如何使用wireshark抓到报文radiotap的信息

最新推荐文章于 2025-03-11 09:44:08 发布
转载 最新推荐文章于 2025-03-11 09:44:08 发布 · 452 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/qwblog/p/8744882.html

本文介绍如何通过调整无线网卡模式至Monitor Mode来使用Wireshark正确捕获包含RSSI信息的数据报文。文章首先说明了在Managed Mode下Wireshark无法直接获取到完整的802.11报文及RSSI数据的原因,并提供了具体步骤实现模式转换。

 

本人希望在不修改内核的情况下获得每个数据报文的RSS的大小,查阅资料后得知可以使用wireshark抓取报文,在报文的radiotap头中会有rssi的信息。但是实际操作后发现获取的报文是这个样子的:

查阅资料后发现,当无线网卡不支持或者没有设置为monitor mode时,无线网卡的驱动会自动把802.11 frame 转化为Ethernet frame后给kernel。官方解释为:

If you‘re trying to capture network traffic that‘s not being sent to or from 
the machine running Wireshark or TShark, i.e. traffic between two or more 
other machines on an Ethernet segment, or are interested in 802.11 management 
or control packets, or are interested in radio-layer information about 
packets, you will probably have to capture in "monitor mode". This is 
discussed below.

Without any interaction, capturing on WLAN‘s may capture only user data 
packets with "fake" Ethernet headers. In this case, you won‘t see any 802.11 
management or control packets at all, and the 802.11 packet headers 
are"translated" by the network driver to "fake" Ethernet packet headers.

使用iwconfig命令后发现:

此时无线网卡的模式为managed。因此,我试着去打开无线网卡的monitor mode。查阅资料后,使用命令:

 

sudo ifconfig wlan11 down
sudo iwconfig wlan11 mode monitor
sudo ifconfig wlan11 up

再次运行iwconfig后发现:

此时,网卡的模式已经变为Monitor,在使用wireshark进行抓包,发现也有了radiotap header:

 

