在windows下抓空包（monitor网卡+Omnipeek，主流方案？）

路溪非溪

已于 2024-09-27 18:16:36 修改

阅读量292

点赞数 7

文章标签： windows

于 2024-09-10 22:42:56 首次发布

本文链接：https://blog.csdn.net/qq_28576837/article/details/142111074

版权

当我们的电脑是通过网线联网时，我们可以通过wireshark来抓取通过网口发送和接收到的包，其中包括单播包、多播包以及广播包等等，只要这个包是通过目标网口的。

但是，如果是无线包呢？我们的无线包其实也是通过无线网卡来传输的，我们借助无线网卡+wireshark，也可以抓到无线网卡上发送和接收的包，其中包括接收广播包。但是，跟有线一样，也只能抓到该无线网卡发送和接收的包。

另外，还有一种包，叫做空包，也就是空中包，即air bag，而不是空白的包blank bag，其实也就是空中的无线包。只要有无线经过的地方，就有数据包。我们知道，无线网络信号在传播过程中是以发射点为中心，像波纹一样往外辐射。所以理论上来讲，如果一个接收器处于无线信号经过的地方，它可以收到（“听到”）任何经过它的信号，只是它可能“听不懂”（无法解析报文内容）。空口抓包就是基于这个原理工作的。如果我们想要抓某个嵌入式设备的无线报文，只需在它附近运行一个具有监听功能的PC。

本文主要讲解在windows下抓空包，基于monitor网卡+Omnipeek

在Windows上可以使用Omnipeek，但是该软件需要特殊无线网卡支持，还需要特殊的驱动。具体安装方法、操作步骤可以参考Omnipeek官网介绍，此处不赘述，直接去淘宝买一个支持monitor的网卡即可。

具体操作方法参考：WiFi抓包指南（cisco WUSB600N V2） - 简书 (jianshu.com)

关于空包的加密解密

参考这篇文章：

用omnipeek抓取空中任意设备的wifi数据包 - 简书 (jianshu.com)

通过Capture->Start Capture 或鼠标点击Start Capture 按钮启动抓包。

接下来在Capture-->Packets 子界面中，我们会看到omnipeek抓到了设备的wifi数据包。

但是我们会发现虽然我们抓到数据包了，但是数据包的内容全是加密过的，这是为什么呢，这是因为我的路由器(SSID:wifi from wade)采用了WPA2/Personal的方式加密了。所以接下来需要解密这些数据。

首先点击Stop Capture 停止抓包，然后给要抓包的设备断电或断开设备和路由器的连接，为什么这样做呢，如果要解密WPA加密方式的数据，必须得捕捉到其和路由器刚建立连接时的4个EAPOL包，具体为什么请自行查阅相关资料。这时点击Start Capture 按钮开始抓包，然后让设备重新连上路由器，这时我们会看到成功抓到了4个EAPOL包，可以确定接下来完全可以解出加密的数据了。