原文链接https://wiki.wireshark.org/CaptureSetup/WLAN全文总结本文围绕IEEE 802.11WLAN无线网络抓包环境搭建展开详细说明核心讲解了在使用Wireshark、TShark等工具抓取无线流量时不同抓包需求对应的配置方式、数据包类型差异、链路层封装特点以及监听模式Monitor Mode与混杂模式Promiscuous Mode的区别与应用。普通无线抓包默认仅捕获本机收发的数据帧且驱动会将真实802.11帧头转换为伪以太网帧头无法查看管理帧、控制帧及无线信号强度等信息若要捕获空口全部无线流量必须启用监听模式同时该模式的支持情况高度依赖操作系统、无线网卡硬件及驱动程序不同平台BSD、Linux、macOS、Windows的开启方式与限制各有不同。文章还介绍了802.11网络通过信道、SSID、MAC地址实现数据包过滤的机制以及如何在抓包时选择正确的链路层头类型以查看原始802.11帧头与无线射频信息为专业无线流量分析与故障排查提供了完整的配置思路与操作指导。重要亮点默认抓包的局限性与伪以太网封装问题在未进行特殊配置时无线网卡抓包仅能捕获本机相关的单播、广播与组播数据帧驱动会自动把真实的802.11帧头转换为伪以太网帧头导致完全无法看到管理帧、控制帧等无线底层报文也无法获取信号强度、传输速率等射频层信息抓取到的内容仅为经过过滤和封装后的有限数据无法反映无线网络真实的空口传输情况这也是普通抓包无法用于无线协议分析的关键原因。监听模式是捕获完整802.11流量的核心前提监听模式Monitor Mode可关闭无线网卡的SSID与MAC地址过滤能接收当前信道内所有SSID的无线数据包包括数据帧、管理帧与控制帧同时可获取原始802.11帧头与射频信息是实现空口无线抓包的必要条件。该模式与混杂模式存在本质区别混杂模式仅关闭MAC过滤且局限于当前关联网络加密环境下无法解密异主机流量而监听模式不受当前关联网络限制可捕获信道内所有可接收的无线数据不过启用后可能导致网卡断开现有网络连接影响主机正常上网。802.11数据包类型与链路层头类型选择规则802.11无线流量分为承载业务数据的数据帧、维护网络连接的管理帧如Beacon、Probe和同步信道访问的底层控制帧后两类帧无法生成伪以太网头必须在监听模式下配合正确链路层头类型才能捕获。在Wireshark等工具中可通过选择802.11相关链路层头类型查看原始无线帧头部分平台还支持带射频信息的无线头格式而Linux与macOS仅在监听模式下能获取802.11原始帧头部分BSD系统则可在非监听模式下查看Windows系统对原生无线抓包支持极为有限需依赖Npcap或专用AirPcap设备。不同操作系统开启监听模式的差异与限制监听模式的启用高度依赖平台与硬件高版本Wireshark配合新版libpcap可在GUI或命令行通过-I参数快速开启但Linux部分发行版因libpcap版本问题需使用airmon-ng或iw命令手动创建监听接口BSD系统可通过ifconfig配置监听模式与信道macOS不同版本对原生无线网卡监听支持逐步完善需切换专用虚拟接口抓包Windows平台原生支持极差仅部分网卡在Npcap下可实现多数情况需专用抓包网卡同时所有平台均受网卡驱动与芯片限制并非所有无线设备都支持监听模式。802.11网络的多层过滤机制对抓包的影响无线网络通过信道、SSID、MAC地址三层过滤实现数据筛选信道由频段划分且部分重叠不同国家可用信道数量不同网卡仅能接收当前信道数据且无法关闭信道过滤SSID用于区分不同无线网络默认仅接收关联网络的数据包MAC地址过滤则只接收目的地址为本机的单播帧及广播、组播帧。这些过滤机制导致常规抓包无法获取完整空口数据必须依靠监听模式突破SSID与MAC过滤同时手动锁定目标信道避免因信道跳转或扫描导致漏抓数据包。问题还是没有办法抓取到802.11相关的无线数据包。图 监控模式无法点击通过无线网卡抓取的数据包仍然看不到802.11的数据帧封装