前言

出于学习或者研究的目的,有时会需要对无线网络进行抓包分析(空口抓包),查资料的时候发现网上的资料比较混乱,对非强相关专业的人不是很友好,因此整理一份相对完整的教程来记录整个过程。第一篇是简单介绍在windows环境下进行空口抓包的基础教程。

设备

一般笔记本电脑或台式自带的无线网卡,都是不支持开启监控模式的,因此你需要外接一张支持监听模式(monitor mode)的无线网卡。
另外,普通的免驱usb无线网卡是不支持监听模式的,产品规格界面会有说明(或者无线网卡上会有明显标识),建议购买时注意甄别。

软件和基本设置

windows环境下可选的抓包软件有三个:Wireshark、Microsoft Network Monitor和Omnipeek,前面两个是免费软件,Omnipeek是收费软件。

Wireshark

wireshark官网下载地址(安装和基本使用参照网上其他教程)

windows环境下使用wireshark空口抓包不稳定,似乎与使用的无线网卡有关系。抓包及检测方法如下。
打开捕获选项,你的WLAN接口链路层信息会显示Ethernet,如果无线网卡支持监控模式,后面会有个□,不支持的话是-。

打上√后,显示的链路层信息会变成802.11 plus radiotap header(此处如果你打√之后变为了-那么说明这张网卡并不支持在Windows环境下开启监控模式抓包,具体原因我也不清楚,有的网卡可以,大部分都不行。推测与windows对网卡芯片的驱动支持有关,欢迎大佬在评论区指出详细原因)。

点击开始进行抓包,在wireshark过滤显示器中输入wlan筛选你抓到的802.11数据帧。

Microsoft Network Monitor

Microsoft Network Monitor 3.4下载地址(安装和基本使用参照网上其他教程)

打开MNM,你会看见所有可抓包的接口(如果你打开后没有显示任何接口,以管理员权限重新运行MNM

双击进行配置,如果无线网卡支持monitor模式,会显示有Scanning Options。

点击Scanning Options,出现下图界面,勾选Switch to Monitor Mode,然后点击右下角的Apply。MNM可以选择需要扫描的802.11协议版本和信道,可以根据你自己的需求来选择。如果你不懂或者需要捕获所有802.11帧那么全部勾选即可。

依次点击New CaptureStart开始捕获(在左下角只勾选无线网卡的接口),收集到足够数据包后点击Stop停止捕获。

Omnipeek

Omnipeek是收费软件,网上的软件资源比较少,使用比较多的版本为Omnipeek 11。因为需要使用专用的网卡,价格在几十块到几百块不等,,在购买网卡时卖家通常会提供Omnipeek软件、专用的网卡驱动和一些学习资料,建议咨询店家。因为Omnipeek的使用需要购买专用的网卡,卖家会提供资料,如果你没有买支持Omnipeek的网卡,那你是用不了Omnipeek的,这里就不介绍Omnipeek的使用了(以后有机会再说)。
确实有需要的可以参考这一篇博客 跟着omnipeek学802.11之Omnipeek无线空中抓包入门