`
iaiai
  • 浏览: 2203699 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

抓包工具: wireshark and omnipeek

 
阅读更多
【常用过滤器】
wireshark捕捉过滤器:
参考:
http://www.tcpdump.org/manpages/pcap-filter.7.html
https://wiki.wireshark.org/CaptureFilters

在捕捉过滤器中,fddi、tr(Token Ring)、wlan是ether的别名。
type mtg subtype [assoc-req, assoc-resp, reassoc-req, reassoc-resp, probe-req, probe-resp, beacon, atim, disassoc, auth and deauth]
type ctl subtype [rts, cts, ack ...]
type data subtype [data, qos-data, ...]
ether proto [ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui]
ether proto 0x888e
ether src 11:22:33:44:55:66 and ether dst AA:BB:CC:DD:EE:FF
wlan addr1 11:22:33:44:55:66
wlan addr2 AA:BB:CC:DD:EE:FF
tcp port 23 and not src host 10.0.0.5
expr relop expr  ---     proto [ expr : size ]   ---   proto is one of ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp, ip6 or radio, and indicates the protocol layer for the index operation. (ether, fddi, wlan, tr, ppp, slip and link all refer to the link layer. radio refers to the "radio header" added to some 802.11 captures.)  --- eg. ip[6:2] & 0x1fff = 0

RX MAC ---------- AA:AA:AA:AA:AA:AA
TX Dev MAC ---- BB:BB:BB:BB:BB:BB
TX P2P MAC ---- CC:CC:CC:CC:CC:CC

所有的包:
(type ctl && (wlan addr1 AA:AA:AA:AA:AA:AA || wlan addr1 BB:BB:BB:BB:BB:BB || wlan addr1 CC:CC:CC:CC:CC:CC)) ||
(type data && (wlan addr1 AA:AA:AA:AA:AA:AA || wlan addr1 CC:CC:CC:CC:CC:CC)) ||
(type mgt && (
    (wlan addr1 AA:AA:AA:AA:AA:AA && (wlan addr2 BB:BB:BB:BB:BB:BB || wlan addr2 CC:CC:CC:CC:CC:CC)) ||
    (wlan addr2 AA:AA:AA:AA:AA:AA && (wlan addr1 BB:BB:BB:BB:BB:BB || wlan addr1 CC:CC:CC:CC:CC:CC)) ||
    (wlan addr1 FF:FF:FF:FF:FF:FF && (wlan addr2 AA:AA:AA:AA:AA:AA || wlan addr2 BB:BB:BB:BB:BB:BB || wlan addr2 CC:CC:CC:CC:CC:CC))
))

关键包:
(ether proto 0x888e && (wlan addr1 AA:AA:AA:AA:AA:AA || wlan addr1 CC:CC:CC:CC:CC:CC)) ||
(type mgt && (
    (wlan addr1 AA:AA:AA:AA:AA:AA && (wlan addr2 BB:BB:BB:BB:BB:BB || wlan addr2 CC:CC:CC:CC:CC:CC)) ||
    (wlan addr2 AA:AA:AA:AA:AA:AA && (wlan addr1 BB:BB:BB:BB:BB:BB || wlan addr1 CC:CC:CC:CC:CC:CC))
))

wireshark显式过滤器:
参考:
https://wiki.wireshark.org/DisplayFilters
https://www.wireshark.org/docs/dfref/  
https://www.wireshark.org/docs/dfref/w/wlan.html

eth.addr == AA:BB:CC:DD:EE:FF
wlan.addr == AA:BB:CC:DD:EE:FF
wlan.fc.type == 0 // management frame
wlan.fc.type == 1 // control frame
wlan.fc.type == 2 // data frame
wlan.fc.subtype == 4
wlan.fc.type_subtype == 0x00  // mgt assoc req
wlan.fc.type_subtype == 0x01  // mgt assoc rsp
wlan.fc.type_subtype == 0x04  // mgt probe req
wlan.fc.type_subtype == 0x05  // mgt probe rsp
wlan.fc.type_subtype == 0x08  // mgt Beacon
wlan.fc.type_subtype == 0x0A   // mgt Disassoc
wlan.fc.type_subtype == 0x0B   // mgt Auth
wlan.fc.type_subtype == 0x0C   // mgt Deauth
wlan.fc.type_subtype == 0x0D   // mgt Action
wlan.fc.type_subtype == 0x0E   // mgt Action No Ack
wlan.ta == AA:BB:CC:DD:EE:FF
wlan.ra == AA:BB:CC:DD:EE:FF
wlan.da == AA:BB:CC:DD:EE:FF
wlan.addr == AA:BB:CC:DD:EE:FF
wlan.addr contains AA:BB:CC
ip.addr == 1.2.3.4
tcp.port in {80 443 8080}
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

