是否存在一些对于无线捕获特别有用的捕获过滤器(或替代品)?

是否存在一些对于无线捕获特别有用的捕获过滤器(或替代品)?

我正在使用 Wireshark 在监控模式下捕获无线流量。我只想捕获特定 BSS 的流量。

虽然wlan.bssid == xx:xx:xx:xx:xx:xx它可以很好地用作显示过滤器,但我不希望我的数据被我不感兴趣的无用流量所扰乱(每个通道中的空气都非常混乱)。

这里的问题是:

  • 是否有一些对于无线捕获特别有用的捕获过滤器?
  • 仅捕获发往或来自 AP 的流量的最佳方法是什么?

答案1

这里还有一些更有用的捕获过滤器:
wlan sa(源地址):
wlan src XX:XX:XX:XX:XX:XX

wlan da(目标地址):
wlan dst XX:XX:XX:XX:XX:XX

wlan ra(接收地址):
wlan addr1 XX:XX:XX:XX:XX:XX

wlan ta(发送器地址):
wlan addr2 XX:XX:XX:XX:XX:XX

wlan host XX:XX:XX:XX:XX:XX

感谢盖伊·哈里斯

答案2

捕获无线流量可能非常困难,因为并非所有无线适配器都会像您期望的那样进入混杂模式。

你可能需要一个AirPcap 设备

至于过滤器,我不明白为什么不能将其用作显示过滤器,将标记的数据包导出到不同的 pcap 文件,然后重新打开该文件。我不确定用于显示的同一种过滤器是否可用作捕获模式下的过滤器。我只会过滤并导出。

答案3

如何使用 wireshark 的 cmdline 版本,您可以在其中指定各种参数。

root@kali-raspberry-pi1:~# tshark -tad -nni wlan0mon -f 'ether host d2:9e:43:xx:xx:xx and not broadcast'
以用户“root”和组“root”身份运行。这可能很危险。
在“wlan0mon”上捕获
** (tshark:8789) 16:41:26.778825 [主要消息] -- 捕获已开始。
** (tshark:8789) 16:41:26.790889 [主消息] -- 文件:
“/tmp/wireshark_wlan0monC2BKW1.pcapng” 1 2022-11-26 16:41:50.389080784 d2:9e:43:xx:xx:xx → da:f7:ec:xx:xx:xx 802.11 450 探测响应,SN=424,FN=0,Flags=....R...C,BI=108,SSID="xxx"
2 2022-11-26 16:41:53.973077782 d2:9e:43:xx:xx:xx → 00:27:22:xx:xx:xx 802.11 450 探测响应, SN=425,FN=0,Flags=....R...C,BI=108,SSID="xxx"
3 2022-11-26 16:41:53.978267971 d2:9e:43:xx:xx:xx → 00:27:22:28:ea:c2 802.11 450 Probe Response,SN=425,FN=0,Flags=....R...C,BI=108,SSID="xxx"
^Ctshark:
捕获了 3 个数据包
root@kali-raspberry-pi1:~#

xxx以防万一你是我的邻居之一)。

相关内容