Ich verwende das Programm Wireshark, um meinen Datenverkehr zu überwachen. Wenn ich den Modus meiner Netzwerkkarte vom verwalteten Modus in den Überwachungsmodus ändere, sehe ich in Wireshark nur „Beacon Frames“ und „RTS & CTS“-Pakete. Gibt es eine Möglichkeit,TCP/IP-Verkehr mit 802.11x-Frame-Format statt Ethernet in Wiresharkoder etwas anderes?
Separat,
Gibt es eine Möglichkeit,TCP/IP-Verkehr meiner WLAN-Karte abhören, ohne in den Überwachungsmodus zu wechseln?Denn als ich den Modus meiner WLAN-Karte in den Überwachungsmodus geändert habe, ist die Internetverbindung unterbrochen und ich kann keine Verbindung zu einer Website herstellen. Daher kann ich meinen TCP/IP-Verkehr mit Wireshark bei einer WLAN-Verbindung nicht abhören.
Dank im Voraus.
Antwort1
Meiner Erfahrung nach sind die meisten WLAN-Karten nicht gut darin, eine funktionierende Netzwerkverbindung aufrechtzuerhalten und gleichzeitig Pakete im 802.11-Monitormodus zu erfassen. Wenn man versucht, beides gleichzeitig auf derselben Karte zu tun, sieht man normalerweise nicht alle 802.11-Pakete, die man sehen sollte; insbesondere 802.11 bestätigt die übertragene Kartenfirmware.
Ich rate daher davon ab, das zu versuchen, was Sie tun.
Wenn Sie den gesamten 802.11-Datenverkehr zwischen einem AP und einem Client erfassen möchten, stellen Sie einen separaten Wireless-Sniffer-Rechner auf halbem Weg zwischen den beiden Geräten auf und versetzen Sie ihn in den vollständigen 802.11-Monitormodus (getrennt von allen Netzwerken, nur auf den Kanal eingestellt, auf dem sich der Ziel-AP und der Client befinden). Stellen Sie sicher, dass die Wireless-Karte des Sniffer-Rechners alle Modulations- und Codierungsschemata unterstützt, die sowohl der Ziel-AP als auch der Client unterstützen. Wenn beispielsweise der AP und der Client beide 3-Stream 802.11ac sind und MCS 9x3 unterstützen, muss Ihr Sniffer 3-Stream 802.11ac MCS 9x3 unterstützen, um den gesamten Datenverkehr zu sehen, den der AP oder der Client mit diesem Schema überträgt. Selbst wenn die Hardware richtig funktioniert, sollten Sie sich darüber im Klaren sein, dass die Natur der MIMO-Raumströme und der Strahlformung dazu führt, dass jedes übertragene Signal so zugeschnitten ist, dass es perfekt für den vorgesehenen Empfänger ist. Es besteht daher keine Garantie dafür, dass die Qualität für den Empfang durch Lauscher/Schnüffler an einem anderen Ort ausreicht.
Wenn Sie die von mir empfohlene unabhängige Sniffer-Einrichtung durchführen, stellen Sie sicher, dass Ihr Netzwerk entweder keine Sicherheit verwendet, oder, wenn es WPA2-PSK verwendet, stellen Sie sicher, dass Sie den Sniffer starten, bevor der Zielclient dem AP beitritt. Sie müssen den WPA2-Schlüssel-Handshake erfassen und die WPA2-PSK-Passphrase für das Netzwerk kennen, um den Datenverkehr vom Zielclient entschlüsseln zu können.
Wenn Sie einfach keinen unabhängigen Sniffer einrichten können, empfehle ich Ihnen, Pakete im normalen Ethernet-Stil zu erfassen, wenn Sie glauben, dass Ihr Problem auf der IP-Ebene oder höher liegt, und Pakete im „assoziierten Monitormodus“ zu erfassen, wenn Sie glauben, dass das Problem auf der 802.11-Ebene liegt. Allerdings werden Sie auf diese Weise wahrscheinlich keine vollständige Diagnose von 802.11-Problemen erstellen können, da Sie die von Ihrem Client gesendeten Bestätigungen wahrscheinlich nicht sehen werden. Daher wird Ihr Wissen darüber, was über Funk passiert ist, Lücken aufweisen, was die Diagnose von Problemen erschwert.