wlan type and subtype:
00 Management 0000 Association request  
00 Management 0001 Association response  
00 Management 0010 Reassociation request  
00 Management 0011 Reassociation response  
00 Management <strong>0100 Probe request</strong>  
00 Management <strong>0101 Probe response</strong>  
00 Management 0110 Timing Advertisement  
00 Management 0111 Reserved  
00 Management <strong>1000 Beacon</strong>  
00 Management 1001 ATIM  
00 Management 1010 Disassociation  
00 Management 1011 Authentication  
00 Management 1100 Deauthentication  
00 Management <strong>1101 Action</strong>  
00 Management 1110 Action No Ack  
00 Management 1111 Reserved  
  
01 Control 0000–0110 Reserved  
01 Control 0111 Control Wrapper  
01 Control 1000 Block Ack Request (BlockAckReq)  
01 Control 1001 Block Ack (BlockAck)  
01 Control 1010 PS-Poll  
01 Control <strong>1011 RTS</strong>  
01 Control <strong>1100 CT</strong>S  
01 Control 1101 ACK  
01 Control 1110 CF-End  
01 Control 1111 CF-End + CF-Ack  
  
10 Data 0000 Data  
10 Data 0001 Data + CF-Ack  
10 Data 0010 Data + CF-Poll  
10 Data 0011 Data + CF-Ack + CF-Poll  
10 Data 0100 Null (no data)  
10 Data 0101 CF-Ack (no data)  
10 Data 0110 CF-Poll (no data)  
10 Data 0111 CF-Ack + CF-Poll (no data)  
10 Data 1000 <strong>QoS Data</strong>  
10 Data 1001 QoS Data + CF-Ack  
10 Data 1010 QoS Data + CF-Poll  
10 Data 1011 QoS Data + CF-Ack + CF-Poll  
10 Data 1100 QoS Null (no data)  
10 Data 1101 Reserved  
10 Data 1110 QoS CF-Poll (no data)  
10 Data 1111 QoS CF-Ack + CF-Poll (no data)  
11 Reserved 0000–1111 Reserved 

omnipeek捕捉过滤器:使用图形界面配置方式
omnipeek显式过滤器:使用图形界面配置方式或者手动输入下面的过滤器
addr(wireless:'0E:8B:FD:*:*:*')
addr(ip:'10.4.3.*')
addr(type: ip, addr1: 10.4.3.1, addr2: 10.5.1.1, dir: 1to2)
protocol(protospec: http)
wireless(media:'802.11b', channelnum: 1, encrypted: 1)
pattern(ascii: 'smb', case: off)
pattern(hex: FF464D50)
port(80)
channel(2)
length(min:128,max: 256)
filter('SMB')


【解密】
可以使用wireshark配合airpcap抓无线数据包,也可以用omnipeek配合相应网卡D-link抓无线数据包。
抓到的包通常是加密的,wireshark可以解密WEP和WPA,omnipeek可以解密WEP、WPA和WPA2。
Wireshark解密方法: Edit -> Protocols -> IEEE 802.11 -> Enable decryption & Edit ....
Wireshark RTP Decode: Analyze -> Decode As ... -> RTP , Telephony -> RTP -> Stream Analysis ...
使用omnipeek解密的前提是要抓到EAPoL-key四次握手包。


ubuntu wifi抓包方法
sudo apt-get install aircrack-ng
sudo airmon-ng start wlan0 11
sudo iwconfig mon0 channel 6
sudo airmon-ng stop mon0
参考:http://www.humbug.in/2012/wireless-sniffer-on-ubuntu-Linux-capture-analyze-network-traffic/
分享到:
评论

相关推荐

    Wireshark__Sniffer_and_Omnipeek三款网络分析工具的比较

    Wireshark、Sniffer 和 Omnipeek 三款网络分析工具的比较告诉我们,在选择网络分析工具时,需要考虑到自己的需求,Wireshark 适合需要免费、开源的网络抓包分析工具,Sniffer 适合需要专业的网络分析工具,Omnipeek ...

