一、如何判断该抓有线包还是无线包层级问题类型抓包位置L1/L2无线连不上、掉线、弱信号无线抓包L2有线VLAN错误有线抓包L3IPDHCP失败有线抓包L4传输丢包、重传有线抓包L7应用Portal、DNS有线抓包DHCP问题 → 有线抓包Portal问题 → 有线抓包802.1X → 无线 有线结合漫游 → 无线抓包最实用的方法 不确定时双点抓包同时抓无线侧空口和 有线侧AP uplink二、有线抓包方式1交换机端口镜像最推荐把目标端口流量复制一份到你电脑monitor session 1 destination interface GigabitEthernet 0/7 switch monitor session 1 source interface GigabitEtherrnet 0/22 both抓包工具 Wireshark打开后直接选网卡开始抓方式2AP / Linux设备抓包所有经过AP转发的有线侧数据包tcpdump -i br-lan -nn -s 0 -w test.pcap -nn 不解析IP/端口更清晰 -s 0 抓完整包默认只抓部分 -w 保存文件方式3直接在电脑抓简单但有限在“终端设备本身”抓包比如你的电脑/测试PC 直接抓电脑网卡的流量Wi-Fi网卡连无线时有线网卡插网线时 本质 只看“终端视角”的网络通信测试 Portal最常用比如Portal不弹跳转异常登录失败 用电脑抓包可以看到关键内容是否访问了某网站如 google.com是否被重定向HTTP 302是否跳转到 Portal 页面如何过滤包DHCP过滤 dhcp //看Discover、Offer、Request、ACK DNS过滤 dns Portal过滤 http || https //看302跳转、Portal URL RADIUS802.1X过滤 radius //看Access-Request、Accept / Reject 指定IPip.addr 192.168.1.10 指定通信ip.src 192.168.1.10 ip.dst 192.168.1.1 TCP问题tcp.analysis.flags三、无线抓包空口抓包 抓 无线空气中的 802.11 数据帧有线抓包 IP / TCP / DHCP空口抓包 Probe/关联/EAPOL/Beacon必要条件非常关键1、一台支持无线网卡驻留在监控模式MonitorMode的计算机。通常Linux系统对无线抓包的支持更好。2、一个兼容并支持监控模式的无线网卡。3、软件准备Wireshark流行的网络协议分析工具 wireshark抓取的数据包都是固定信道的所以要抓取特定信道的数据包的话需要首先手动设定。空口抓包步骤sudo apt-get install wireshark #安装wireshark sudo ifconfig wlan0 down #关闭网卡才可以设置modewlan0为网卡名字若电脑存在其它网卡应down掉只保留无线抓包的网卡 sudo iwconfig wlan0 mode monitor #设置网卡为monitor模式 sudo ifconfig wlan0 up #开启网卡让设置生效 sudo iwconfig wlan0 channel 6 #设置无线网卡工作在信道6 sudo wireshark #需要以特权账户的形式启动wiresharkWireshark分析空口包wlan.addr xx:xx:xx:xx:xx:xx # 只看某个客户端 wlan.ssid your-ssid # 只看某个SSID wlan.bssid aa:bb:cc:dd:ee:ff # 指定AP wlan.fc.type_subtype 0x04 # 扫描Probe看STA是否在找SSID wlan.fc.type_subtype 0x08 # BeaconAP广播看AP是否正常发SSID信道、加密方式 wlan.fc.type_subtype 0x0b # 认证Authentication看是否成功是否被拒绝 wlan.fc.type_subtype 0x00 # 关联Association看是否成功关联AP wlan.fc.type_subtype 0x02 # Reassociation Request漫游重新关联请求 看“终端是否在发起漫游” wlan.fc.type_subtype 0x03 # Reassociation Response看漫游是否成功 wlan.fc.type_subtype 0x0c || wlan.fc.type_subtype 0x0a # Deauth / Disassoc掉线 eapol # 四次握手成功标志4个包完整出现Key (Message 1 of 4)