我正在尝试捕获网络流量 - 特别是 Windows 中的管理帧(以及来自这些帧的特别是信标帧)。
我的无线网卡Intel Wifi AX201 160mhz是似乎支持监控模式。我花了几个小时浏览了很多文章,发现这颗宝石- 这似乎总结了所有内容。正如文章所解释的那样 - 默认情况下,无线接口不允许捕获网络中交换的所有内容 - 通常捕获实用程序将捕获的唯一类型的网络帧是数据帧。正如我在顶部提到的,我追求的是信标帧,它由管理帧的特定子类型。
运行 netmon 并在无线网卡上启动捕获确实会显示类型为 10(2)的帧(应用以下过滤器:)frame.WiFi.FrameControl.Type == 2,但没有管理(frame.WiFi.FrameControl.Type == 0)。
令我失望的是(我想,所有其他试图做同样事情的新手也一样)——几天前我的第一选择是 Wireshark,但结果却很差(文章说这不是 wireshark 的问题,而是 Windows 的问题。不管怎样)——因为它将帧显示802.11为常规以太网帧——因此在捕获的流量中甚至找不到帧控制,这使得新手更难开始了解他们在看什么(我从维基百科文章开始)。
回到文章和我的问题 -netmon事情似乎开始有意义,但令我更加沮丧的是 - 当最终指导如何配置netmon以捕获所有帧(包括管理帧)时 - 它说需要在scanning option按钮中应用一些设置。
现在,文章提到必须使用netmon。Administrator privileges我也是,至少遵循这假设我如何知道我的进程是否以管理员权限运行。
简而言之,在 Windows 网络管理器中配置无线网卡的属性时,我需要看到类似这样的屏幕
但我只看到一个
我尝试调查是否有办法通过 netmon 的命令行对应程序 - nmcap - 将接口设置为监视模式(这scanning option最终是该按钮的用途),但没有成功。
有人会在这里注入希望吗?
更新:
我第一次能够在 Wireshark 中显示 802.11 帧 - 使用 捕获netsh trace start capture=yes并将跟踪文件转换为pcapng以下格式:etl2pcapng。可能可以通过 Windows 网络监视器 (.cap 文件) 导出捕获并在 Wireshark 中打开来执行相同操作。没有尝试。在 WNM 中查看数据仍然感觉更舒服。
答案1
每个 Wi-Fi 适配器在硬件层面上都“支持监控模式”。在操作系统层面上,这完全取决于驱动程序。如果您的适配器在内核网站,Linux 内核驱动程序支持为其设置监控模式。这还不包括 Windows 下的功能。
这Techwiser 文章建议如何使用 Microsoft 网络监视器 ( netmon) 来验证 Windows 驱动程序是否支持监视模式。您在网络管理器中看不到扫描选项,这表明它不支持。
您可以做的是安装 Linux VM。不幸的是,您很可能需要获得额外的 USB Wi-Fi 适配器,因为至少对于 VirtualBox,Windows 不允许板载 Wi-Fi 适配器直通。对于某些事情,其他平台比 Windows 更灵活。