WIFI抓包理论篇——802.11帧与EthernetII帧的差别

最新推荐文章于 2024-05-02 19:36:11 发布
最新推荐文章于 2024-05-02 19:36:11 发布
阅读量3.1k 收藏 14
点赞数 1
分类专栏: 嵌入式网络安全 文章标签: 网络协议 wireshark tcp/ip 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45536814/article/details/121166293
版权

论坛上有挺多抓包的教程,但是一上来就直接说怎么干。本文作为自己工作过程的记录,先把要干的事情讲清楚。首先想要抓取WIFI数据包,先考虑想要抓取哪一种类型的帧,是带有802.11标头的帧还是普通的Ethernet II帧。

802.11帧与Ethernet II 帧的转换

图选自《无线网络权威指南第二版》

如上图所示(802.33帧暂不考虑),EthernetII帧和802.11帧 内容相同的地方在于Type及其之后的IP Packet。Ethernet II帧经过一系列的处理之后会打上802.11标头,加密发送到空中。反过来,802.11帧经过筛选解密等一系列操作之后变成Ethernet II帧。其处理流程简要参考如下,有兴趣可以去深入了解这本书内容。

图选自《无线网络权威指南第二版》

 上图中的Wireless Transmission和Wireless reception 部分便是封装好的802.11帧,Wired interface便是EthernII帧。因此,了解这差别之后便可以根据自己需求抓取WIFI包。

根据需求选择抓取方式——空中还是有线

根据笔者的抓包经验和遇到的坑,再参考Gitlab上Wireshark对802.11帧抓包的总结。得出的个人结论如下:

如果只对自己接收的常规包(IP层和以上)感兴趣,对802.11中MAC header中无线电层信息(如信号强度和数据速率)不感兴趣,那么请直接在网卡接口端(Wired)直接抓取报文分析。这种情况抓取的是Ethernet II帧。

如果对一个WIFI网络中多台机器之间的流量感兴趣,或者对802.11中管理包或者控制包感兴趣,或者对无线电层的内容感兴趣,那么可以采取监听模式(monitor)去抓包。这种情况抓取的是802.11帧。

优势              

劣势

适用需求

网卡抓EthernetII

方便快捷稳定

只能抓到单条链路

分析IP数据包,分析单条链路数据

空中抓802.11 帧

可以看到控制帧,管理帧

可以一次抓取多条链路

需要特殊的平台和网卡

可能会丢帧

分析管理帧控制帧等,分析多条链路数据


采取监听模式(monitor)抓802.11包的注意事项

对于直接在网卡界面抓包,没什么可说的,直接在抓包软件Wireshark中选取wlan就可以了。需要重点说明的是采取monitor模式抓包会的注意事项。Wireshark中对抓取802.11包有以下结论Conclusion: the packets you'll be capturing with default settings might be modified, and only a limited number of the packets transmitted through the WLAN.

简单翻译过来一下:使用默认设置抓包,包的内容可能会被改变。并且只有一小部分的包会经过WLAN中。

Unfortunately, changing the 802.11 capture modes is very platform/network adapter/driver/libpcap dependent, and might not be possible at all (Windows is very limited here).

简单翻译:很不幸,要使用monitor模式,去抓802.11包很依靠 平台,网卡,驱动,libcap等,甚至一丁点都不行。

笔者采用抓包的方式是在Kali Linux系统下的 Aircrak-ng工具,并且尝试了不同的Ralink芯片组网卡,效果有比较大的差异,会存在大量漏帧等问题。在Aircrack-ng 网站上有推荐的网卡,这些对Aircrack-ng适配性更好一些,不过国内挺难买到的,这些基本是旧款已经停产的网卡。

