Ubuntu Sniffer怎样进行无线网络分析

在 Ubuntu 上进行无线网络分析的标准流程

一 准备与安装

• 安装抓包与无线分析工具：
  • 图形与 802.11 分析：sudo apt-get install wireshark aircrack-ng
  • 命令行抓包与回放：sudo apt-get install tcpdump
• 权限配置：
  • 安装 Wireshark 时选择“Yes”允许非超级用户抓包，或将当前用户加入 wireshark 组，以便用普通用户启动 Wireshark。
• 硬件与驱动要点：
  • 需要支持**监听模式（Monitor）**与（可选）**注入（Injection）**的无线网卡与驱动；常见芯片如 Atheros AR9271、Ralink RT3070、Realtek RTL8812AU/RTL8814AU 等在 Kali/Ubuntu 社区有较好支持。
  • 笔记本内置 Intel 网卡通常可抓管理/控制帧，但某些型号在抓 802.11n/ac/ax 的 HT/VHT/HE 细节或宽带宽时存在限制，建议用外置 USB 网卡进行深度分析。

二 将网卡切到监听模式

• 识别无线接口名：
  • 使用 iwconfig 或 ip link 查看，如 wlan0、wlp0s20f3 等。
• 关闭干扰进程并启用监听：
  • 终止可能改动网卡状态的服务：sudo airmon-ng check kill
  • 启用监听：sudo airmon-ng start wlan0（或你的接口名）
  • 监听接口通常命名为 wlan0mon 或 wlp0s20f3mon。
• 旧方法（备选，部分驱动适用）：
  • sudo iw dev wlan0 interface add mon0 type monitor
  • sudo ifconfig mon0 up
• 验证监听状态：
  • iwconfig 应显示 Mode:Monitor；iw dev 可看到 monitor 接口与当前 channel。

三 捕获与分析 802.11 流量

• 使用 Wireshark 实时分析：
  • 启动：sudo wireshark
  • 在“Capture Interfaces”选择监听接口（如 wlan0mon），开始抓包。
  • 若只看到“Ethernet”帧，说明未进入监听或驱动在做 fake Ethernet 转换；请确认已在监听模式。
  • 常用显示过滤器（Display Filter）：
    • 管理帧：wlan.fc.type == 0
    • 控制帧：wlan.fc.type == 1
    • 数据帧：wlan.fc.type == 2
    • 去认证帧：wlan.fc.type_subtype == 0x0c
    • 信标帧：wlan.fc.type_subtype == 0x08
    • 特定 BSSID：wlan.bssid == 00:11:22:33:44:55
    • 含 EAPOL 四次握手：eapol
• 使用 tcpdump 抓取与回放：
  • 抓包到文件：sudo tcpdump -i wlan0mon -w capture.pcap
  • 读取分析：sudo tcpdump -r capture.pcap -Y “wlan.fc.type == 0”
• 使用 airodump-ng 扫描与锁定 AP：
  • 扫描：sudo airodump-ng wlan0mon
  • 锁定信道与 BSSID 抓取：sudo airodump-ng wlan0mon -c 6 --bssid AA:BB:CC:DD:EE:FF -w out
  • 观察 Beacon、Data、ESSID、Channel、Signal 等字段。

四 信道与带宽设置

• 查看目标 AP 的频点与带宽（已连接时）：
  • iw wlan0 link（关注 freq 与 tx bitrate）
  • 频点与信道映射示例：2462 MHz = 信道 11（2.4 GHz）；5 GHz 需按设备支持设置。
• 在监听接口上设置信道与带宽：
  • 固定到信道 100（示例）：sudo iw dev wlan0mon set freq 5500 100MHz
  • 设置带宽与扩展（示例）：sudo iw dev wlan0mon set freq 5500 HT40+（或 80MHz）
  • 注意：某些 Intel 驱动在 HT40+/80MHz 等宽带宽设置上可能受限，抓包时优先使用 20MHz 以提升兼容性。
• 实操建议：
  • 先用 airodump-ng 锁定目标 BSSID 与 Channel，再在 Wireshark/tcpdump 中固定相同信道与合适带宽，避免丢包与乱序。

五 常见问题与合规提示

• 抓不到管理/控制帧或只看到以太网帧：
  • 未进入监听模式或驱动在做 fake Ethernet 转换；请按第二节切换到监听模式再抓。
• 无法切换信道或设置带宽：
  • 驱动不支持或接口被占用；先 airmon-ng check kill，确认接口为 monitor，再尝试 iw 命令；必要时更换支持更好的网卡。
• 抓包丢包或性能差：
  • 关闭可能干扰的服务（如 NetworkManager、wpa_supplicant、avahi-daemon），减少后台流量，使用 20MHz 带宽提高稳定性。
• 合法合规：
  • 仅在自有网络或取得明确授权的环境中抓包；不要拦截、篡改或注入未授权流量；遵守当地法律法规与网络使用政策。