wireshark抓包方法及常用过滤命令

已于 2024-06-26 11:43:56 修改
阅读量576 收藏 8
点赞数
文章标签: wireshark 网络 wifi
于 2024-06-24 16:28:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bgm_Nilbb/article/details/139503840
版权

wireshark是一个抓包小能手,排查网络问题的时候常常离不开,网上的使用教程也有很多,但多数是抓的有线数据包,本文主要介绍使用wireshark抓空口包的方法和常用命令。

-----再牛逼的梦想,也抵不住傻逼般的坚持! --2024-06-24 16:10

前言:

什么是空口包? 这里大家可以思考下:笔记本电脑通过网线连接路由器和通过wifi连接路由器访问百度,淘宝等有什么区别?
个人理解:是传播介质不同,一个通过网线,另外一种是通过空气。
那么,网线传输,我们可以通过网线分流去抓包,空气抓包要如何做呢?这里就是我这篇博客的目的了,通过空气作为介质传播的包通常就叫做空口包,我们需要使用wifi usb 抓包网卡,或者笔记本自身的wifi网卡,使其处于监听模式,时刻监听空气中的包,以此来完成抓空口包的目的。

一. wireshark抓空口报文

wireshark抓取有线报文的方式,这里就不再做记录了,有疑问的同学可以留言或者私信。这里主要纪律下抓空口包的两种方式。

wireshark抓取空口报文方式有两种:

  1. 电脑外接一个usb wifi网卡,安装这个网卡的特定驱动(用于抓包),之后打开wireshark进行抓包。
  2. 电脑切换到ubuntu系统,将电脑自身的wifi网卡切换到监听模式,然后打开wireshark进行抓包。
    linux下切换网卡至监听(monitor)模式的命令如下:
sudo airmon-ng wlan0 start;
sudo wireshark

如上两种各有优缺点,最大的区别在于,wifi6即80211ax目前只能在linux系统下进行抓包,即使用方式2。

二. 常见过滤wifi空口包命令

空口报文与有线抓包的报文有些区别,如有线抓包我们通常只需要分析网络,传输,应用层的协议即可,如:arp, icmp, tcp, udp, http, https等等,但空口包,我们往往还需要分析很多链路层的报文。
1.协议、MAC地址、ip地址过滤

