1. 前言

​ 我们知道,无线网卡有四种工作模式:

  • Managed:电脑网卡最常用的模式,用于连接到无线AP进行上网,被AP管理通信过程。
  • Master:AP模式,提供无线接入和路由的功能。Master能管理与Managed模式的网卡的通信过程。
  • Ad-hoc:点对点通讯模式,通信双方地位对等,共同承担AP的任务
  • Monitor:监听模式

​ 本文讲解如何在Windows电脑上,把无线网卡变为Monitor模式,对空中的wifi进行抓包,并用Wireshark进行包的分析。

​ 本文参考了:在Windows电脑上通过wireshark直接无线抓包的方式 - 知了社区 (h3c.com)

2. 安装Npcap

在Windows上安装Wireshark时,会问你是否要同时安装Npcap,这里要勾选:

image-20221214225008728

安装Npacp时,不勾选管理员模式,勾选802.11流量抓包支持:

image-20221214225059444

注!

​ 经过亲自测试,发现Npcap 1.71/1.70版本在Windows 11 上均存在bug,明明勾选了Support raw 802.11 traffic,但是实际使用时却提示没有勾选。

​ 后来安装Npcap 1.60版本才成功,老版本下载地址:Npcap release archive

安装完毕,重启电脑后,任意打开一个终端,输入WlanHelper --help,应该有输出:

image-20221214225257642

WlanHelper.exe的位置在C:\Windows\System32\Npcap

3. WlanHelper的使用

3.1. 查看无线网卡的名称

查看自己电脑上无线网卡的名称:

ipconfig

如下图,名称是WLAN:

image-20221214225720426

​ 也可以在新版Windows设置中查看:

image-20221214225852951

​ 也可以在旧版Windows网络适配器中查看:

image-20221214225813048

image-20221214225931713

​ 可以看到,我这张网卡的名称是WLAN,有的网卡名称可能叫Wi-Fi,这与电脑品牌有关。

3.2. 把网卡切换为monitor模式

​ 使用一个支持抓包的USB网卡,插到电脑上:

image-20221215075234594

​ 可以看到有两张无线网卡:

image-20221215075413896

​ 查看网卡当前工作模式:

$ WlanHelper "Wi-Fi 2" mode
managed

​ 查看网卡支持的所有模式:

$ WlanHelper.exe "Wi-Fi 2" modes
master, managed, monitor

​ 修改网卡的模式:

$ WlanHelper.exe "Wi-Fi 2" mode monitor
Success

也可以直接WlanHelper -i,进入交互模式,然后根据其提示输入数字,来进行配置

4. 使用Wireshark进行抓包

​ 选择“捕获”——“选项”:

image-20221215075810915

​ 发现监控模式已经可以打勾,可以进行抓包:

image-20221215075830448