链接:Aircrack-ng推荐网卡

这篇文章先把以太网帧和802.11帧差别写出来,根据需求去选择自己的方式。并且把monitor模式空中抓取802.11帧的注意事项列举出来,避免以后掉坑。

路口大爷S
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IEEE802EthernetII的封装格式对比
圣菲尔丁
07-18 3626
下图是《TCP/IP详解,卷1:协议》里的一幅图,其要说明的是IEEE802EthernetII的封装格式对比。 历史上曾经出现过五种类型的以太网封装格式,可以参考本博转载并整理过的一博文《以太网的》。 该图至少说明了以下问题: 1. 如何区分802EthernetII。     《详解》里有一句话:幸运的是, 802定义的有效长度值与以太网的有效类型值无一相同,
802.11无线抓包教程_V3.0.pdf
04-08
使用Omnipeek 抓WiFi 空口报文
802.11与802.3数据转换(即有线和无线数据转换)
网络知识精读
11-04 1万+
原文直接摘自《802.11无线网络权威指南》第二版,仅仅作为个人记录下。 无线到有线(802.11至802.3) 当基站的无线界面接收到准备传送至有线网络的,基站就必须在两种介质间桥送。非正式来讲,以下是基站必须进行的一系列工作: 1. 当基站接收到一个,首先会检测该基本上是否完整。接下来,基站会针对所使用的物理层,检视本章之前讨论过的物理层标头,然后验证802.11 上的
支持qbu的TSN交换机传输IEEE 802.3br格式数据包传输过程抓包
01-09
可以了解802.3br协议数据传输过程。 SMD-C2 SMD-S3等指令的应用 结合https://iebmedia.com/technology/tsn/tsn-technology-basics-of-ethernet-frame-preemption-part-2/ 了解frame preempt
网络学习:数据链路层Ethernet II协议详解
qq_55038440的博客
03-10 681
Ethernet II协议位于数据链路层,其包含MAC地址和数据类型。1.IG=0表示单播,反之为多播地址,其位置有2种,一种为第1位,另一种为第8位。2.网卡进来的数据是已经校验正确的数据包。
IEEE-802.3:实现IEEE 802.3以太网封装
05-17
IEEE-802.3 1)题目“ IEEE 802.3以太网封装” 题目内容:编写程序实现IEEE 802.3以太网封装。 2)要求: 1.要求画出界面,以太网的数据部分、源MAC地址和目的MAC地址均从界面输入; 2.计算后的校验和字段和封装后的结果可以从界面上输出; 3.生成多项式G(X)=X8+X2+X1+1; (或者生成多项式G(X)=X32+X26+X23+X22+X16+X12+X11+X10+X8+X7+X5+X4+X2+ X1+1;) 4.使用的操作系统、语言和编译环境不限,但必须在实验报告中注明 按802.3标准的结构如下表所示(802.3标准的Ethernet结构由7部分组成) 表1 802.3标准的结构 前导码 前定界符 目的地址 源地址 长度字段 数据字段 校验字段 7B 1B (6B) (6B) (2B) (长度可变) (4B) 实现
802.11无线网络权威指南(第2版).pdf
04-20
目录 802.11 无线网络权威指南 .......................................................................................................... 1 (第 2 版) ..................................................................................................................................... 1 目录............................................................................................................................................ 3 序 ............................................................................................................................................. 14 前言.......................................................................................................................................... 16 第 1 章 无线网络导论.............................................................................................................. 24 1.1 为何需要无线? 24 1.1.1 无线频谱:关键资源 .......................................................................... 25 1.2 无线网络的特色 27 1.2.1 没有实体界限..................................................................................... 27 1.2.2 动态实体介质..................................................................................... 27 1.2.3 安全性................................................................................................ 28 1.2.4 标准的好处......................................................................................... 29 第 2 章 802.11 网络概论......................................................................................................... 31 2.1 IEEE 802 网络技术规格 31 2.2 802.11 相关术语及其设计 33 2.2.1 网络类型 ............................................................................................ 34 2.2.2 再论传输系统..................................................................................... 37 2.2.3 网络界限 ............................................................................................ 38 2.3 802.11 网络的运作方式 40 2.3.1 网络服务 ............................................................................................ 40 2.4 移动性的支持