转载于:https://www.cnblogs.com/qwblog/p/8744882.html

究竟什么是RSSI
mazi的博客
03-13 7万+
本文首发在究竟什么是RSSI 一、基本概念: RSSI:ReceivedSignalStrengthIndication接收的信号强度指示,无线发送层的可选部分,用来判定链接质量,以及是否增大广播发送强度。 因为无线信号多为mW级别,所以对它进行了极化,转化为dBm而已,不表示信号是负的。1mW就是0dBm,小于1mW就是负数的dBm数。 接收的信号强度指示:RS
Ubuntu下用wireshark抓取802.11封包并进行过滤分析
dius56650的博客
01-20 1731
Ubuntu下用wireshark抓取802.11封包并进行过滤分析 要用wireshark抓802.11的包 需要在linux下进行。 要在linux下抓802.11的包 需要在linux下安装无线网卡驱动。 所以 在正式抓取之前先把这两样东西搞起来。 ...
wireshark-802.11-filters-reference-sheet
07-27
wireshark 802.11报文过滤条件大全
Radiotap信息解析
weixin_34150830的博客
11-01 522
在Linux系统中用wireshark或tcpdump抓无线网卡数据包,每一数据帧前面都有一个叫radiotap的协议头,它包含了信号强度、噪声强度、信道、时间戳等信息radiotap比传统的Prism或AVS头更有灵活性,成为ieee802.11事实上的标准。支持radiotap的系统较多,如Linux、FreeBSD、NetBSD、...
无线网络嗅探中的Radiotap
whatday的专栏
02-27 1398
引言 在WLAN无线网络抓包的时候不管是用wireshark、tcpdump还是scapy都会出现Radiotap、LLC、SNAP协议层。 如图所示: LLC逻辑逻辑链路控制子层(包括SNAP)和MAC介质访问控制子层共同组成了数据链路层。 LLC主要负责向上层协议服务MAC层主要负责局域网寻址以及避免竞争向下服务想更深入了解可以搜一下。 下面主要解释Radiotap的结构和蕴含的...
radiotap header
longll
12-14 1777
关于radiotap header802.11中的radiotap 802.11中的radiotap monitor模式下ieee802.11在收到桢之后还要在外边包一层称为prism或radiotap的头部,里面包含一些RF射频信息,诸如频道,频率,速率等, 这个头部是在ieee802.11成桢后(RX)流经内核mac80211层时加上去的,代码在net/mac80211里。所以这是一个纯软件机...
ieee802.11数据radiotap介绍
李迟的专栏
11-16 1万+
之前文章介绍过在Linux系统用wireshark或tcpdump抓无线网卡数据包。发现每一数据帧前面都有一个叫radiotap的东西。它包含了如信号强度、频率等信息。本文首先介绍radiotap,然后利用radiotap解析库对一段radiotap数据进行解析,获取其中的信息。 介绍 radiotap比传统的Prism或AVS头部更有灵活性,成为是ieee802.11事实上的标准。支持rad
wireshark sniffer 如何抓取到报文的前导码信息
最新发布
06-07
嗯,用户询问如何使用Wireshark抓取报文的前导码信息。看了提供的引用内容,引用[2]明确指出前导码在物理层传输且不被Wireshark接收。这个关键信息与之前查阅的网络知识是一致的——前导码(Preamble)属于物理层帧...
tcpdump 只捕捉到802.3格式的报文没有显示ssid
04-02
如果用户没有使用这些参数,捕获的报文可能会被转换为以太网格式,从而丢失SSID信息。 如果硬件或驱动不支持监控模式,可能需要更换网卡或者使用其他工具。引用[2]提到Scapy可以处理修改的802.11帧,或许可以替代...
利用Wireshark软件对微信协议的分析
11-01
利用Wireshark软件对微信协议的分析,详细分析了微信协议应答的过程
Linux tcpdump -any抓的包转换成标准的pcap
hzz812503533的博客
03-11 1311
根本原因:tcpdump -any 的自动检测机制与标准 pcap 文件的严格链路层定义冲突。最佳实践:始终明确指定链路层类型(如 -l type radiotap),或使用 tshark 进行转换以确保兼容性。使用 -D 查看接口支持的链路层类型,再通过 -l 指定具体类型:bash根本原因:tcpdump -any 的自动检测机制与标准 pcap 文件的严格链路层定义冲突。
Linux系统无线网络抓包程序(分析手机WIFI MAC地址)
李迟的专栏
11-01 7956
前面讲述了使用tcpdump和wireshark抓WIFI包,但这只是使用工具的层面,再深一层则是自己写代码实现这个功能。本文在前面文章《Linux系统有线网络抓包程序》的基础上添加实现无线网络的抓包功能。
【WIFI-6】wifi6的一些理解
D0m1no的博客
06-24 1763
最近入职新公司,被分配了wifi6特性验证和测试的任务,所以整篇文章记录下自己的一些理解(基础原理部分不做介绍了)参考资料没有精力去上传这些资料或者贴链接,读者有意可以私信找我。
WireShark抓包原理解析及抓包实战教程
热门推荐
Cwillchris的博客
10-19 2万+
1、WireShark快速分析数据包技巧 (1)确定 Wireshark的物理位置。如果没有一个正确的位置,启动 Wireshark后会花费很长时问捕获一些与自己无关的数据。“ (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获数据。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。” (4)使用显示过滤器。通常使
WireShark列表中显示数据
技术之路
12-09 7933
WireShark显示数据查看抓包 查看抓包 最近抓包,查看报文,每次要点进查看,挺费时不方便的,一个偶然的机会发现可以将报文件显示在列表中,不用每次去点开查看报文。 在 编辑 —> 首选项… —> Appearance —> Columns 增加data项 应用,就可以看到数据如下图。 ...
IEEE802.11数据帧在Linux上的抓取
系统运维
07-15 517
终于得到了梦寐的《802.11无线网络权威指南》,虽然是复印版本,看起来也一样舒服,光看书是不行的,关键还是自己练习,这就需要搭建一个舒服的实验环境,抓包是必不可少的了,因为只有详细分析802.11数据帧,才能深入理解协议的细节。软件上就是这个理,手上没设备还是不行,这可是搭建实验环境的第一步,巧妇难为无米之炊。设备问题很好解决,买一个就行了,最好买适合DIY的那种,既便宜又不怕折腾坏了,因此淘宝...
wireshark 捕获 802.11 问题
zhjcainiao的博客
12-19 1726
