Cisco AP-Sniffer模式空口抓包

 第一步：WLC/AP侧

配置AP为sniffer模式：

配置提交后，AP会重启，并且将不能发出SSID为clients提供服务。

第二步：一旦AP重新加入WLC，配置AP抓取的信道和抓取后的数据包发送到什么地址
1、指定sniffer发送到的IP地址
2、选择信道（要抓取的信道）
3、开启sniffing
抓取后的数据会以WLC mgm地址为源，以配置的目的地址为目标，发送UDP源端口5555到目的端口5000的单播包。

这里的10.1.1.1就是我笔记本的IP地址（故确保笔记本和WLC的mgm接口能通）然后开启wireshark。

第三步：Wireshark设置
我是用有线连接的WLC，所以我选择有线网卡，添加过滤条件，抓取UDP 5555的报文，然后开始抓包。

这里抓取到的报文全是UDP 5555到5000的，但是decode不对，无法分析，需要修改decode协议，右键任何一个数据包。选择“捕获-选项”，将decode解码为PEEKREMOTE（以前的老版本（1.8以前）选择AIROPEEK）这样才能解码成802.11的包。