如何让 Wireshark 显示 http 格式而不是 802.11 格式,或者检查 Wireshark 是否正在捕获它

如何让 Wireshark 显示 http 格式而不是 802.11 格式,或者检查 Wireshark 是否正在捕获它

首先,这可能看起来像是帖子,确实有点,但在写这篇文章的时候,我的声誉还不够高,无法发表评论,而且我在应用该答案时遇到了一些问题。

我设置了一个开放的 WiFi AP(测试热点),并尝试嗅探来自和流向它的 WiFi 流量。我用手机连接到它,加载了一个非安全测试网站(仅 HTTP,没有 SSL 或任何其他内容),并填写了密码表单。

我期望它出现在 Wireshark 中,但它没有。在针对我的问题进行了一些研究后,我遇到了上述问题并尝试了那里给出的答案,http在过滤框中输入没有结果,只有一个空白屏幕。它确实拦截了来自 AP 的日期,因为它显示SSID=testing-hotspot。有人知道是什么原因造成的,我该如何解决这个问题吗?

- 编辑:

我添加了截图 添加了屏幕截图

我想知道如何查看 HTTP、TCP、UDP 等数据包,而不是802.11

答案1

您的屏幕截图仅显示信标帧,而不是您的手机和 AP 之间的实际数据。

因此,要么 (1) 您捕获了错误的 wifi 接口,要么 (2) 您没有向我们显示捕获的非信标帧,要么 (3) 您的手机没有连接到测试热点,而是连接到了其他 AP,或者 (4) 您的整个设置使您无法捕获手机和 AP 之间的数据。

请注意,您不会看到 WLAN 上其他客户端和 AP 之间的流量,因此如果您在不同于手机的客户端上捕获此信息,它将无法工作。

您要么需要在手机上捕获流量,要么需要在 AP 本身上捕获流量。并且必须配置 AP 以将数据包转发到其他网络接口,例如 LAN。如果您将 WLAN-AP 桥接到 WLAN-STATION,则可能看不到任何数据包。

答案2

您使用的可监控适配器不仅必须支持频段,还必须支持您要检查的连接所使用的 MIMO 和调制模式。

同样重要的是,使用命令选择正确的频道

iw dev <name of interface which is in monitor mode> set channel <channel number the AP or client tells you> <channel mode you have to try>

这可确保您获得真正有趣的数据包。

您可以使用以下命令列出允许的频道模式

iw dev <name of interface which is in monitor mode> set channel help

此外,您需要在 Wireshark 中设置解密。对于 WPA2:

首选项/协议/IEEE 802.11/启用解密,然后编辑。

您需要以“WiFi-Pwd:SSID”格式输入 WPA-PWD。请确保看到 AP 和客户端之间的所有 4 个 EAPOL 数据包。这是查看有效负载的先决条件。

获得 100% 的结果并不容易。请只指望看到一个方向,另一个方向则被忽略。

相关内容