Itcpdump 输出 - 为什么它显示以太网状态?

Itcpdump 输出 - 为什么它显示以太网状态?

tcpdump -i mlan0 -n

tcpdump:抑制详细输出,使用 -v 或 -vv
在 mlan0 上进行完整协议解码侦听,链路类型 EN10MB(以太网),捕获大小 262144 字节

为什么这个以太网在这里?我使用的是 wifi,而不是以太网。

解码收听组网0, 链接型 EN10MB (以太网),捕获大小262144字节

我不知道如何研究这个。我可以找到有关 tcpdump 用法的手册页。但没有什么可以解释这条特定的线。

答案1

为什么这个以太网在这里?我使用的是 wifi,而不是以太网。

因为您不是在监视模式下捕获;在大多数操作系统上,在 Wi-Fi 捕获中获取 802.11 标头(而不是伪造的以太网标头)的唯一方法是在监控模式下进行捕获。这包括 Linux、OS X 和 Windows(尽管 WinPcap 目前不支持监视器模式)。

如果您只想查看进出计算机的流量,则可以在不使用监视器模式的情况下进行捕获。除了数据包之外,您不会看到其他数据包。

如果您想要查看网络上的其他流量,或者想要查看非数据包,或者想要查看 802.11 标头,或者想要查看 802.11 标头无线电信息(数据速率、信号强度等),您需要在监控模式下捕获。但是,在监视模式下,受保护网络(使用 WEP 或 WPA/WPA2 的网络)上的数据包将不会被解密; Wireshark可以解密它们如果您提供网络的密码,如果网络使用 WPA/WPA2,如果您已经捕获了要解密其流量的每台设备的初始 EAPOL 握手。

相关内容