admin 管理员组

文章数量: 887006

当我们的电脑是通过网线联网时,我们可以通过wireshark来抓取通过网口发送和接收到的包,其中包括单播包、多播包以及广播包等等,只要这个包是通过目标网口的。

但是,如果是无线包呢?我们的无线包其实也是通过无线网卡来传输的,我们借助无线网卡+wireshark,也可以抓到无线网卡上发送和接收的包,其中包括接收广播包。但是,跟有线一样,也只能抓到该无线网卡发送和接收的包。

另外,还有一种包,叫做空包,也就是空中包,即air bag,而不是空白的包blank bag,其实也就是空中的无线包。只要有无线经过的地方,就有数据包。我们知道,无线网络信号在传播过程中是以发射点为中心,像波纹一样往外辐射。所以理论上来讲,如果一个接收器处于无线信号经过的地方,它可以收到(“听到”)任何经过它的信号,只是它可能“听不懂”(无法解析报文内容)。空口抓包就是基于这个原理工作的。如果我们想要抓某个嵌入式设备的无线报文,只需在它附近运行一个具有监听功能的PC。

本文主要讲解在windows下抓空包,基于monitor网卡+Omnipeek

在Windows上可以使用Omnipeek,但是该软件需要特殊无线网卡支持,还需要特殊的驱动。具体安装方法、操作步骤可以参考Omnipeek官网介绍,此处不赘述,直接去淘宝买一个支持monitor的网卡即可。

具体操作方法参考:WiFi抓包指南(cisco WUSB600N V2) - 简书 (jianshu)

关于空包的加密解密

参考这篇文章:

用omnipeek抓取空中任意设备的wifi数据包 - 简书 (jianshu)

通过Capture->Start Capture 或鼠标点击Start Capture 按钮启动抓包。

接下来在Capture-->Packets 子界面中,我们会看到omnipeek抓到了设备的wifi数据包。

但是我们会发现虽然我们抓到数据包了,但是数据包的内容全是加密过的,这是为什么呢,这是因为我的路由器(SSID:wifi from wade)采用了WPA2/Personal的方式加密了。所以接下来需要解密这些数据。

首先点击Stop Capture 停止抓包,然后给要抓包的设备断电或断开设备和路由器的连接,为什么这样做呢,如果要解密WPA加密方式的数据,必须得捕捉到其和路由器刚建立连接时的4个EAPOL包,具体为什么请自行查阅相关资料。 这时点击Start Capture 按钮开始抓包,然后让设备重新连上路由器,这时我们会看到成功抓到了4个EAPOL包,可以确定接下来完全可以解出加密的数据了。

最后在抓取了一定量的数据包后,我们点击Stop Capture 按钮停止抓包,这时我们看到的数据仍然是加密状态,接下来通过Tools->Decrypt Wlan Packets 解密数据。

具体参考上述文章即可。

不赘述了。

遇到的问题

无法识别网卡

omnipeek抓包遇到的第一个问题,那就是无法识别网卡,但是在wireshark里能识别。

这是因为omnipeek抓包,除了要网卡支持之外,还需要在windows上安装对应的抓包驱动,具体参考这篇文章的操作:

Omnipeek使用抓包网卡驱动安装问题_omnipeek驱动-CSDN博客

我这边是下载安装包时有对应的驱动就用了

空包解密

关于omnipeek的解密,需要注意以下问题:

1

抓到的空包里面,一定要包含设备和路由器之间的四次握手

如果不明白四次握手的话,需要先去了解wifi连接过程的加密解密原理。

2

就算有了四次握手,也并不是所有的包都能解密成功

解密出来的包会显示电脑图标,否则就是默认的上锁图标,比如:

如果需要的部分能被解密出来,也够用了。

如果也解密不出来,那就只能想其他办法了。

我这边刚好能解密出我想要的那部分,所以暂时这样吧,后面有需要再研究。

3

加密状态下的包是这样的

看不到protocol和summary的细节;

如果用wireshark打开omnipeek的文件,也无法解析

如果包可以解密,那就是这样的:

解密后能看到更多的细节,包括最后一列有些也会有对应的解析。

用wireshark打开,也能看到对应的细节

注意,解密之前要先停止捕获,然后才能执行解密操作。

另外,

可以提前设置解密的ssid和密码,然后直接显示明文。

直接参考:Omnipeek空口抓包(4):抓取路由器下的无线网络包_omnipeek为啥不出wifi端口-CSDN博客

空包有加密怎么办?

有时候,我们就是要抓设备和特定路由器之间的无线包,这时候,没法使用网卡热点的方式来抓包,只能抓空包,但是抓空包也比较麻烦,那就是空包都是加密的,而且很多情况下无法解密成功,类似于以前破解wifi密码一样,很多时候都会破解失败。这种情况,抓出来的空包也是没有用的。

怎么解决这种问题呢?

直接将路由器的加密方式去掉,改成open system的,也就是无密码,这样,拿到的空包都是明文,不用解密。等包抓完,再改回去即可。

同一信道多个选项如何选择?

omnipeek在选择信道的时候,有时有多个选项,比如:

该选哪一个呢?

其实这里的a/b/bg/n40l/n40h都是对应的802.11x的协议,在wlan选项中可以看到,比如

更详细的参考:WLAN无线技术基本概念:802.11a/b/g/n/ac/ax的区别、频段和信道概念-百度开发者中心 (baidu)

无线包的加密方式

这里能看无线包的加密方式

什么是CCMP?TKIP?

CCMP参考:无线局域网安全(三)————CCMP加密-CSDN博客

TKIP参考:无线局域网安全(二)————TKIP加密-CSDN博客

本文标签: 网卡 主流 方案 Windows Monitor

版权声明:本文标题:在windows下抓空包(monitor网卡+Omnipeek,主流方案?) 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1729141130h1322945.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。