我一直在阅读与 802.11 网络相关的混杂模式和监控模式。我了解其中的区别,此处对此进行了解释:
定义很简单。一个你与 AP 相关联,另一个你没有。
我的问题是,使用混杂模式而不是监控模式有什么好处?您什么时候会使用其中一个而不是另一个?
如果我想监控 AP 和设备之间的流量,这两种模式都给了我能力。我觉得我错过了一些混杂模式可以让你做的事情,而你不能用监视器。我知道监控模式不允许您检查 CRC,但除此之外,仍然看不到使用混杂模式的真正优势。
我一直在阅读与 802.11 网络相关的混杂模式和监控模式。我了解其中的区别,此处对此进行了解释:
定义很简单。一个你与 AP 相关联,另一个你没有。
我的问题是,使用混杂模式而不是监控模式有什么好处?您什么时候会使用其中一个而不是另一个?
如果我想监控 AP 和设备之间的流量,这两种模式都给了我能力。我觉得我错过了一些混杂模式可以让你做的事情,而你不能用监视器。我知道监控模式不允许您检查 CRC,但除此之外,仍然看不到使用混杂模式的真正优势。
在“混杂模式”下,驱动程序仍会输出属于您当前关联的一个无线网络(由 BSSID 标识)的标准以太网帧。可能设备只会将数据包从 AP 转储到无线设备,但不会将数据包从无线客户端转储到 AP,因为在 AP 客户端模式下不使用从非 AP 设备接收数据包。
在“监控模式”下,您捕获来自在所选通道上运行的所有网络的数据包(甚至可能是相邻通道 - 802.11 DSSS 信标包含有效负载中的通道号是有原因的),并且驱动程序不输出普通以太网,但需要输出更多的标头(802.11 标头中有 3 个地址,而不是 802.3 以太网标头中只有 2 个地址)。只有特殊的无线监控软件才能处理驱动程序在监控模式下转储的格式的数据包。
因此,如果您想真正了解发生了什么,监控模式是有利的,而混杂模式则可以与无法处理扩展 802.11 帧格式的标准以太网网络嗅探工具兼容。如果您要使用的工具支持监控模式,请使用它。仅使用混杂模式作为备份。
此外,一些无线驱动程序/硬件允许您的设备在监控模式下发送完全任意的数据包 - 这称为数据包注入。
除了 Michael Karcher 所说的,监控模式还有一个优点是不必与 AP 关联。这使得完全不可见,并在您没有密码的网络上嗅探数据包成为可能。在混杂模式下,您必须与 AP 关联,因此您正在发送数据包。监控模式可以是完全被动的。
此外,监控模式允许您找到隐藏的 SSID。SSID 不由 AP 广播,但它们由客户端广播。
在监控模式下捕获的数据包很可能会使用 WPA 或 WEP 进行(第 2 层)加密。如果正确配置了 AP 的 SSID 和密码,Wireshark 可以在正确配置 SSID/密码时解密这些数据包。此外,为了解密这些数据包,Wireshark 必须观察 EAPOL 握手数据包。