca
我输入了 2 个新密钥。一个是 wpa-pwd,其值为 wachtwoord。第二个是 wpa-psk,其值为上面提到的 psk。
我应用了所有设置,并选中了启用解密复选框。
因此我单击了开始捕获按钮,然后看到一大堆信标帧滚滚而来。我将我的 Android 手机与 AP 关联起来,因此我知道我捕获了 eapol 数据包(我使用过滤器检查了这一点,并且我拥有全部 4 个数据包)。
使用“数据”过滤后,我发现没有捕获任何数据包。
然后我希望看到实际流量,但事实并非如此。airdecap-ng 在捕获文件中没有看到任何 WPA 数据包。
经过几个小时的困惑,我唯一能想到的就是缺乏驱动程序支持。请告诉我我做错了什么?
谢谢你!
tl;dr:我的计算机没有捕获 802.11 wpa2 数据包,我不知道原因。
答案1
如果您的捕获过滤器具有路由器无线接口的 MAC 地址,那么您将看不到来自客户端的任何数据包。您的客户端仅在关联/身份验证期间与路由器的无线接口 MAC 地址通信。此后,它将与它尝试通信的设备的 MAC 或路由器路由接口的 MAC 地址通信。