如果使用tcpdump监控无线接口并在特定信道上监听与 BSSID 相关的流量,我该如何显示有关任何连接客户端的信息(例如 mac 地址)?
以下命令可以捕获信标数据包:
tcpdump "type mgt subtype beacon and ether src $BSSID" -I -c200 -i en1 -vv
是否可以改变类型和子类型并显示连接的客户端?
tcpdump 在 MacOS 上的版本是 4.9.3 -airmon并且airodump无法在该平台上运行并且airport sniff似乎只能写入 cap 文件。
答案1
AP 只会向已连接的客户端发送数据帧,并接受来自已连接客户端的数据帧。因此,请捕获数据帧。如果您看到从 AP 的 MAC 地址 (BSSID) 到某个 MAC 地址的 FromDS 数据帧,则表明该客户端已连接(或者至少 AP 尚未意识到客户端已消失)。如果您看到到 BSSID 的 ToDS 数据帧,并且 AP 不会立即解除认证,则表明发送该数据帧的客户端在发送时已连接。
没有可靠的方法来知道是否有其他客户端连接,只是恰好处于空闲状态或者您无法捕获到它们的任何数据包。