我正在尝试捕获和分析我的网络流量。我们有一个无线路由器,它有有线和无线客户端。
我的 Kali 电脑通过路由器连接以太网端口和混杂模式在。
虽然在中捕获和分析了数据包wireshark,但我注意到在 Wireshark 中,有线客户端的流量可以通过所有协议捕获,但对于无线客户端,只能捕获MDNS协议数据包,而不能捕获任何TCP或UDP数据包。
我试图了解,当数据包捕获在以太网混杂模式下运行时,无法与有线数据包一起获取无线客户端数据包的原因是什么?
还有其他方法可以实现这一点吗 - 在以太网混杂模式下捕获有线和无线数据包?
谢谢
答案1
简单来说,无线数据包使用不同的介质发送,因为您正在以太网上监听。此外,802.11 使用 WPA2 等加密。
因此,如果您想要实际的无线帧,您需要解密帧并使用在监控模式下打开的 wifi 接口进行监听。Protocols > IEEE 802.11在 Wiresharks 首选项中允许设置解密密钥,但根据您的情况,获取/获取该密钥可能会很困难。
另一种选择是在路由器上嗅探(如果您的 CPE 支持),这可能更容易访问,但您会失去一定程度的真实感,因为您可能会在子网络层上看到适配的帧。