我想知道如何使用wireshark捕获特定无线网络的数据包。针对特定网络的wirehark捕获过滤器(bssid)
我已经能够捕获不同网络的所有数据包,在监视模式下设置我的无线网卡,但对于特定分析,我需要在捕获过程中丢弃与我的网络无关的所有数据包。
我知道存在显示过滤器来做到这一点,但我需要提前过滤它们(就像捕获过滤器一样)。
如果我去CAPTURE-> OPTIONS我可以设置捕获过滤器,但我不知道确切的过滤器,因为它们不同于显示过滤器infact wlan.bssid == xx:xx:xx:xx:xx:xx 不起作用。
有什么建议吗?
感谢
优秀的问题,这是我一直在试图找出也。
简短的回答是wireshark工具无法过滤BSSID。 Wireshark使用pcap,它通过SO_ATTACH_FILTER ioctl使用内核Linux Socker过滤器(基于BPF)。 BSSID没有BPF过滤器。
另一个工具airodump-ng可以通过BSSID进行捕捉,因为它可以将所有802.11帧传送到用户空间并在那里解码/过滤帧。考虑到所有的用户空间处理,它的工作效果令人惊讶。
但即使是低容量的80211网络也相当嘈杂。例如,我的SOHO在两分钟内捕获11K帧;我仍然会丢帧。为我附近的五个可见(但小的!)BSSID抓取所有80211帧,并在三分钟内收到141K帧(104MB)。
我正在寻找使用EMMC或SD闪存的嵌入式帧嗅探器/注入器,所以我需要小心推动极限。
所以我想写一个自定义的BDF过滤器只过滤本地BSSID帧。我希望扩展它以减少大量的“噪音”帧 - 大部分控制和管理帧可以被过滤。 帧中的BSSID地址位置基于ToDS和FromDS控制位。
无论如何,希望我提供了一些面包屑的解决方案。它可能仅仅是一个airodump用户空间解决方案是最简单的。
同样的问题,你可以在这里核对答案: http://serverfault.com/questions/359887/is-there-some-capture-filter-or-alternatives-that-is-especially-useful -for-wir – Anonymous 2012-07-24 10:43:20
谢谢,但如果我想捕获所有用户不只是1个mac地址? – annigoni 2012-07-24 10:56:53