Wireshark プログラムを使用してトラフィックをスニッフィングしています。ネットワーク カードのモードを管理モードからモニター モードに変更すると、Wireshark には「ビーコン フレーム」と「RTS と CTS」パケットしか表示されません。スニッフィングする方法はありますか?Wireshark でイーサネットの代わりに 802.11x フレーム形式の TCP/IP トラフィックまたは、他の何か?
別々に、
何か方法はあるでしょうかモニター モードに変更せずにワイヤレス カードの TCP/IP トラフィックをスニッフィングできますか?ワイヤレス カードのモードをモニター モードに変更すると、インターネット接続がダウンし、どの Web サイトにも接続できなくなります。その結果、ワイヤレス接続で Wireshark を使用して TCP/IP トラフィックをスニッフィングできなくなります。
前もって感謝します。
答え1
私の経験では、ほとんどのワイヤレス カードは、802.11 モニター モードのパケット キャプチャを同時に実行しながら、機能しているネットワーク接続を維持するのが得意ではありません。通常、同じカードで両方を同時に実行しようとすると、表示されるはずのすべての 802.11 パケット (特に、カード ファームウェアが送信した 802.11 Ack) が表示されません。
したがって、あなたがやっていることをやろうとするのはお勧めしません。
AP とクライアント間のすべての 802.11 トラフィックをキャプチャする場合は、2 つのデバイスの中間に別のワイヤレス スニファー マシンを設定し、完全な 802.11 モニター モード (すべてのネットワークから切り離し、ターゲット AP とクライアントが接続されているチャネルにのみ調整) にします。スニファー マシンのワイヤレス カードが、ターゲット AP とクライアントの両方がサポートするすべての変調およびコーディング スキームに対応していることを確認します。たとえば、AP とクライアントの両方が MCS 9x3 をサポートする 3 ストリーム 802.11ac である場合、AP またはクライアントがそのスキームを使用して送信するトラフィックを確認するには、スニファーが 3 ストリーム 802.11ac MCS 9x3 をサポートしている必要があります。ハードウェアが適切であっても、MIMO 空間ストリームとビームフォーミングの性質上、送信される信号は対象の受信者に最適になるように調整されるため、他の場所で盗聴者/スニファーが受信できる十分な品質である保証はありません。
私が提案する独立したスニファー設定を行う場合は、ネットワークでセキュリティが使用されていないことを確認するか、WPA2-PSK を使用している場合は、ターゲット クライアントが AP に参加する前にスニファーを起動してください。ターゲット クライアントからのトラフィックを復号化するには、WPA2 キー ハンドシェイクをキャプチャし、ネットワークの WPA2-PSK パスフレーズを知る必要があります。
独立したスニファーをセットアップできない場合は、問題が IP 層以上にあると思われる場合は通常の Ethernet スタイルでパケットをキャプチャし、問題が 802.11 層にあると思われる場合は「関連モニター モード」でパケットをキャプチャすることをお勧めします。ただし、この方法では、クライアントが送信する Ack を確認できないため、802.11 の問題を完全に診断することはできない可能性があります。そのため、無線で何が起こったかに関する知識にギャップが生じ、問題の診断が難しくなります。