ip.src == 源IP地址
ip.dst == 目标IP地址
ip.addr == 主机IP地址    //个人使用较多 

tcp.srcport == 源端口号
tcp.dstport == 目标端口号
tcp.port == 端口号       //个人使用较多 

dhcp/icmp/tcp/upd/http/https

无线/有线mac地址过滤
wlan.addr == mac地址
eth.addr == mac地址

2.wifi链路层报文过滤命令如下

Management frame
wlan.fc.type == 0

Control frame
wlan.fc.type == 1

Data frame
wlan.fc.type == 2

Association request
wlan.fc.type_subtype == 0x00

Association response
wlan.fc.type_subtype == 0x01

Reassociation request
wlan.fc.type_subtype == 0x02

Reassociation response
wlan.fc.type_subtype == 0x03

Probe request
wlan.fc.type_subtype == 0x04

Probe response
wlan.fc.type_subtype == 0x05

Beacon
wlan.fc.type_subtype == 0x08

Disassociate
wlan.fc.type_subtype == 0x0A

Authentication
wlan.fc.type_subtype == 0x0B

Deauthentication
wlan.fc.type_subtype == 0x0C

Action frame
wlan.fc.type_subtype == 0x0D

Block ACK requests
wlan.fc.type_subtype == 0x18

Block ACK
wlan.fc.type_subtype == 0x19

Power save poll
wlan.fc.type_subtype == 0x1A

Request to send
wlan.fc.type_subtype == 0x1B

Clear to send
wlan.fc.type_subtype == 0x1C

ACK
wlan.fc.type_subtype == 0x1D

Contention free period end
wlan.fc.type_subtype == 0x1E

NULL data
wlan.fc.type_subtype == 0x24

QoS data
wlan.fc.type_subtype == 0x28

Null QoS data
wlan.fc.type_subtype == 0x2C

三. 小结

未完待续,搬砖搬砖,后续有新问题大家可以提出来,本人也会更新到这里

鸡蛋炒肉
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WireShark抓包.docx
02-24
使用WireShark进行手机抓包,官网https://www.wireshark.org 用WireShark进行抓取数据包,需要手机连接上电脑所连接的网络热点,
wireshark分析RTP丢包率.doc
05-24
wireshark分析RTP丢包率
Wireshark抓包详解-新手教程】
sunrj_niu的博客
04-16 1612
WireShark 主要分为这几个界面 1. Display Filter(显示过滤器), 用于过滤 2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏,杂项) tcp抓包详解
Wireshark 抓包常用过滤命令记录
Howell的博客
03-23 1244
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
MAC使用wiresharkWiFi空口
weixin_40588186的博客
10-24 2639
MAC的无线网卡自带支持monitor模式的驱动,我们可以使用它直接抓取wifi air log,不需要借助其他网卡。
工具使用,抓包wireshark
11-15
工具使用,抓包wireshark
空口抓包指南
10-24
wifi问题log 复现问题抓取信息前,或者抓取后,记得收集以下信息: a.本机的 wifi mac 地址及分配到的 ip 地址 b.本机连接的路由器的 AP/SSID/IP 地址 c.测试开始时间点 d.测试出现问题的大概时间点
如何抓无线空口包?
天才眼镜
05-12 1882
前提条件:Kali Linux, 一个无线网卡,WMware; 首先将无线网卡连接到WMware的Kali Linux,需要保证Kali能够识别该无线网卡; 用ifconfig查看到无线网卡名称为wlan0 运行命令 airmon-ng start wlan0 6 后原来的wlan0接口会被注销,新生成wlanmon0接口,并监听信道6数据包 此后打开wireshark,就有wlanmon0接口,选择此接口就可以监听6信道的数据包 ......
Ubuntu中利用aircrack-ng和Wireshark空口
sy84436446的博客
02-16 2501
linux下空口抓包
Windows_ubuntu双系统_wireshark空口抓包_安装使用说明
weixin_49752138的博客
05-17 986
sudo airmon-ng start wlp0xxx(iwconfig 查看本机网卡名称)本文使用系统版本为:ubuntu-18.04.5-desktop-amd64.iso。Rufus工具下载地址:https://rufus.en.softonic.com/注:安装过程中会有一个类图形界面跳出,是询问是否允许非root用户抓包,选Yes。注:此时wireshark已安装好,可以抓数据包,但不能抓空口包(需要设置一下)最后进入安装过程,大约15分钟,然后重启可进入安装好的系统。
Wireshark 抓包指南
robert198837的专栏
07-14 474
http://www.liuhe.website/index.php?/Articles/single/20
无线抓包详解——Beacon、认证.rar
03-30
1、文档详解 2、无线-beacon 3、无线-认证 4、无线-认证全 无线抓包分析: Beacon 包:(无线没设密码) 2、beacon有无线密码 WPA1:WPA中有CCMP(AES)、无TKIP。无RSN 切换为TKIPWPA中有TKIP。无RSN WPA2:无WPA。RSN中加密方式为CCMP(AES) WPA1 WPA2 混杂模式 AES TKIP 抓包出来一样的 3、2.4G 频宽40 4、2.4G 频宽20 5、2.4G 频宽 20/40(环境无干扰默认选40MHZ,干扰过大可能选20MHZ) 6、认证 Auth
关于OFDMA的介绍
03-23
一个很详细的关于OFDMA介绍文档,建议需要的朋友下的看看,反正又不需要积分。
树莓派抓包文件.rar
08-30
在树莓派上抓包可能需要root权限,因此记得在命令前加上`sudo`。另外,注意抓包可能会影响网络性能,因此在完成分析后记得停止tcpdump。 至于标签提到的“树莓派”,树莓派是一种基于ARM架构的微型电脑,因其小巧、...
Android下使用TCPDUMP实现数据抓包教程
09-03
在Android系统中,进行网络数据抓包是开发者和网络分析人员常用的技术手段,用于检测应用程序的网络行为、排查网络问题或进行安全分析。TCPDUMP是一款强大的网络封包分析软件,它可以捕获网络中的数据包,并将其保存...
【WLAN】【调试】如何使用Wireshark分析加密的WiFi数据包
码农之家
04-24 1279
- 当配置网卡为monitor 模式的情况下,可以使用 wireshark来抓取空口报文; - 如果WiFi采用非Open加密方式,则从报文中仅能分析到 802.11协议层,更底层(如DHCP、ICMP、TCP等)被加密,此时可以使用 wireshark 来完成解密。 - 解密之后,可以通过icmp、tcp等关键词过滤报文
wireshark
CSDN博客
09-22 1119
wireshark使用
WiFi基础学习到实战(四:WiFi帧抓取方式)
ChaserDtao的博客
03-25 2343
WiFi空口交互帧如何抓取呢?
[Wi-Fi抓包篇]3. WireShark ——抓wlan口包的方法
热门推荐
TommyMusk的博客
01-02 2万+
目录 1.何时需要捕获wlan口包? 2.抓wlan口包配置方法 3.抓包实例 1.何时需要捕获wlan口包? 由于捕获空口包只能捕获路由器与设备之间通信包,对于路由器与WLAN口之间的数据无法捕获。 因此,需要借助额外的手段捕获wlan口包。 理论上,Omnipeek和WireShark都可以抓wlan口包,实践中一般是一台电脑同时抓空口包以及wlan口包。由于一个软件只能监控一张网卡,如果使用了Omnipeek抓空口包,则只能用另一个软件抓wlan口包,如本文使用wireshark.
wireshark抓包遥调命令及分析
最新发布
06-06
Wireshark是一个网络抓包工具,可以用来捕捉网络数据包并进行分析。Wireshark可以运行在多个操作系统上,例如Windows、Linux和Mac OS X等。 遥调命令是指通过网络远程对设备进行调节或控制的命令。在Wireshark中,我们可以使用过滤器功能来捕获特定的遥调命令,并进行分析。 以下是一些常用Wireshark过滤器示例: 1. 捕获所有TCP流量:tcp 2. 捕获所有UDP流量:udp 3. 捕获所有HTTP请求:http.request 4. 捕获所有HTTP响应:http.response 5. 捕获所有DNS查询:dns 6. 捕获所有ICMP流量:icmp 一旦我们捕获了特定的遥调命令,我们可以使用Wireshark的统计功能来分析数据包。统计功能提供了各种各样的信息,例如数据包数量、流量大小、数据包长度等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值