Ubuntu Sniffer如何捕获无线网络数据

Ubuntu Sniffer捕获无线网络数据的完整流程

1. 准备工作：确认硬件与权限

• 硬件要求：无线网卡需支持Monitor模式（可通过iw list | grep monitor命令验证，若输出包含“monitor”则表示支持，如RTL8188CUS、TP-WN722N等常见USB网卡）。
• 权限要求：捕获数据包需root权限（所有操作需前缀sudo）。

2. 安装必要工具

Ubuntu默认未安装专业抓包工具，需通过以下命令安装：

# 更新软件源
sudo apt update
# 安装aircrack-ng套件（用于设置Monitor模式、扫描网络）
sudo apt install aircrack-ng
# 安装Wireshark（图形化抓包工具，支持无线数据解析）
sudo apt install wireshark

3. 配置无线网卡为Monitor模式

Monitor模式是捕获无线数据的前提，需将网卡从默认的“Managed模式”（连接WiFi的状态）切换：

# 1. 关闭可能干扰的进程（如NetworkManager、wpa_supplicant）
sudo airmon-ng check kill
# 2. 停止无线网卡（假设网卡接口为wlx0c826806f70a，可通过`ip link`查看）
sudo ip link set wlx0c826806f70a down
# 3. 设置为Monitor模式
sudo airmon-ng start wlx0c826806f70a
# 4. 验证模式切换（新接口名通常为wlan0mon）
ip link show

4. 扫描无线网络（可选但推荐）

使用airodump-ng扫描周围WiFi信号，获取目标网络的信道、BSSID（AP MAC地址）等信息，便于精准捕获：

# 扫描所有信道（-c指定信道可缩小范围，如-c 6）
sudo airodump-ng wlan0mon
# 停止扫描：按Ctrl+C

5. 开始捕获无线数据

方法一：使用Wireshark（图形化）

• 启动Wireshark（需root权限）：

  sudo wireshark
  

• 选择Monitor模式接口（如wlan0mon），勾选“Enable promiscuous mode on all interfaces”（混杂模式，捕获所有流量）。
• 点击“Start”开始捕获，可通过过滤表达式精准筛选数据（如wlan.bssid == 00:11:22:33:44:55捕获指定AP的流量，tcp.port == 80捕获HTTP流量）。

方法二：使用tcpdump（命令行）

• 直接捕获指定接口的流量并保存为.pcap文件（便于后续分析）：

  sudo tcpdump -i wlan0mon -w wireless_capture.pcap
  

• 停止捕获：按Ctrl+C，文件保存在当前目录，可通过Wireshark打开分析。

6. 解密加密的无线数据（可选）

若捕获的是WPA/WPA2加密的WiFi流量，需配置Wireshark解密规则：

• 打开Wireshark：Edit -> Preferences -> Protocols -> IEEE 802.11。
• 勾选“Enable decryption”，点击“Edit”添加解密密钥：
  • 密钥类型选择“wpa-pwd”，格式为密码:SSID（如my_wifi:MyHomeWiFi）。
• 注意：需在捕获前完成解密配置，且需捕获到WiFi连接的4次握手过程（否则无法解密数据）。

注意事项

• 信道一致性：捕获前需将无线网卡信道设置为与目标WiFi一致（sudo iwconfig wlan0mon channel X，X为目标信道），否则无法捕获数据。
• 避免干扰：关闭其他无线设备（如蓝牙、手机WiFi），减少信号干扰。
• 法律合规：仅捕获自己有权监控的网络流量，未经授权捕获他人数据可能违反法律法规。

通过以上步骤，即可在Ubuntu系统下使用Sniffer工具（如Wireshark、tcpdump）捕获并分析无线网络数据。