80211 wireshark 抓包
- 前言
- 配置 monitor
- 软件配置
- wireshark 操作
前言
本人习惯使用 Omnipeek 抓包分析,所以 wireshark 的实验只讲到抓包完成。
Windows 环境采用 wireshark 抓包是比较麻烦的,因为支持在 Windows 环境中支持抓包的网卡并不多,所以本次直接用 Linux 环境来做试验。
使用网卡为:RT3070L,70块钱一张的网卡。
配置 monitor
何为 monitor?顾名思义和监视有关,但是和有线网络监视不同,对有线网络监视抓包只需要运行 wireshark 选择一张网卡即可。无线网络的抓包稍微复杂一点,因为需要一张网卡作为 monitor 放置于要监视抓包的两张网卡之间,用 Linux 电脑连接 monitor 网卡,这样才能接收到要抓包的两张网卡的无线包。
其次是无线抓包的目标层,我们都知道 osi 把网络分为 7 层,各层协议分布情况如下:
- L7应用层:HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP
- L6表示层:数据的表示、安全、压缩;JPEG、ASCll、EBCDIC、加密格式等。(在五层模型里面合并到应用层)
- L5会话层:建立、管理、终止会话。对应主机进程,指本地主机与远程主机正在进行的会话。(在五层模型里面合并到应用层)
- L4传输层:TCP UDP
- L3网络层:ICMP IGMP IP(IPV4 IPV6)
- L2数据链路层:建立逻辑连接、进行硬件地址寻址、差错校验等功能。将比特组合成字节进而组合成帧,用MAC地址访问介质,错误发现但不能纠正。
- L1物理层:设备之间非结构化原始数据的传输和接收
而无线网实际上是L2:数据链路层。所以 monitor 将会抓到的包也是链路层的数据包。
软件配置
先安装必要的软件(不同网卡实际需要的软件不完全相同)
sudo apt-get install tcpdump wireless-tools net-tools
然后要将网卡配置成monitor模式:
$ sudo ifconfig wlan0 down #关闭网卡,才可以设置mode
$ sudo iwconfig wlan0 mode monitor #设置网卡为monitor模式
$ sudo ifconfig wlan0 up #开启网卡,让设置生效
除了monitor模式外,无线网卡还可以设置成以下几种模式:
- Monitor:节点不与任何AP关联,可以被动地捕获信道上所有的数据包。
- Master:节点作为同步的主节点,简单而言,就是AP。该模式是默认的模式。
- Repeater:节点负责中继无线节点间的数据包。
- Secondary:节点可作为一个AP(也就是Master)或者Repeater的备份节点。
- Managed:节点作为客户端能够向AP发起关联,通常也被称为client模式。
- Ad-hoc:节点与节点间直接建立关联关系,并不存在AP。
查看无线网卡是否支持 monitor 模式:
$ sudo iwconfig
lo no wireless extensions.enp8s0 no wireless extensions.wlan0 IEEE 802.11 Mode:Monitor Frequency:2.412 GHz Tx-Power=14 dBmRetry short limit:7 RTS thr:off Fragment thr:offPower Management:off
查看&设置WiFi RF信道:
$ sudo iwlist wlan0 channel
wlan0 13 channels in total; available frequencies :Channel 01 : 2.412 GHzChannel 02 : 2.417 GHzChannel 03 : 2.422 GHzChannel 04 : 2.427 GHzChannel 05 : 2.432 GHzChannel 06 : 2.437 GHzChannel 07 : 2.442 GHzChannel 08 : 2.447 GHzChannel 09 : 2.452 GHzChannel 10 : 2.457 GHzChannel 11 : 2.462 GHzChannel 12 : 2.467 GHzChannel 13 : 2.472 GHzCurrent Frequency:2.462 GHz (Channel 11)#设置当前信道为6
$ sudo iwconfig wlan0 channel 6 $ sudo iwlist wlan0 channel
wlan0 13 channels in total; available frequencies :Channel 01 : 2.412 GHzChannel 02 : 2.417 GHzChannel 03 : 2.422 GHzChannel 04 : 2.427 GHzChannel 05 : 2.432 GHzChannel 06 : 2.437 GHzChannel 07 : 2.442 GHzChannel 08 : 2.447 GHzChannel 09 : 2.452 GHzChannel 10 : 2.457 GHzChannel 11 : 2.462 GHzChannel 12 : 2.467 GHzChannel 13 : 2.472 GHzCurrent Frequency:2.437 GHz (Channel 6)
也可以用 iw list 代替。
设置完成,启动 wireshark:
sudo wireshark
wireshark 操作
点击“捕获”。
选择绑定了目标网卡的网口:wlan0,并开启混杂模式,此模式所有的无线帧都可以捕捉到。
随后点击开始,将陆续抓取环境中所有的无线数据包,不会局限于目标中的两张网卡。
注意:wireshark抓取的数据包都是固定信道的,所以要抓取特定信道的数据包的话,那么需要首先手动设定。
但是这样也有一个好处,可以抓目标信道的无线包。