无线射频专题《IEEE 802.11协议讲解2@WiFi抓包分析之MAC_Header》
物联网研究室BBC的博客
01-03 2642
IEEE 802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps。由于802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了802.11b和802.11a两个新标准。三者之间技术上的主要差别在于MAC子层和物理层。至今2021年,又经过若干年的发展,并且5GHz频段技术、WiFi-Mesh技术的融入,IEEE 802.11协议的标准处于持续更新和发展状态,一般的应用开发者根
802.11 无线抓包教程V2.0
qq_45433012的博客
08-29 383
点击运行“Savvius Omnipeek”软件,初次运行可能会设置一下注册表,请允许;打开软件后点击“New Capture”:左侧菜单“Adapter”选择刚刚安装的网卡适配器,部分电脑在安装驱动后可能需要重启,选择后可以看到“Omnipeek API”为 Yes 则表示驱动安装正确,可以正常抓包:左侧菜单“802.11”选择需要抓包的信道,网卡只能在固定的信道上抓包;如果选择“scan”模式,则网卡处于多个信道轮询抓包,这种情况下漏包会很多;
Windows下捕获802.11数据包
无人赴约
05-20 1万+
摘要:Windows下无法直接用wireshark,原因是因为捕获802.11需要设置网卡为监控模式(即monitor mode,非混杂模式),因此我们需要使用microsoft network monitor,微软提供的一个免费检测工具来抓包。 运行环境: 笔记本 + win10 + Microsoft Network Monitor 3.4 + wireshark ...
如何用wireshark捕获802.11数据包
热门推荐
hello7zsm的博客
04-23 2万+
强调,本人的系统是win10,并此基础上建立了linux虚拟机。 首先要在linux里编辑环境,因为在win中是捕获不到802.11的包的, 我用的工具是 wireshark, sudo apt-get install wireshark sudo apt-get install wireshark-gtk 如果在安装过程中出现   我只能说虚拟机重装一个吧,这个出问题了,我现...
TCP/IP协议栈与数据报封装 (802.3 Ethernet 以太网 802.11 WLAN 无线网 )
weixin_33722405的博客
12-29 779
http://blog.csdn.net/jnu_simba/article/details/8957242 一、ISO/OSI参考模型 OSI(open system interconnection)开放系统互联模型是由ISO(International Organization for Standardization) 国际标准化组织定义的网络分层模型,共七层,如下图。 物理层(P...
802.11数据包嗅探样本
08-26
monitor模式下802.11封装的数据包抓获样本。 学习无线技术时,用无线网卡抓包容易出现问题,导致很多人无线获取802.11协议栈的数据包,所以我抓了点流量,贡献出来^_^
802.11无线抓包教程_V2.0.pdf
03-10
Omnipeek 10.0.1无线抓包资料
进阶利用OmniPeek进行空口抓包以及802.11报文分析
09-26
进阶利用OmniPeek进行空口抓包以及802.11报文分析
计算机网络实验 分析Ethernet II.rar
03-03
计算机网络实验 分析Ethernet II.rar
802.11_WirelessNetworks_The_Definitive_Guide_2nd_Edition .pdf
11-15
非常经典的802.11无线局域网的教程。As we all know by now, wireless networks offer many advantages over fixed (or wired) networks. Foremost on that list is mobility, since going wireless frees you from ...
更深层次理解传输层两协议【UDP | TCP】【UDP 缓冲区 | TCP 8种策略 | 三次握手四次挥手】
最新发布
菜菜成长为后端开发大佬
05-02 976
目录再谈端口号 端口号的返回划分netstat(重要)pidof一,UDP协议UDP协议格式理解tcp/udp报文UDP的特点UDP的缓冲区怎么理解全双工,半双工呢?二,TCP协议(传输控制协议)协议格式tcp协议的实现向上,向下交付a. 序号与确认序号理解tcp协议的可靠性b. 16位窗口大小c. 6个标记位连接管理机制d. 紧急指针e. 策略1. 确认应答(ACK)机制2. 超时重传机制 3. 滑动窗口4. 流量控制5. 网络拥塞控制6. 延迟应答7. 捎带应答f. tcp机制小结g.面向字节流h.黏
沪深websocket level2/level1行情推送接入示例
04-28 555
【代码】沪深websocket level2/level1行情推送接入示例。
802.3封装和ethernet
05-24
802.3是一个IEEE标准,定义了局域网使用的CSMA/CD协议。它规定了数据的格式、最大长度、头、尾等。而Ethernet是一种在计算机网络中常用的局域网技术,使用的就是802.3标准中定义的CSMA/CD协议。 在802.3中,数据由Preamble、SFD、Destination Address、Source Address、Length/Type、Data和Frame Check Sequence组成。其中Preamble和SFD用于同步,Destination Address和Source Address用于指示的发送者和接收者,Length/Type用于指示数据的长度或数据类型,Data是实际传输的数据,Frame Check Sequence用于检验数据传输的正确性。 在Ethernet中,数据的格式和802.3基本相同,只是在Length/Type字段中使用了不同的值,以区分不同的协议类型。Ethernet还定义了一些特殊的类型,如广播、多播和单播等。此外,Ethernet还规定了MAC地址的格式和分配方式,以确保网络中每个设备都有唯一的MAC地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值