要用wireshark抓802.11的包 需要在linux下进行。

要在linux下抓802.11的包 需要在linux下安装无线网卡驱动。

所以 在正式抓取之前先把这两样东西搞起来。

*没有特殊说明,均使用root权限 sudo su*

一 安装无线网卡驱动

无线网卡:DWA-160 USB无线网卡

网卡驱动:http://alris1.dlinkddns.com/download/dlink/DWA-160/DWA-160_B2_DPO_RT5572_LinuxSTA_2.6.1.3_20121022.tar.bz2

  DWA-160_B2_DPO_RT5572_LinuxSTA_2.6.1.3_20121022.tar.bz2  解压=>

    DWA-160_B2_DPO_RT5572_LinuxSTA_2.6.1.3_20121022文件夹

安装步骤:

在DWA-160_B2_DPO_RT5572_LinuxSTA_2.6.1.3_20121022文件夹下执行以下命令:

# make

# make install

# cp RT2870STA.dat  /etc/Wireless/RT2870STA/RT2870STA.dat

# cd ./os/linux

# insmod rt5572sta.ko

不出意外,到这里就可以连接到wifi了

二 安装wireshark

wireshark的安装非常简单

# apt-get install wireshark

就可以了。

三 使用wireshark抓802.11封包

• 需要注意的是

因為工作的緣故,需要去監聽無線網路的封包,特別是IEEE802.11的管理控制訊框(frame ... 其實我還是比較喜歡直接叫作封包)。同事直接打開 wireshark 卻擷取 wifi 介面,卻發現聽到了一堆 ethernet 的訊框而聽不到 wifi 的訊框。為什麼呢?來看看 wireshark 的官網怎麼說:

If you're trying to capture network traffic that's not being sent to or from the machine running Wireshark or TShark, i.e. traffic between two or more other machines on an Ethernet segment, or are interested in 802.11 management or control packets, or are interested in radio-layer information about packets, you will probably have to capture in "monitor mode". This is discussed below.

Without any interaction, capturing on WLAN's may capture only user data packets with "fake" Ethernet headers. In this case, you won't see any 802.11 management or control packets at all, and the 802.11 packet headers are"translated" by the network driver to "fake" Ethernet packet headers.  

答案揭曉,原來這是因為 wifi driver 會自動把 wireless frame 轉成 ethernet frame 後再給 kernel,這樣 kernel 裏面的 protocol stack 會比較好處理。

問題是,如果我想要聽到 wifi frame 的話,要怎麼做呢?答案很簡單,將 wifi adapter 設成 monitor mode。在 wifi adapter 中,通常都有 SSID/ESSID filter,所以就算把 wifi adapter 設定成為 promiscuous mode 也沒有用,因為還是無法收到非自己加入的 SSID 的 frame。那 monitor mode 呢?我們可以看看下面這句話:

In monitor mode the SSID filter mentioned above is disabled and all packets of all SSID's from the currently selected channel are captured.

最後的問題就是,如何在 Linux 裏面把無線網卡設定成 monitor mode了。步驟如下:

1.	iw dev wlan0 interface add mon0 type monitor

2.	ifconfig mon0 up

接下來就可以透過 mon0 這虛擬介面來聽封包了。要移除這介面的方法也很簡單:

1.	iw dev mon0 interface del

所以要做完上述设定之后再打开wireshark

# wireshark

四 打开wireshark出现的异常解决

错误如下:

直接运行wireshark的话会报错:

Lua: Error during loading:

[string "/usr/share/wireshark/init.lua"]:45: dofile has been disabled

解决方案:修改init.lua要对其进行修改,终端运行

sudo gedit /usr/share/wireshark/init.lua

倒数第二行原来为:

dofile(DATA_DIR.."console.lua")

改为:

--dofile(DATA_DIR.."console.lua")

五 对抓到的802.11包进行过滤

在Expression下Field name为

"802.11 MGT - IEEE 802.11 wireless LAN management frame"

"802.11 Radiotap - IEEE 802.11 Radiotap Capture header"

"IEEE 802.11 - IEEE 802.11 wireless LAN"

"IEEE 802.11 Aggregate Data - IEEE 802.11 wireless LAN aggregate frame"

"WLANCERTEXTN - Wlan Certificate Extention"

"Wi-Fi P2P - WiFi Peer-to-Peer"

"WiMax (wmx) - WiMax protocol"

...

中进行查找所需条件

下面列出一些比较常用的条件表达式

wlan.da - Destination address (Destination Hardware Address)

wlan.sa - Source address (Source Hardware Address)

wlan.addr - Source or Destination address (Source or Destination Hardware Address)

wlan.ra - Recevier address (Receiving Station Hardware Address)

wlan.ta - Transmitter address (Transmitting Hardware Address)

wlan.bssid - BSS id (Basic Service Set ID)

wlan_mgt.ssid - SSID (Indicates the identity of an ESS or IBSS)
wlan.fc.type_subtype - Type/Subtype (Type and subtype combined (first type: type, second type:subtype))

六 简单的802.11封包分析 

至此 就可以自如的进行抓包了

下面是一些简单的分析

802.11帧的抓取以及分析

802.11抓包分析

至于高级一点的包的分析,等我学会了再回来写

Ubuntu下用wireshark抓取802.11封包并进行过滤分析的更多相关文章

  1. Windows环境下实现WireShark抓取HTTPS

    https 加密传输,Wireshark 没有设置的情况下是没有办法抓到包的 https 的数据包. 设置系统环境变量(SSLKEYLOGFILE) WireShark 设置 SSL 选项 参考文章: ...

