WiFiキャプチャでブロードキャストトラフィックのみを表示する

WiFi ブロードキャスト トラフィック以外のものをキャプチャするのに問題があります。

私の設定は次のとおりです:

• macOS 10.14 で Parallels を使用して仮想化された Kali Linux: 4.19.37-6kali1 (2019-07-22)
• Alfa Network AWUS036NHA USB WiFI アダプター (VM に渡され、ホスト OS では使用されません)
• lsusb表示:Qualcomm Atheros Communications AR9271 802.11n
• lsmod | grep 80211与える

mac80211              815104  1 ath9k_htc
cfg80211              761856  4 ath9k_htc,ath9k_common,ath,mac80211
rfkill                 28672  5 bluetooth,cfg80211

アダプタはiwconfigとして表示されますwlan0。

アダプタを監視モードにする方法は次のとおりです。

> airmon-ng check kill
> airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy1    wlan0       ath9k_htc   Qualcomm Atheros Communications AR9271 802.11n

        (mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
        (mac80211 station mode vif disabled for [phy1]wlan0)

> iwconfig

wlan0mon  IEEE 802.11  Mode:Monitor  Frequency:2.457 GHz  Tx-Power=20 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:off

現在、リッスンしたい AP のチャネルに設定しています。これで、と表示されるiwconfig wlan0mon channel 3ことが確認できます。テスト目的で、このチャネルで AP もロックしました。iwconfigFrequency:2.422 GHz

Wireshark を起動してキャプチャを開始しますwlan0mon。この時点では、ホスト マシンと Kali VM はどのネットワークにも接続されていません。

あらゆる種類の管理フレームと制御フレームを見ることができますが、ターゲット ネットワークが暗号化されているため、それ以上のことはわかりません。そこで、別の物理クライアントを使用して AP に接続し、キャプチャされた EAPOL パケットを確認します。その後、復号化されたトラフィックが表示されます (キーは Wireshark に保存されます)。

問題は、ブロードキャスト トラフィック (ARP、一部の UDP ブロードキャスト、MDNS、ICMP ルーター広告など) しか表示されないことです。他のクライアントを使用してトラフィック (一定の ping/ICMP、HTTPs トラフィックなど) を生成すると、トラフィックが表示されず、キャプチャされません。

アダプターを管理モードに戻し、自分でネットワークに参加すると、キャプチャは正常に機能します (当然、その場合、自分のマシンのトラフィックのみになります)。注目すべきは、ホスト マシンが独自の WiFi アダプターを使用しているにもかかわらず (つまり、ブロードキャスト トラフィックのみをキャプチャしている)、最初にホスト マシンを切断しないと、ここでも同じ問題が発生します。

この問題の原因は何なのか、またなぜブロードキャスト トラフィックのみがキャプチャされるのか、何かご存知ですか?

(Wireshark の代わりに でパケットをキャプチャしてもairodump-ng違いはありません。ブロードキャストのみが表示されます)。