我無法捕獲 WiFi 廣播流量以外的任何內容。
這是我的設定:
- 在 macOS 10.14 上使用 Parallels 虛擬化 Kali Linux:4.19.37-6kali1 (2019-07-22)
- Alfa Network AWUS036NHA USB WiFI 轉接器(傳送到虛擬機,不被主機作業系統使用)
lsusb向我展示:Qualcomm Atheros Communications AR9271 802.11nlsmod | grep 80211給出
mac80211 815104 1 ath9k_htc
cfg80211 761856 4 ath9k_htc,ath9k_common,ath,mac80211
rfkill 28672 5 bluetooth,cfg80211
適配器顯示iwconfig為wlan0。
以下是我將適配器置於監視模式的方法:
> airmon-ng check kill
> airmon-ng start wlan0
PHY Interface Driver Chipset
phy1 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy1]wlan0 on [phy1]wlan0mon)
(mac80211 station mode vif disabled for [phy1]wlan0)
> iwconfig
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
我現在將其設定為我想要收聽的 AP 的頻道:iwconfig wlan0mon channel 3並且我可以驗證iwconfig現在顯示Frequency:2.422 GHz。出於測試目的,我還將我的 AP 鎖定在該通道上。
我現在啟動 Wireshark 並開始捕獲wlan0mon.我的主機和 kali 虛擬機器此時未連接到任何網路。
我可以看到各種管理和控制幀,但看不到更多,因為我的目標網路是加密的。因此,我使用另一個實體客戶端連接到 AP,可以看到捕獲的 EAPOL 封包;從那時起我開始看到解密的流量(我的金鑰儲存在 Wireshark 中)。
問題是:我只看到廣播流量:ARP、一些 UDP 廣播、MDNS、ICMP 路由器廣告等。沒有被捕獲。
當我將適配器放回託管模式並自行加入網路時,捕獲工作正常(顯然,僅針對我的電腦的流量)。值得注意的是,我在這裡也遇到了同樣的問題,當我不先斷開主機連線時,即使它使用自己的 WiFi 適配器(即也只捕獲廣播流量)。
知道什麼可能導致此問題/為什麼只捕獲廣播流量?
(使用 Wireshark 擷取封包airodump-ng沒有什麼區別 - 也只能看到廣播)。
答案1
您無法擷取使用擷取硬體無法理解的調變和編碼方案傳輸的訊框。您的捕獲硬體是非 MIMO (1x1:1),因此它無法捕獲使用兩個或三個 MIMO 空間流發送的任何內容。我懷疑您的目標用戶端和 AP 至少都具有 2x2:2 功能。
為了可靠性,“來自 DS”多播和廣播以低速率發送,因為它們沒有被確認。因此,這些可能是使用慢速非 MIMO 調製發送的。這就是為什麼您看到多播和廣播而不是單播。
管理和控制幀,甚至 EAPOL 握手,通常也以較低的 PHY 速率發送,以確保可靠性。但在 EAPOL 握手完成並且真正的單播流量開始流動後,硬體開始使用兩端支援的最高 MCS,而 RF 條件允許它們可靠地使用。