我正在使用wireshark程式來嗅探我的流量。當我將網路卡的模式從託管模式變更為監視模式時,我只能在wireshark中看到「信標幀」和「RTS&CTS」資料包。有什麼辦法可以聞在wireshark中使用802.11x幀格式而不是乙太網路的tcp/ip流量還是其他東西?
分別地,
有什麼辦法可以嗅探我的無線卡的 TCP/IP 流量而不更改為監視模式?因為當我將無線網卡的模式變更為監控模式時,網路連線會斷開,然後我無法連線任何網站。因此,我無法在無線連線中使用wireshark 嗅探我的tcp/ip 流量。
提前致謝。
答案1
根據我的經驗,大多數無線卡不擅長在保持工作網路連線的同時進行 802.11 監控模式資料包擷取。通常,當嘗試在同一張卡上同時執行這兩項操作時,最終不會看到應該看到的所有 802.11 資料包;特別是 802.11 確認傳輸的卡韌體。
所以我建議不要嘗試做你正在做的事情。
如果您要擷取AP 和用戶端之間的所有802.11 流量,請在兩個裝置之間設定單獨的無線嗅探器,並將其置於完全802.11 監控模式(與所有網路斷開連接,只需調諧到目標 AP 和客戶端已開啟)。確保嗅探器的無線卡能夠支援目標 AP 和用戶端都支援的所有調變和編碼方案。例如,如果 AP 和用戶端都是支援 MCS 9x3 的 3 流 802.11ac,則您的嗅探器需要支援 3 流 802.11ac MCS 9x3,以便查看 AP 或用戶端使用該方案傳輸的任何流量。即使您擁有正確的硬件,也要注意 MIMO 空間流和波束成形的本質意味著任何傳輸信號都經過專門定制,以完美適合目標接收器,因此無法保證其質量對於任何竊聽者/嗅探器在任何其他位置接收。
如果您執行我建議的獨立嗅探器設置,請確保您的網路不使用安全性,或者如果使用 WPA2-PSK,請確保在目標用戶端加入 AP 之前啟動嗅探器。您需要擷取 WPA2 金鑰握手並了解網路的 WPA2-PSK 密碼,才能解密來自目標用戶端的流量。
如果你根本無法設定獨立的嗅探器,如果你認為你的問題出在IP層或以上,我建議你以普通乙太網路方式抓包,如果你認為問題是在「關聯監控模式」抓包在802.11層。然而,同樣,您可能無法透過這種方式完全診斷 802.11 問題,因為您可能看不到客戶端發送的 Ack。因此,您對空中發生的情況的了解會存在差距,這將導致診斷問題變得困難。