wireshark抓包方法及常用过滤命令

已于 2024-09-27 10:36:06 修改
阅读量1.9k 收藏 18
点赞数 3
文章标签: wireshark 网络 wifi
于 2024-06-24 16:28:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bgm_Nilbb/article/details/139503840
版权

wireshark是一个抓包小能手,排查网络问题的时候常常离不开,网上的使用教程也有很多,但多数是抓的有线数据包,本文主要介绍使用wireshark抓空口包的方法和常用命令。

-----再牛逼的梦想,也抵不住傻逼般的坚持! --2024-06-24 16:10

前言:

什么是空口包? 这里大家可以思考下:笔记本电脑通过网线连接路由器和通过wifi连接路由器访问百度,淘宝等有什么区别?
个人理解:是传播介质不同,一个通过网线,另外一种是通过空气。
那么,网线传输,我们可以通过网线分流去抓包,空气抓包要如何做呢?这里就是我这篇博客的目的了,通过空气作为介质传播的包通常就叫做空口包,我们需要使用wifi usb 抓包网卡,或者笔记本自身的wifi网卡,使其处于监听模式,时刻监听空气中的包,以此来完成抓空口包的目的。

一. wireshark抓空口报文

wireshark抓取有线报文的方式,这里就不再做记录了,有疑问的同学可以留言或者私信。这里主要纪律下抓空口包的两种方式。

wireshark抓取空口报文方式有两种:

  1. 电脑外接一个usb wifi网卡,安装这个网卡的特定驱动(用于抓包),之后打开wireshark进行抓包。
  2. 电脑切换到ubuntu系统,将电脑自身的wifi网卡切换到监听模式,然后打开wireshark进行抓包。
    linux下切换网卡至监听(monitor)模式的命令如下:
sudo airmon-ng wlan0 start;
sudo wireshark

如上两种各有优缺点,最大的区别在于,wifi6即80211ax目前只能在linux系统下进行抓包,即使用方式2。

二. 常见过滤wifi空口包命令

空口报文与有线抓包的报文有些区别,如有线抓包我们通常只需要分析网络,传输,应用层的协议即可,如:arp, icmp, tcp, udp, http, https等等,但空口包,我们往往还需要分析很多链路层的报文。
1.协议、MAC地址、ip地址过滤

