2023年11月30日发(作者:)

⽤omnipeek抓取空中任意设备的wifi数据包

0x00 背景介绍及准备⼯作

我的上⼀篇⽂章⾥介绍了在电脑上建⽴AP并运⾏wireshark抓取⽆线局域⽹内的数据包,但是它的局限性还是很多的,⽐如只能抓取本局域⽹

内的设备,⽽且被抓包的设备IP协议层数据必须能达到电脑的IP协议层才有机会被wireshark抓到。所以为了能实现抓取周围所有wifi数据的⽬

的,这⾥介绍⼀种基于omnipeek抓包软件的⽅式来抓任意设备的数据包。需要准备如下:

3)在802.11 选项卡中选择Scan选项。这⾥有⼈会问为什么不选Number中具体的通道呢?这样抓包效率不是更⾼,Scan模式丢包率很⾼的。3)

这是因为我现在也不知道我要抓包的设备它在哪个通道啊,所以我只能先选择Scan,让它⼀会把整个⽹段的数据抓⼀遍后我才知道我要抓包的设

备在哪个通道。所以先这样设置吧,⼀会抓完⼀遍待我找到了设备的wifi通道后再回过头来设置吧。

在抓了差不多时间后,点击Stop Capture 按钮停⽌抓包。然后在Wireless-->WLAN ⼦界⾯中找到我们的设备,在下图可以看到wifi from

wade (00:F4:8D:ED:B1:11)就是我们要抓包的设备所连接的路由器名字,⽽5C:CF:7F:69:03:D3正是我们要抓包的设备!其通道号=11其通道号=11,所

以接下来我们再抓包时只⽤抓wlan通道号为11的频段,这样抓包效率就⾼很多了。

0x04 回过头来再次设置抓包⼯程的Capture Options

3)在Filters选项卡中设置抓包过滤条件,因为我们已知被抓包设备的mac地址了,这⾥点击绿⾊加号新建⼀个Untitled 过滤项⽬。在弹出的界3)

⾯中勾选Address filter ,Type下拉列表中选择Ethernet Address ,并在Address 1 输⼊设备的mac地址,Address 2 中选择Any

address 表⽰任何设备。但如果指定了Address2,就只会抓取Address1 和Address2之间通信的数据。

但是我们会发现虽然我们抓到数据包了,但是数据包的内容全是加密过的,这是为什么呢,这是因为我的路由器(SSID:wifi from wade)采⽤

了WPA2/Personal的⽅式加密了。所以接下来需要解密这些数据。

3)填⼊相应的信息

其中Phrase是wifi密码,SSID是wifi名称

4)最后选择wifiwade_wpa_12345678解密集,点击OK开始解密

3)最后在新的窗⼝中我们就可以看到我们想要的TCP层以上的数据了。接下来的数据包分析⼯作就看你⾃⼰了。

0x08 后记