如何捕获 802.11x 帧格式的无线连接中的 tcp/ip 流量?

如何捕获 802.11x 帧格式的无线连接中的 tcp/ip 流量?

我正在使用 wireshark 程序来嗅探我的流量。当我将网卡模式从管理模式更改为监控模式时,我在 wireshark 中只看到“信标帧”和“RTS 和 CTS”数据包。有什么方法可以嗅探在 wireshark 中,tcp/ip 流量采用 802.11x 帧格式,而不是以太网或者是其他东西?

分别地,

有什么办法无需切换到监控模式就能嗅探无线网卡的 tcp/ip 流量?因为当我将无线网卡的模式改为监控模式时,互联网连接断开,然后我无法连接任何网站。因此,我无法在无线连接中使用 wireshark 嗅探我的 tcp/ip 流量。

提前致谢。

答案1

根据我的经验,大多数无线网卡在同时进行 802.11 监控模式数据包捕获的同时,还不能很好地保持网络连接。通常,当人们试图在同一张卡上同时进行这两项操作时,人们最终看不到应该看到的所有 802.11 数据包;尤其是卡固件传输的 802.11 Ack。

所以我建议不要尝试做你正在做的事情。

如果您想要捕获 AP 和客户端之间的所有 802.11 流量,请在两个设备中间设置一个单独的无线嗅探器机器,并将其置于完整的 802.11 监控模式(与所有网络断开连接,只调到目标 AP 和客户端所在的频道)。确保嗅探器的无线卡能够支持目标 AP 和客户端都支持的所有调制和编码方案。例如,如果 AP 和客户端都是支持 MCS 9x3 的 3 流 802.11ac,则您需要嗅探器支持 3 流 802.11ac MCS 9x3,以便查看 AP 或客户端使用该方案传输的任何流量。即使您正确使用了硬件,也要注意 MIMO 空间流和波束成形的本质意味着任何传输的信号都是为完美适合目标接收器而定制的,因此无法保证它具有足够的质量以供任何窃听者/嗅探者在任何其他位置接收。

如果您按照我建议的方式设置独立嗅探器,请确保您的网络不使用任何安全措施,或者,如果使用 WPA2-PSK,请确保在目标客户端加入 AP 之前启动嗅探器。您需要捕获 WPA2 密钥握手并了解网络的 WPA2-PSK 密码,以便解密来自目标客户端的流量。

如果您无法设置独立的嗅探器,我建议您以常规以太网方式捕获数据包(如果您认为问题出在 IP 层或更高层),以“关联监控模式”捕获数据包(如果您认为问题出在 802.11 层)。但是,同样,您可能无法通过这种方式完全诊断 802.11 问题,因为您可能看不到客户端发送的 Ack。因此,您对无线传输中发生的事情的了解会存在差距,这将使诊断问题变得困难。

相关内容