WIFI抓包理论篇——802.11帧与EthernetII帧的差别
论坛上有挺多抓包的教程,但是一上来就直接说怎么干。本文作为自己工作过程的记录,先把要干的事情讲清楚。首先想要抓取WIFI数据包,先考虑想要抓取哪一种类型的帧,是带有802.11标头的帧还是普通的Ethernet II帧。
802.11帧与Ethernet II 帧的转换
图选自《无线网络权威指南第二版》
如上图所示(802.33帧暂不考虑),EthernetII帧和802.11帧 内容相同的地方在于Type及其之后的IP Packet。Ethernet II帧经过一系列的处理之后会打上802.11标头,加密发送到空中。反过来,802.11帧经过筛选解密等一系列操作之后变成Ethernet II帧。其处理流程简要参考如下,有兴趣可以去深入了解这本书内容。
图选自《无线网络权威指南第二版》
上图中的Wireless Transmission和Wireless reception 部分便是封装好的802.11帧,Wired interface便是EthernII帧。因此,了解这差别之后便可以根据自己需求抓取WIFI包。
根据需求选择抓取方式——空中还是有线
根据笔者的抓包经验和遇到的坑,再参考Gitlab上Wireshark对802.11帧抓包的总结。得出的个人结论如下:
如果只对自己接收的常规包(IP层和以上)感兴趣,对802.11中MAC header中无线电层信息(如信号强度和数据速率)不感兴趣,那么请直接在网卡接口端(Wired)直接抓取报文分析。这种情况抓取的是Ethernet II帧。
如果对一个WIFI网络中多台机器之间的流量感兴趣,或者对802.11中管理包或者控制包感兴趣,或者对无线电层的内容感兴趣,那么可以采取监听模式(monitor)去抓包。这种情况抓取的是802.11帧。
|
优势 |
劣势 |
适用需求 |
|
|
网卡抓EthernetII |
方便快捷稳定 |
只能抓到单条链路 |
分析IP数据包,分析单条链路数据 |
|
空中抓802.11 帧 |
可以看到控制帧,管理帧 可以一次抓取多条链路 |
需要特殊的平台和网卡 可能会丢帧 |
分析管理帧控制帧等,分析多条链路数据 |
采取监听模式(monitor)抓802.11包的注意事项
对于直接在网卡界面抓包,没什么可说的,直接在抓包软件Wireshark中选取wlan就可以了。需要重点说明的是采取monitor模式抓包会的注意事项。Wireshark中对抓取802.11包有以下结论Conclusion: the packets you'll be capturing with default settings might be modified, and only a limited number of the packets transmitted through the WLAN.
简单翻译过来一下:使用默认设置抓包,包的内容可能会被改变。并且只有一小部分的包会经过WLAN中。
Unfortunately, changing the 802.11 capture modes is very platform/network adapter/driver/libpcap dependent, and might not be possible at all (Windows is very limited here).
简单翻译:很不幸,要使用monitor模式,去抓802.11包很依靠 平台,网卡,驱动,libcap等,甚至一丁点都不行。
笔者采用抓包的方式是在Kali Linux系统下的 Aircrak-ng工具,并且尝试了不同的Ralink芯片组网卡,效果有比较大的差异,会存在大量漏帧等问题。在Aircrack-ng 网站上有推荐的网卡,这些对Aircrack-ng适配性更好一些,不过国内挺难买到的,这些基本是旧款已经停产的网卡。
链接:Aircrack-ng推荐网卡
这篇文章先把以太网帧和802.11帧差别写出来,根据需求去选择自己的方式。并且把monitor模式空中抓取802.11帧的注意事项列举出来,避免以后掉坑。
WIFI抓包理论篇——802.11帧与EthernetII帧的差别相关推荐
- 无线射频专题《IEEE 802.11协议讲解2@WiFi抓包分析之MAC_Header》
前言: IEEE 802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps.由于802.11在 ...
- 【Wi-Fi 802.11协议】管理帧 之 Beacon帧详解
Beacon帧简介 信标帧,由AP以一定的时间间隔周期性发出,以此来告诉外界自己无线网络的存在. Beacon帧组成 下图为Beacon帧的组成 下图为抓包所得(AP为2.4g 11n模式),Pack ...