wireshark 捕获 802.11 问题 我尝试用 wireshark 捕获 手机连接 Wi-Fi 的 通信数据,用笔记本电脑 macpro 连接了wifi,将网卡设置为监听模式,并设置链路层头为802.11 plus radiotap header; 接着就进行监听,同时让手机连接Wi-Fi,但是没有捕获到任何消息; 请问这是怎么回事呢? 其次关于wireshark捕获信息...
如何使用wireshark抓到goose报文
03-10
<think>好的,我现在需要回答用户的问题:如何使用Wireshark捕获GOOSE报文。用户提到自己现在是C#专家,但问题涉及网络抓包,可能需要跨领域的知识。不过用户可能对C#编程有特定需求,比如编写相关代码来辅助捕获或分析报文。 首先,我需要明确GOOSE报文是什么。GOOSE(Generic Object Oriented Substation Event)是用于电力系统自动化中的快速通信协议,基于IEEE 802.1Q(VLAN)和IEEE 802.1p(优先级标记),通常在以太网上传输,使用多播地址。它属于IEC 61850标准的一部分,常用于变电站内的设备通信。 接下来,用户想知道如何用Wireshark抓取这类报文。步骤应包括安装Wireshark、选择合适的网卡、设置捕获过滤器、启动捕获并解析结果。此外,可能需要配置Wireshark的解析器来正确解码GOOSE报文,因为默认情况下可能无法识别。 不过,用户可能更关注的是如何在C#中实现相关功能,比如编写代码来捕获或处理GOOSE报文。虽然Wireshark本身是图形化工具,但用户可能需要程序化方法。这里可能需要使用C#的网络库,如SharpPcap或Pcap.Net,这些库允许在C#中进行网络抓包。 因此,回答需要分为两部分:使用Wireshark的步骤和可能的C#代码示例。但用户明确问题是如何用Wireshark抓取,所以重点应放在Wireshark操作上,但也可以补充C#代码作为扩展。 接下来,我需要详细列出步骤: 1. 安装Wireshark并确保有权限捕获网络数据。 2. 选择正确的网络接口,特别是当目标设备在特定VLAN时,可能需要配置混杂模式。 3. 设置捕获过滤器,例如捕获特定以太网类型(0x88B8或0x88B9)或目标MAC地址(如01-0C-CD-01-00-00到01-0C-CD-01-01-FF)。 4. 开始捕获并分析结果,可能需要安装IEC 61850的解析插件,如Wireshark的61850协议支持。 5. 解码后的GOOSE报文结构,包括数据集、状态号等。 对于C#部分,可以展示如何使用SharpPcap库来捕获特定类型的以太网帧,并解析GOOSE报文。例如,初始化设备、设置过滤器、处理捕获的数据包等。 最后,根据用户的要求,生成相关问题,这些问题应围绕GOOSE协议、Wireshark使用、C#网络编程等。 需要注意的问题:用户的问题可能涉及到跨领域知识,但需确保回答中的C#代码正确,并且步骤清晰。此外,要确认GOOSE报文的具体协议细节是否正确,比如以太网类型是否正确,以及可能的过滤条件。</think><< 要使用Wireshark捕获GOOSE(Generic Object Oriented Substation Event)报文,需遵循以下步骤: ### **步骤1:安装Wireshark** 从[Wireshark官网](https://www.wireshark.org/)下载并安装,确保安装时勾选所有依赖组件(如Npcap)。 ### **步骤2:选择正确的网络接口** 1. 打开Wireshark,选择与目标设备连接的物理或虚拟网卡。 2. 若GOOSE报文通过VLAN传输,需启用网卡的混杂模式(`Capture > Options > 勾选网卡的混杂模式`)。 ### **步骤3:设置捕获过滤器** GOOSE报文基于以太网协议,使用固定的以太网类型值: - **普通GOOSE**:以太网类型 `0x88B8` - **带安全标签的GOOSE**:以太网类型 `0x88B9` 在捕获过滤器中输入以下内容: ```plaintext ether proto 0x88b8 || ether proto 0x88b9 ``` 或按目标MAC地址过滤(GOOSE通常使用多播MAC地址范围 `01-0C-CD-01-00-00` 至 `01-0C-CD-01-01-FF`): ```plaintext ether dst host 01:0c:cd:01:00:00 ``` ### **步骤4:启动捕获并触发GOOSE报文** 点击“Start”开始捕获,并触发目标设备发送GOOSE报文(例如模拟保护装置动作)。 ### **步骤5:解析GOOSE报文** 1. Wireshark默认支持IEC 61850协议解析。 2. 在Packet Details面板中展开 `IEC 61850 GOOSE` 字段,可查看报文内容(如数据集、状态号、时间戳等)。 --- ### **C#代码示例(辅助分析GOOSE报文)** 若需通过C#解析已捕获的GOOSE报文(假设已保存为`.pcap`文件): ```csharp using PacketDotNet; using SharpPcap; using SharpPcap.LibPcap; public void AnalyzeGoosePackets(string pcapFilePath) { using var device = new CaptureFileReaderDevice(pcapFilePath); device.Open(); RawCapture packet; while ((packet = device.GetNextPacket()) != null) { var rawPacket = Packet.ParsePacket(packet.LinkLayerType, packet.Data); var ethernetPacket = rawPacket.Extract<EthernetPacket>(); if (ethernetPacket.Type == EthernetPacketType.ApplyEthType(EthernetType.Goose)) { // 提取GOOSE负载(需进一步解析ASN.1编码) byte[] goosePayload = ethernetPacket.PayloadData; Console.WriteLine($"GOOSE报文捕获,长度:{goosePayload.Length}"); } } } ``` ### **注意事项** 1. **权限问题**:在Windows需以管理员权限运行Wireshark。 2. **VLAN标签**:若GOOSE报文包含VLAN标签,需在Wireshark中启用`VLAN`解析(默认已支持)。 3. **实时性**:GOOSE报文通常为毫秒级实时通信,需确保捕获设备性能足够。 --- **原因解释** GOOSE报文是电力自动化系统(IEC 61850标准)中用于快速传输状态变化的协议,基于二层以太网协议。其依赖固定的以太网类型值(0x88B8/0x88B9)和多播MAC地址,因此可通过过滤这些特征精准捕获。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值