我在 ubuntu 14.04 上使用wireshark,並嘗試嗅探網路中其他裝置的wifi流量。我在wlan0 上運行wireshark或tshark,開始捕獲數據包並發送一些ping或在手機上打開一些頁面,但我的ubuntu筆記本電腦無法捕獲該數據包- 它只能看到從自己的ip到其他ip地址的包,從其他ip位址到自己的ip,並廣播資料包。
手動開啟 wlan0 使用的混雜模式sudo ip link set wlan0 promisc on沒有幫助。
看起來我的 wifi 適配器能夠同時使用混雜模式和監視模式,因為我可以這樣做sudo airmon-ng start wlan0,並且會出現一個新mon0介面,我可以使用wireshark捕獲其包,但這不是我需要的。 mon0 上的這些套件都是協定 802.11,而不是 wlan0 上的 tcp、icmp 等協定。
更新
我決定排除ubuntu的NetworkManager或其他東西幹擾wireshark的可能性,所以我嘗試了kali linux。
以下是我使用的具體步驟:
- 載入kalilinux
- 使用 gnome 無線網路小工具連接到我的家庭網路。
- 執行wireshark,按Capture Options,檢查wlan0,檢查Prom.模式已啟用,週一。模式已停用,其他一切保留預設值
- 按開始
- 從我的手機 Ping 我的 kali linux 筆記型電腦的 IP 位址
- 請注意,我可以看到從我的手機 IP 位址到我的 Kali 筆記型電腦 IP 的 ICMP 封包,反之亦然
- 從我的手機 Ping 8.8.8.8
- 請注意,我看不到從手機IP 到任何地方的任何資料包,但我可以看到從“Netgear_d9:19:e8”(我猜是我的路由器)到“SamsungE_2d:ad:da”(那是我的手機)的LLC 協定資料包我猜)
答案1
我相信你可以用airmon-ng解決你的問題(這應該默認安裝在Kali上)。
答案由提供庫爾特·諾赫納在 Ask.wireshark.org 上 來源
ifconfig -a
您看到 wlan0 或 wlan1 介面了嗎?
如果不是,則核心無法識別您的無線卡,並且 Wireshark 對此無能為力。請在此停下來,向您的 Linux 發行版(Ubuntu、Fedora 等)的用戶論壇中的人員詢問如何為您的無線卡添加可用的驅動程式。
如果您確實看到 wlan0/1,請繼續
sudo airmon-ng start wlan0
或者
sudo airmon-ng start wlan1
取決於您想要擷取哪個無線介面。該命令應報告以下訊息:
monitor mode enabled on mon0
現在,使用 tcpdump 和/或 dumpcap 在 mon0 上捕獲。
sudo tcpdump -ni mon0 -w /var/tmp/wlan.pcap
或者
sudo dumpcap -ni mon0 -w /var/tmp/wlan.pcap
然後用Wireshark開啟該文件
wireshark -nr /var/tmp/wlan.pcap
答案2
混雜模式很少(如果有的話)在 Wi-Fi 裝置上實現您想要的功能;您必須在監視器模式下進行捕獲。 (不,這裡沒有解決方法。)
mon0 上的那些包都是協議 802.11
這是因為您位於受保護的網路上,使用 WEP 或 WPA/WPA2 加密。您必須向 Wireshark 提供網路密碼,對於使用 WPA/WPA2 的網路(大多數受保護的網路都這樣做),您必須對於要解密其流量的每個設備,強制它們斷開連接網路並在開始擷取後重新連接到網絡,以便捕獲初始EAPOL 握手。對於手機或平板電腦,將其關閉然後再次打開就足夠了;對於筆記型電腦,合上蓋子並重新打開就足夠了。 (你想讓他們入睡並讓他們再次醒來。)