- [Wi-Fi抓包篇]2. Omnipeek——抓包分析方法
目录 3.分析方法 3.1 使用过滤器 3.1.1 通过创建过滤器筛选包 筛选特定模组与特定路由器之间的包 筛选模组连接Wi-Fi的握手包 3.1.2 使用正则表达式筛选包 3.2 使用Wi-Fi密码 ...
- [Wi-Fi抓包篇]1. Omnipeek——抓包前准备工作
目录 捕获空口包 1.安装Omnipeek 2.抓包方法 (1)安装抓包网卡驱动. (2)运行Omnipeek软件 信道查看 解密包设置 (3)开始抓包 (4)停止抓包 捕获空口包 空口包指的是空中的 ...
- 【Wi-Fi 802.11协议】管理帧 之 Auth帧详解
Auth:链路认证 链路认证阶段主要是 AP 用来确认 Station 是否是 802.11 设备,确认彼此是否可以正常通讯,身份认证一般有为两种方式,一种是开放系统认证,另一种是共享密钥认证 Ope ...
- [Wi-Fi抓包篇]3. WireShark ——抓wlan口包的方法
目录 1.何时需要捕获wlan口包? 2.抓wlan口包配置方法 3.抓包实例 1.何时需要捕获wlan口包? 由于捕获空口包只能捕获路由器与设备之间通信包,对于路由器与WLAN口之间的数据无法捕获. ...
- 在MAC OS上进行Wi-Fi抓包和空中包分析
一. 背景 做无线开发的最头疼的就是连得好好的,为什么突然连不上了,想找出原因的时候,除了看当前的log外,剩下的就是现场的空中包.但是抓空中包往往需要专业的工具和软件,目前听的比较多的 ...
- Mac 内置最强WI-FI抓包工具 Airport
许多Mac OS X用户对Mac缺乏复杂的网络分析工具感到遗憾,这些工具在Linux系统上普遍存在.许多人不知道的是Mac OS X附带了一个内置的命令行工具,可以对Wi-Fi网络进行各种的操作,从数 ...
- kali linux中设置wifi抓包
最近开始了解802.11协议,随手整理点安全牛课堂的笔记,本来想分享802.11协议笔记的,但是看到好多前辈都整理的那么完整,我也没有什么特别的想法就放弃了,顺带说一句B站上有KALI LINUX的渗 ...
- WiFi抓包指南(cisco WUSB600N V2)
目录 一.环境搭建 1.1 OmniPeek软件安装 1.2 WUSB600N驱动安装 二.无线抓包 2.1 配置相关参数 2.2 保存抓包文件 2.3 查阅抓包文件 三.常见问题 3.1 无法抓取空 ...
最新文章
- Vue + Element UI 实现权限管理系统 前端篇(七):功能组件封装
- Excel自定义函数使用正则表达式详解
- SAP Spartacus AuthService.getUserToken的实现
- matlab学习笔记之常用命令(一)
- 姐妹花考上川大本硕博连读,网红兄弟一起上清华
- Linux下如何同时启动多个Tomcat服务器
- 计算机英语论文摘要,求英语高手翻译论文摘要,非常感谢!
- 工厂电子产品工艺文件_建智能工厂,人机如何达到最佳组合?
- 获得硬盘的ID序列号(XE10.1+WIN8.1)
- socket服务器主动下发消息,socket服务器主动发送消息给客户端
- DBSCAN 聚类算法
- 3dmax linux版本,如何安装Linux版FLOW-3D及注意事项
- 软件是怎么开发出来的?怎么进行软件开发流程
- 如何高效的自学编程(新手篇)
- power oj 3149【弱水三千,只取一瓢】
- springcloud整合bus
- 中兴Nubia Z5S mini一键ROOT教程 获取ROOT权限
- 夺命十三枪枪谱完整版
- 海康sdkC++二次开发之回放下载
- 程序大咖的博客集锦_更新Unity3d