    抓包工具:Wireshark-win64-3.0.0 和 FiddlerSetup

    抓包工具:Wireshark-win64-3.0.0 和 FiddlerSetup

    进阶利用OmniPeek进行空口抓包以及802.11报文分析

    ### 进阶利用OmniPeek进行空口抓包及802.11报文分析 #### 一、OmniPeek的功能介绍 OmniPeek是一款强大的网络报文扫描与分析工具,不仅适用于有线网络环境,还能够对无线网络进行监控和扫描。OmniPeek的主要功能...

    利用OmniPeek进行空口抓包以及802.11报文分析.docx

    注意,不是所有无线网卡都兼容OmniPeek,需要安装专用驱动才能进行抓包。 4. **无线扫描**: - 用户可以创建新的捕获扫描事件,选择支持的适配器,并设定要监听的信道。一旦开始捕获,OmniPeek将显示所有经过选定...

    ralinkAE3000/AE6000 omnipeek sniff抓包驱动

    常见的抓包工具包括Wireshark、tcpdump和Microsoft Network Monitor等。 "omnipeek"是由WildPackets公司(已被Eltima Software收购)开发的一款网络分析软件,它提供了强大的实时网络监控和分析功能。Omnipeek可以...

    网络基本功(二十三):Wireshark抓包实例诊断TCP连接问题

    网络基本功(二十三):Wireshark抓包实例诊断TCP连接问题

    Wireshark抓包工具

    Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具

    网络抓包工具-Wireshark

    Wireshark是一款全球广泛使用的网络封包分析软件,被誉为网络协议分析的标准工具。它能够捕获网络上的数据包,并深入解析这些数据包,为用户提供详细的信息,帮助理解网络通信过程,排查网络问题,进行安全审计,...

    抓包工具 wireshark

    抓包工具 wireshark。用于网络的抓包,分析报文使用。

    CAN抓包工具.rar

    CAN抓包工具是专门用于捕获和分析CAN总线上的数据流的软件工具,它可以帮助工程师了解网络通信情况,诊断故障,进行系统调试。本篇文章将详细探讨CAN抓包工具的原理、功能、常见应用及如何使用。 一、CAN抓包工具的...

    wireshark抓包工具wireshark抓包工具

    wireshark抓包工具wireshark抓包工具

    网络抓包工具,WebService抓包工具

    Wireshark是一款非常流行的开源网络抓包工具,它支持多种操作系统,具有强大的数据包分析能力。你可以通过Wireshark看到详细的网络层信息,包括源IP、目的IP、端口号、传输的数据内容等。同时,它还提供了过滤功能,...

    抓包工具_Wireshark-win64-3.4.5.zip

    抓包工具_Wireshark-win64-3.4.5

    网络抓包工具Wireshark

    网络抓包、分析工具:Wireshark

    Wireshark-win32-2.9.0(国密版密评抓包工具)

    国密版密评抓包工具Wireshark-win32-2.9.0,用于软件系统商密测评抓包时使用。Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。...

    串口抓包工具 非常好的!

    为了理解并分析串口通信的过程,串口抓包工具扮演了至关重要的角色。标题提到的“串口抓包工具 非常好的!”表明这是一款能够高效捕获和记录串口数据流的软件,对于开发、调试或故障排查具有显著的价值。 首先,...

    TCP抓包工具Wireshark亲测有效

    标题中的“TCP抓包工具Wireshark亲测有效”表明Wireshark在捕获TCP(传输控制协议)数据包方面表现优秀,是解决无法通过其他工具(如Charles)抓取TCP类信息包问题的有效解决方案。 描述中提到,为了在Win10系统上...

    路由器抓包工具Wireshark-win64-4.0.5

    作为路由器抓包工具,它能捕获网络上的数据包,帮助用户深入了解网络通信过程,排查网络问题。 Wireshark支持多种操作系统,包括Windows、Linux、macOS等。在提供的“Wireshark-win64-4.0.5.exe”文件中,我们看到...

    抓包工具-wireshark-win32-1.2.8.zip

    Wireshark是一款强大的网络封包分析工具,原名为Ethereal,被广泛应用于网络故障排查、网络安全分析以及数据通信的深度理解。它的工作原理是实时捕获通过网络的数据包,并提供详细、直观的显示,帮助用户理解网络上...

    网络抓包工具wireshark

    Wireshark是一款强大的网络封包分析软件,被誉为网络诊断、分析和教育的必备工具。它允许用户捕获网络上的数据包,并深入解析这些数据包,以便理解网络通信的细节。这款开源软件支持多种操作系统,包括Windows、...

Global site tag (gtag.js) - Google Analytics