首先,這可能看起來像重複這帖子,確實如此,但在撰寫本文時,我的代表還不夠高,無法發表評論,而且我在應用該答案時遇到了一些問題。
我已經設定了一個開放的 WiFi AP(測試熱點),並且我正在嘗試嗅探來自和前往它的 WiFi 流量。我用手機連接到它並加載了一個不安全的測試網站(只有 HTTP,沒有 SSL 或其他任何內容)並填寫了密碼表格。
我希望看到它出現在 Wireshark 中,但沒有。在我對我的問題進行了一些研究之後,我遇到了上述問題並嘗試了給出的答案,http在過濾器框中輸入沒有結果,只是一個空螢幕。它確實攔截了來自美聯社的數據,因為它顯示了SSID=testing-hotspot。有沒有人知道是什麼原因造成的以及我該如何解決這個問題?
- 編輯:
我添加了螢幕截圖
我想知道如何查看 HTTP、TCP、UDP 等資料包而不是802.11
答案1
您的螢幕截圖僅顯示信標幀,而不顯示手機和 AP 之間的實際資料。
因此,要么(1) 您捕獲了錯誤的wifi 接口,要么(2) 您沒有向我們展示捕獲的非信標幀,或者(3) 您的手機沒有連接到您的測試熱點,而是連接到其他一些熱點AP,或 (4) 您的整個設定不會捕獲手機和 AP 之間的資料。
請注意,您不會看到 WLAN 上其他用戶端與 AP 之間的流量,因此,如果您在與手機不同的用戶端上捕獲此流量,則該流量將不起作用。
您要么需要捕獲電話上的流量,要么需要捕獲 AP 本身的流量。 AP 必須設定為將封包轉送到其他網路接口,例如 LAN。如果您將 WLAN-AP 橋接器接到 WLAN-STATION,您可能看不到任何封包。
答案2
您使用的具有監控功能的適配器不僅必須支援頻段,還必須支援您要檢查的連線所使用的 MIMO 和調變模式。
同樣重要的是,使用指令選擇正確的通道
iw dev <name of interface which is in monitor mode> set channel <channel number the AP or client tells you> <channel mode you have to try>
這可以確保您準確地獲得感興趣的資料包。
您可以列出允許的通道模式
iw dev <name of interface which is in monitor mode> set channel help
此外,您需要在 Wireshark 中設定解密。對於 WPA2:
首選項/協定/IEEE 802.11/啟用解密,然後編輯。
您需要以「WiFi-Pwd:SSID」格式輸入 WPA-PWD。請確保看到您的 AP 和用戶端之間的所有 4 個 EAPOL 封包。這是查看有效負載的先決條件。
要獲得100%的結果並不容易。請指望只能看到一個方向,而另一個方向則缺失。