ip.src == 源IP地址
ip.dst == 目标IP地址
ip.addr == 主机IP地址    //个人使用较多 

tcp.srcport == 源端口号
tcp.dstport == 目标端口号
tcp.port == 端口号       //个人使用较多 

dhcp/icmp/tcp/upd/http/https

无线/有线mac地址过滤
wlan.addr == mac地址
eth.addr == mac地址

2.wifi链路层报文过滤命令如下

Management frame
wlan.fc.type == 0

Control frame
wlan.fc.type == 1

Data frame
wlan.fc.type == 2

Association request
wlan.fc.type_subtype == 0x00

Association response
wlan.fc.type_subtype == 0x01

Reassociation request
wlan.fc.type_subtype == 0x02

Reassociation response
wlan.fc.type_subtype == 0x03

Probe request
wlan.fc.type_subtype == 0x04

Probe response
wlan.fc.type_subtype == 0x05

Beacon
wlan.fc.type_subtype == 0x08

Disassociate
wlan.fc.type_subtype == 0x0A

Authentication
wlan.fc.type_subtype == 0x0B

Deauthentication
wlan.fc.type_subtype == 0x0C

Action frame
wlan.fc.type_subtype == 0x0D

Block ACK requests
wlan.fc.type_subtype == 0x18

Block ACK
wlan.fc.type_subtype == 0x19

Power save poll
wlan.fc.type_subtype == 0x1A

Request to send
wlan.fc.type_subtype == 0x1B

Clear to send
wlan.fc.type_subtype == 0x1C

ACK
wlan.fc.type_subtype == 0x1D

Contention free period end
wlan.fc.type_subtype == 0x1E

NULL data
wlan.fc.type_subtype == 0x24

QoS data
wlan.fc.type_subtype == 0x28

Null QoS data
wlan.fc.type_subtype == 0x2C

EAPOL
eapol

三. 小结

未完待续,搬砖搬砖,后续有新问题大家可以提出来,本人也会更新到这里

Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3284
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,括 Windows、macOS 和 Linux。
Wireshark抓包常用指令
MusicScore的博客
06-20 1524
addr,即含src 也含 dst 进一步过滤,tcp协议,这里len == 24表示,表示TCP负载长度24,这个通常很有用 udp抓包案例分析 640 = 632 + 8 2.UDP报文结构 这里讲一下关键的点前面几个图可以看到Checksum,校验和。 TCP的数据的校验和计算的数据来源括三部分:TCP伪首部和TCP首部和TCP数据。TCP计算校验和引入了伪首部,括后面介绍的UDP。如下图所示,TCP伪首部括:源地址(32 bit),目标地址(32 bit),Zero
WIFI空口Wireshark过滤条件
bobhu4201的博客
09-05 1641
WIFI空口Wireshark过滤条件 一)三大类 WIFI过滤 二)管理帧 三)控制帧 四)数据帧 五)WIFI组合过滤条件
MAC使用wiresharkWiFi空口
weixin_40588186的博客
10-24 4623
MAC的无线网卡自带支持monitor模式的驱动,我们可以使用它直接wifi air log,不需要借助其他网卡。
空口抓包指南
10-24
wifi问题log 复现问题取信息前,或者取后,记得收集以下信息: a.本机的 wifi mac 地址及分配到的 ip 地址 b.本机连接的路由器的 AP/SSID/IP 地址 c.测试开始时间点 d.测试出现问题的大概时间点
Windows_ubuntu双系统_wireshark空口抓包_安装使用说明
weixin_49752138的博客
05-17 1277
sudo airmon-ng start wlp0xxx(iwconfig 查看本机网卡名称)本文使用系统版本为:ubuntu-18.04.5-desktop-amd64.iso。Rufus工具下载地址:https://rufus.en.softonic.com/注:安装过程中会有一个类图形界面跳出,是询问是否允许非root用户抓包,选Yes。注:此时wireshark已安装好,可以数据,但不能空口(需要设置一下)最后进入安装过程,大约15分钟,然后重启可进入安装好的系统。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 3156
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Wireshark 抓包常用过滤命令
baidu_41240438的博客
10-12 1526
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
最新发布
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark 抓包过滤命令汇总
qq_43867928的博客
05-25 1357
作为一名网络工程师, 如果你不会wireShark, 就不是一名合格的工程师;![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/bef009fb41b842be97d1e97b89cf1cb6.pngWireshark本身主要是一个图形用户界面应用程序,所以其大部分操作通过图形界面完成。然而,Wireshark及其命令行工具如tshark提供了强大的命令行功能,适用于脚本化和自动化的网络分析。
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark抓包工具
05-30
Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具
Ubuntu中利用aircrack-ng和Wireshark空口
sy84436446的博客
02-16 3591
linux下空口抓包
wireshark USB抓包过滤
haart的专栏
08-07 5812
wireshark是Linux下的USB抓包利器,启动抓包之后,会把同一总线的所有USB下来。 如果想只看特定的设备的话就需要对数据进行过滤。 如在上面的过滤栏中输入: usb.device_address == 12 这样下面显示的就全是设备地址为12的数据了。 怎么知道要抓包的USB设备的地址呢?可以用lsusb命令 ...
Windows下使用USB网卡WiFi报文/空口抓包(虚拟机+Wireshark抓包
网洞的博客
07-14 6615
实现了一种简易、低成本、适用性广的Windows下空口抓包方案。通过VMware虚拟机启用一个Kali虚拟机,在Kali下开启无线网卡的监听模式,并使用rpcapd暴露虚拟机种的网卡接口,最后在Windows下使用Wireshark的远程抓包功能即可实现空口抓包
aircrack-ng + wireshark 进行wireless packet sniffer
sdc20102010的博客
10-12 1368
我们用aircrack-ng + wireshark 可以进行 空气抓包, 这个非常简单不需要ominpic 工具了。
wireshark】Ubuntu 安装 wireshark 以及 wireshark 过滤器的使用
challenglistic的博客
04-21 3406
wireshark】Ubuntu 安装 wireshark 以及 wireshark 过滤器的使用
wireshark常用过滤命令
教Linux的李老师
06-24 8701
wireshark常用过滤命令
使用wireshark过滤pcap报文
aian2132的博客
09-15 1745
这段时间在琢磨如何解析激光雷达采集的pcap数据,手头有台镭神的32线Lidar,在对pcap文件解拆成想要的格式(pcd,bin)格式的时候,遇到了一个小问题: 用镭神提供的点云可视化软件录制的pcap,经常会出现解析失败的情况,具体的报错信息如下: 可以发现,这个pcap文件只能部分解析,解析到第13234个的时候,出现了错误,查看解析出来的文件夹发现,解析出来的内容是准确而无误的,猜测可能是录制的时间比较长(其实只有30s左右的时间),中间抓包的过程中出了错误,于是重新录制了一个只有几秒钟的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸡蛋炒肉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值