摘要:Windows下无法直接用wireshark,原因是因为捕获802.11帧需要设置网卡为监控模式(即monitor mode,非混杂模式),因此我们需要使用microsoft network monitor,微软提供的一个免费检测工具来抓包。
运行环境: 笔记本 + win10 + Microsoft Network Monitor 3.4 + wireshark
Microsoft Network Monitor官网下载地址 直接在官网下载MNM,然后正常安装。软件安装后直接打开如果不能读取驱动的话,重启下软件or电脑就可以了,然后显示如下图。
我们需要抓取的是802.11的数据包。首先你笔记本电脑需要连接WLAN,然后选择WLAN无线,双击进行设置,点Scanning Options。
切换成监听模式(monitor mode)
注意一下其中的黄色警告,“警告:切换到监视器模式将中断无线数据连接。返回本地模型将恢复连接。”,因此你点完apply之后会断网,需要重连网络,并且你再点击设置会出现如下情况,是正常的。
点 new capture进行捕获。
点start开始。
收集到足够的包后点stop就可以停止了。
之后就可以对802.11帧的包进行分析了。
802.11帧分三类:管理帧,数据帧和控制帧。以数据帧为例:
我们看hex details和frame details两部分。
08H,即00001000,对应的是FrameControl的Version、Type和SubType。
Version:00,表明协议版本为0
Type:10,表明为数据帧
SubType:0000,字类型
01H,即00000001,对应着各个flags。 DS:01,From DS=0,To DS=1 MoreFrag:0,表明这是该帧的最后一段 Retry:0,表明这不是重传帧 PowerMgt:0,表明发送方没有进入节能模式 MoreData:0,表明没有更多的帧, ProtectedFrame:0,表明没有加密 Order:0,表示没有严格的顺序。
Duration: 32768,表明持续时间为32768微秒 BSSID:06:69:6c:c1:38:04,远程远端地址 SA:08:d4:0c:a1:f9:64,发送方地址Source Address DA:58:69:6c:5e:7e:14,接收方地址 Destination Address
其实这些信息在wireshark中都可以读出来,我们可以将MNM捕获的包保存为.cap格式,然后在用wireshark打开即可。
Over