  2. 使用wireshark抓取TCP包分析1

    使用wireshark抓取TCP包分析1 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 前言 介绍 本篇文章是使用wireshrak对某个https请求的tcp ...

  3. 利用wireshark抓取远程linux上的数据包

    原文发表在我的博客主页,转载请注明出处. 前言 因为出差,前后准备总结了一周多,所以博客有所搁置.出差真是累人的活计,不过确实可以学习到很多东西,跟着老板学习做人,学习交流的技巧.入正题~ wires ...

  4. TCP三次握手和四次挥手及wireshark抓取

    TCP的三次握手与四次挥手的详细介绍: 三次握手: 第一次握手(SYN=1, seq=x): 客户端发送客户端发送一个 TCP 的 SYN 标志位置1的,指明客户端打算连接的服务器的端口,以及初始序号 ...

  5. 使用Wireshark 抓取数据包

    Wireshark 是一个网络封包分析软件.网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 一  ...

  6. ubuntu下安装wireshark

    ubuntu下安装wireshark  download: http://www.wireshark.org/download.html   choose source code 安装编译工具: $s ...

  7. 利用wireshark抓取Telnet的用户名和密码

    使用wireshark抓取Telnet   目标ip地址(telnet  192.168.88.1 ) 1,首先打开wireshark,然后选择网卡,点击开始. 2,为了在filter中输入telne ...

  8. Android利用tcpdump和wireshark抓取网络数据包

    Android利用tcpdump和wireshark抓取网络数据包 主要介绍如何利用tcpdump抓取andorid手机上网络数据请求,利用Wireshark可以清晰的查看到网络请求的各个过程包括三次 ...

  9. win10操作系统上,wireshark抓取https。

    今天试了下使用wireshark抓https的包 一.记录如下: 配置一个环境变量SSLKEYLOGFILE为D:\Temp\sslog.log(这个文件需要自己去创建). 去下载一个chrome浏览 ...

随机推荐

  1. 小谈一下JavaScript中的JSON

    一.JSON的语法可以表示以下三种类型的值: 1.简单值:字符串,数值,布尔值,null 比如:5,"你好",false,null JSON中字符串必须用双引号,而JS中则没有强制 ...

  2. springmvc 用注解方式添加事务不生效解决方法

    springmvc 事务注册有很多种方法,在此我只mark 用注解方式添加transaction不生效的解决办法. springmvc 注解方法添加事务步骤: 1.在 spring的 root-con ...

  3. C# GDI+发生一般性错误(A generic error occurred in GDI+))

    解决思路: 1. 因为 .net GDI+ 是对底层 的封装. 所以可以尝试用 Marshal.GetLastWin32Error();函数获得底层错误代码. try{ image.Save(file ...

  4. 【转】Centos升级Python 2.7.12并安装pip、ipython

    Centos系统一般默认就安装有Python2.6.6版本,不少软件需要2.7以上的,通过包管理工具安装不了最新的版本,通过源码编译可以方便安装指定版本,只需要把下面版本的数字换成你想要的版本号. 1 ...

  5. Excel中提取最大值的问题

    在使用excel的时候,碰到了一个如下的问题 意思是以每个字母为条件,取这个字母下面的数字中的最大值,需要注意一个问题是每个字母下面的数字个数不一定相等,例如d下面有四个数字,可以设置如下公式解决: ...

  6. 实现View的移动的方法总结

    btw:这篇博客的内容其实算是<Android开发艺术探索>的一篇读书笔记,在书本的知识上加了一点自己的理解,并用自己的话描述出来.<Android开发艺术探索>是一本不错的书 ...

  7. How to run a geoprocessing tool

    How to run a geoprocessing tool In this topic Running a geoprocessing tool Toolbox names and namespa ...

  8. 周爱民:真正的架构师是没有title的(图灵访谈)

    周爱民,现任豌豆荚架构师,国内软件开发界资深软件工程师.从1996年起开始涉足商业软件开发,历任部门经理.区域总经理.高级软件工程师.平台架构师等职,有18年的软件开发与架构.项目管理及团队建设经验, ...

  9. Codeforces Round #374 (Div. 2) D. Maxim and Array

    传送门 分析:其实没什么好分析的.统计一下负数个数.如果负数个数是偶数的话,就要尽量增加负数或者减少负数.是奇数的话就努力增大每个数的绝对值.用一个优先队列搞一下就行了. 我感觉这道题的细节极为多,非 ...

  10. Jquery做点击选中与鼠标移上特效

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...