Я пытаюсь использовать wireshark, чтобы немного узнать о сети и захвате пакетов. Однако, насколько я понимаю, комбинация Windows 7 + различных чипов Wi-Fi не позволяет сетевой карте работать в "беспорядочном режиме". Кто-нибудь имел опыт заставить это работать?
1 ответ
7
Остерегайтесь терминологических трудностей здесь.
Случайный режим - это концепция, которая возникла в проводном Ethernet, когда ваша карта показывает вам весь трафик, который ваш концентратор повторяет на ваш порт, даже если он не адресован вам. Многие (но не все) карты Wi-Fi поддерживают случайный режим, который во многом похож на смешанный режим Ethernet; он показывает только кадры "данных", только в вашей текущей сети (тот же BSSID), и показывает их после того, как они были преобразованы в пакеты в стиле проводного Ethernet (кадрирование Ethernet-II или 802.3). Идея состоит в том, чтобы сделать его похожим на тот же трафик, который вы видели бы на проводном интерфейсе Ethernet в беспорядочном режиме, для сетевых инженеров, которые хотят смотреть на вещи на этом уровне.
Режим монитора 802.11 - это своего рода супер-случайный режим для карт 802.11. В режиме полного мониторинга карта настроена на канал и показывает все пакеты, которые она может получить на этом канале, несмотря ни на что. Если на этом канале есть другие сети Wi-Fi, он также показывает кадры из этих других сетей. Он показывает не только кадры данных, которые вы видите в проводном Ethernet, но также специфичные для 802.11 "Управление" (Beacon, Probe, Auth, Assoc, Action и т.д.) И "Управление" (Ack, RTS, CTS, PS и т.д.). И это показывает их непереведенные, с их полными заголовками в стиле 802.11.
Полная поддержка режима мониторинга 802.11 труднее найти на потребительских картах Wi-Fi, и там, где она существует, она часто глючит.
Многие профессионалы 802.11 выбирают для этого беспроводную USB-карту AirPcap CACE Technologies (корпоративный спонсор Wireshark), поскольку с самого начала они были отличными картами с режимом мониторинга 802.11 для использования с Wireshark.
Обновить:
Также важно отметить, что на самом деле существует всего несколько производителей чипсетов Wi-Fi, и все производители карт используют чипы этих нескольких поставщиков. Крупнейшими поставщиками являются Broadcom, Atheros, Marvell и Intel, а также есть несколько менее известных поставщиков, таких как Ralink. Из них Atheros долгое время был лучшим поставщиком чипсетов для поддержки режима монитора и поддержки с открытым исходным кодом. Вы можете проверить сообщество драйверов Wi-Fi в Linux, чтобы узнать, какие карты используют чипы Atheros и хорошо поддерживают драйвер "Madwifi", а затем выбрать один из них; у них больше шансов иметь драйвер Windows, который хорошо поддерживает режим монитора.