无意中看到一篇blog(windows抓取802.11),其中提到利用microsoft network monitor来抓包,故笔者也尝试了一下。
首先该软件笔者也上传了下:microsoft network monitor软件
其使用也是挺简单的,安装完成之后,需要重新登录系统(即重启或注销)
然后重新进入软件后,就可以发现有驱动很多都读出来了,比如下图:
实际上这个软件不仅抓无线,也可以抓有线的包,不过我们这里只对无线数据包有兴趣,从而选择电脑里面对应的无线网卡即可,其他的都取消掉
如上,笔者电脑里面的无线网卡是intel wireless-N,所以就选这款了。。。然后上面蓝色字体的New capture tab转换到下面界面:
点击开始就可以抓包了,同时也可以在
点击抓包就行了,然后这里还有一个配置
可以具体配置抓什么信道下的数据包。笔者在这里没有太多研究这个,不过感觉这个设置信道作用可能不是特别大。从该软件的名字中microsoft network monitor也可以理解到,该软件实际上是monitor机制下做的,换言之,只有本地接收到的数据或者数据包才会被接收,如果下层地址不匹配,即不是给本PC的话,那么很有可能就被过滤掉了。这点也可以从下面这样实验看出,
若本地没有关联到无线网络下,那么无线抓包结果如下:
可以发现,基本都是beacon包,偶尔也能抓到几个probe包。其他比如RTS/CTS之类的包是抓不到的。
那么如果本地关联上无线之后进行抓包的接入如下:
那么除了beacon以外,我们还发现了很多数据包,而且这些数据包已经被解密了,换言之,也应对了我们之前所述,这些抓包是直接在系统上层做的monitor。不过在数据包里面还是可以看到一些无线时候的信息的。
不过最后我们总结下,该抓包软件比较轻便,由于直接是windows上层进行抓包的结果,所以应该是无线网卡的话都可以使用,不像其他抓包需要专门的网卡。但是缺点就是信息量很少,且抓的数据包不全,用来做做无线网络的调试还行,但是用来做无线网络的深入学习的话,那么就需要采用其他抓包软件更好一些了。