close

上週幫自己的MacBook Air搞定抓包功能,就可以省去再另外拿一筆電來做抓取wifi封包分析工具。

因為Macbook有一個無線診斷功能,當它在診斷的時候會用自己的無線網卡持續監聽當前環境的WiFi封包。監聽到的WiFi封包會進入到無線網卡的interface,再利用Wireshark軟體搭配使用就可以即時監聽WiFi封包、分析及儲存。

airport是mac系统內建的無線配置工具,比如通過airport命令可以切換channel, 為了使用方便先建立airport Symbolic link,方式如下:

打開airport命令给airport指定路徑:sudo ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/local/bin/airpor

在终端内输入如下命令,就能看到 airport 监测到的附近 wifi 信息:airport -s

  • SSID:wifi名稱
  • BSSID:AP的MAC address
  • RSSI: 信號强度
  • HT:802.11n高吞吐量(HT)模式,使用HT混合模式的設備以舊802.11a / b / g方式和新802.11n方式傳輸。具體地,HT混合模式設備發送傳統格式前同步碼,然後發送HT格式前同步碼。
  • SECURITY:加密類型

關閉airport command:airport -z

確認自己的MacBook的網卡名稱: ifconfig -a, 以煮婦自己的電腦為例查詢出來網卡名稱是 “en0”。

輸入要監聽的channel進行抓包,: airport <網卡名稱> sniffer <channel No.>, 例如 channel 6: airport en0 sniffer 6

* en0 本機無線網卡名稱 
* sniff 抓封包命令
* channel 要監聽的channel

離開按control + c 組合鍵, 文件所在位置是/tmp, 可以使用Finder前往文件資料夾功能.

e.g.: 在Finder輸入/tmp, 即可找到

搭配Wireshark使用時, Wireshark需將 "WiFi:en0" Monitor Enable. (這篇就不分享 Wireshark的使用方式, 之後有機會再來分享基本的操作用法)

undefined

設置wireshark,開始抓包:

undefined

Note: 在第一次使用後無法將Macbook的網卡從監聽模式改回為連線模式, 重新開機後就可以恢復正常.

arrow
arrow
    文章標籤
    封包擷取 Sniffer wireshark教學
    全站熱搜

    NICO 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