所以我刚开始使用 Wireshark,无法弄清楚如何捕获网络上的所有流量。我采取的步骤是将我的卡置于监控模式,然后打开 Wireshark 并选择该接口。一旦 Wireshark 启动,我就会获得大量有关我周围 AP 的信息,但所有 AP 都采用 802.11 协议。就是这样。但是,如果我打开 Wireshark 并选择其他未处于监控模式且连接到互联网的适配器,那么我可以看到 HTTP 和 TCP 数据包,但只能来自我的机器。我没有从网络的其余部分拾取数据包。所以我不确定我遗漏了什么。是否需要配置其他一些设置才能从网络上的其余设备拾取流量。感谢任何可以提供帮助的人。
答案1
如果您的无线网络是加密的(例如,如果您使用的是 WPA2-PSK),那么 Wireshark 首先将只能看到 802.11 数据包的加密形式,而无法解密它们以查看里面的 TCP/IP(或 UDP/IP)数据包。
Wireshark 可以解密 WPA2-PSK 加密,但需要做一些工作。您需要知道网络的密码或 PSK、网络名称 (SSID),并且需要捕获目标客户端与 AP(无线路由器)在客户端加入网络时执行的 WPA2 eapol-key“四次握手”。如果您捕获了该四次密钥握手,并且知道网络的密码和 SSID,那么您就可以解密该会话中往返于该客户端的所有数据包(即,直到该客户端离开并重新加入网络,在这种情况下,您需要捕获新的四次握手才能解密新启动会话的流量)。
有关如何以及在何处输入网络密码和名称的详细信息,请参阅Wireshark 文档如何解密 802.11