我想知道有多少数据包传输到我的无线网络中的某个 MAC 地址,并受到 WPA2 的保护。我对数据包的内容一点也不感兴趣,我只是需要一个计数。
我的设置如下:我有一台笔记本电脑产生流量,我想要该笔记本电脑的数据包计数,我还有第二台笔记本电脑(运行 Linux,CLI)监控网络。
我尝试使用 airmon-ng: 将监控笔记本电脑上的接口置于监控模式airmon-ng start wlan0。之后,我可以使用tshark -I -i mon0 -n -f "ether host 60:36:dd:15:be:d1"(60:36:dd:15:be:d1 是我的笔记本电脑无线网卡的 MAC 地址) 捕获“一些”数据包。但是,所有这些数据都显示为“QoS 数据”。我在其他地方读到加密数据包 (例如 TCP/UDP) 应该只显示为“数据”。
奇怪的是,使用 airodump-ng ( airodump-ng mon0 --bssid 25:c9:b1:2e:36:48 --channel 3) 监控网络会检测到我想要计数的 AP 客户端。每次我生成流量时,计数器都会增加。遗憾的是,tshark 无法检测到此数据。
我的问题:tshark 有没有办法显示具有特定 MAC 地址目的地的加密(或未加密 - 这是我的网络,我知道密钥)数据包?
答案1
这些QoS Data帧就是您要查找的帧。QoS Data帧只是Data来自知道如何执行 QoS 的设备所发出的帧。802.11n、802.11ac 及更高版本都需要 QoS,因此基本上所有 802.11n、802.11ac 及更高版本的数据帧都将显示为QoS Data。
您所查看的仅提及帧的文档Data一定是在 A/B/G 时代编写的。或者,它可能是为那些对 802.11 有足够了解的读者编写的,他们知道Data和QoS Data帧之间的区别在此上下文中无关紧要。
Data在现代数据包捕获中仍然可以看到非 QOS帧,但这通常表明您的网络上有一个 802.11g 或更早版本的客户端。