如何在MacBook上擷取無線封包?
16842 介紹
當發生一些意外的無線網路連線問題時(如無線用戶端無法與SSID連接,用戶端設備無法取得IP位址或間歇性無線網路中斷等)時,封包擷取和分析對我們進行故障排除非常重要。本文將討論如何使用MacBook和WireShark擷取無線封包。
事前準備
1.WireShark軟體
WireShark可在www.wireshark.org上找到。它是一款免費且功能強大的網路封包監聽、分析軟體。
2. Modern MacBook。
我們建議您使用Modern MacBook,因為1)其無線網卡驅動程式支援監控模式(monitor mode)。 2)它具有3x3廣播,可以監聽3個NSS traffic。某些具有特殊驅動程式的無線網卡也可以在監控模式下運作並擷取無線封包。
注意:如果無線網卡不支持監控模式,則WireShark無法擷取完整的802.11訊框(包括802.11 Data 訊框, Control 訊框, Management 訊框),並且WireShark會將802.11訊框傳輸到沒有802.11訊框表頭資訊的假802.3訊框。
3. 將您的網路來源的無線網路加密(安全性)設定變更為不加密。
典型的無線封包擷取拓撲
假設無線用戶端存在Wi-Fi連線問題,我們可以使用執行WireShark的MacBook作為AP或無線用戶端附近的監控設備,以擷取無線用戶端和AP之間的交互式無線封包。
步驟
1. 在MacBook上下載並安裝macOS版本WireShark
2. 開啟WireShark
3. 點擊上方的齒輪圖示
4. 確認Interface為Wi-Fi:en0 並啟用(enabled)了監聽模式(monitor mode),如下圖所示
5. 點擊關閉(Close)並重新啟動WireShark。
6. 首先將MacBook連線到SSID來確認網卡正在監聽來自無線廣播正在使用的頻道的封包。
為什麼這一步是必須的?根據測試,在MacBook連線或只是嘗試連線到特定的SSID之後,WireShark可以在此SSID的同一頻道中監聽無線封包。我們還沒有找到其他有效的方法來引導WireShark在特定頻道上監聽封包。
7. 在Wi-Fi en0上開始擷取。您應該看到散佈著data訊框的beacon訊框,如下圖所示。當您開始詳細說明Wi-Fi問題時請開始擷取,並在完成詳細說明後停止擷取。
註:若您無法確認Wi-Fi問題於何時開始和何時結束,請確認您於擷取封包過程中確實有出現異常問題。
這篇faq是否有用?
您的反饋將幫助我們改善網站