使用 Wireshark 嗅探无线 (Wi-Fi) 流量

使用 Wireshark 嗅探无线 (Wi-Fi) 流量

我的 Debian 机器上有一块无线网卡 (ALFA AWUS036H),处于监控模式 (带airmon-ng start wlan0)。在 Wireshark 的“捕获选项”中,我的所有接口都处于混杂模式。

测试网络是受 WEP 保护的 Wi-Fi 网络(我有密钥)。

在 Wireshark 中,我只看到信息数据包(探测请求、信标帧等),但没有“真实”流量,即使我正在使用网络并连接另一台设备。我尝试按照官方文档(https://wiki.wireshark.org/HowToDecrypt802.11),但我看不到“解密密钥…”按钮(“添加密钥:无线工具栏”部分)。我以为我可以看到未解密的流量,但事实并非如此。

那么我如何才能看到流量并解密呢?最终,我想使用 scapy,因此我愿意接受有关 scapy 和/或 Wireshark 的建议。

答案1

您需要确保您的捕获卡能够支持目标设备可以使用的每种信号调制方式。您的 AWUS036H 是 B/G 设备。如果您的目标 AP 和客户端(您要捕获其流量的设备)是支持 802.11a、802.11n 或 802.11ac 的设备,您的 B/G 卡将无法捕获其流量。

即使仅仅寻找“802.11ac”也是不够的,因为 802.11ac 有多种变体,并非所有设备都支持:2、3、4 和更多的空间流;80MHz、80+80 和 160MHz 宽的通道;MCS 8 和 9(256-QAM),在不同国家合法/非法的各种通道,为不同国家设计的设备可能支持或不支持,等等。

您还必须确保您的捕获设备位于目标 AP 和目标客户端“之间”。也就是说,它至少能够像目标客户端一样接收来自目标 AP 的传输,并且至少能够像目标 AP 一样接收来自目标客户端的传输。

您还需要确保您的接口处于监控模式和混杂模式(这两个设置可以正交;不要假设监控模式意味着硬件/驱动程序上的混杂模式),但听起来您已经处理好了这一点。

相关内容