使用Macbook进行无线报文捕获和分析

在常见的无线网络问题处理中，我们往往会遇到抓捕无线空口802.11 mac层的报文进行分析来协助问题的处理。在windows pc上可以使用无线抓包网卡配合omnipeek软件来进行报文的获取和分析。但是实际上还存在一种更为便捷和可靠的无线报文捕获和分析的方式，这就是今天我们要讲述的使用macbook笔记本来进行报文的捕获。

文件下载

1. 下载Wireshark：https://www.wireshark.org/#downloadLink

在MACBook上查看关于本机“Apple M1”或“Apple M2”，你的 Mac 使用的是 ARM 架构。如果显示的是“Intel”，那么你的 Mac 使用的是 Intel 架构。

• 打开wireshark之后，需要再下Npcap，根据提示下载安装

打开wireshark软件

打开MacBook无线诊断

1）按着MacBook的option键，用鼠标左键点击Wi-Fi图标。

可以看到“打开无线诊断……”

2）无线诊断界面

3）点击继续

显示Wi-Fi未连接，没关系

4）首先点击无线诊断界面，在屏幕最上方的菜单栏里面，看到“窗口”菜单。

点击后可以看到：“嗅探器”，这个就上sniffer的按钮。

5）点击嗅探器

6）嗅探器可以选择Wi-Fi的信道

分别有:

2.4G信道1～13

5G信道36～64；149～165

信道：注意查看你需要抓的网络的信道一定要正确，通过系统设置》网络和Internet>WLAN>连接的wifi

可以查看到对应是哪个信道的

7）嗅探器可以设置不同的抓包带宽bandwidth

三种可以选：bw20/bw40/bw80

查看频宽，可以通过windows笔记本上安装的工具Netsopt查看，这个频宽也可以选择20.

通常抓包时设定自己想抓的信道，带宽不确定的话可以往大了选。

8）选定信道和带宽之后，点击开始，可能需要输入管理员密码：

9）输入密码后开始：

此时无线嗅探已经开始工作，sniffer已经开始运行，Wi-Fi封包已经源源不断的传输到了wifi网卡的interface：en0上。

使用wireshark工具抓取存储sniffer packet封包

1）打开wireshark

2）点击“设置”按钮

选择Wi-Fi：en0 条目

3）勾选“监控模式”按钮

此时，链路头层，已经显示成“802.11 plus radiotap header” ,

若是没有选择勾选“监控模式”（“monitor”）可以点击管理接口之后，再看是是否可以勾选

4）点击“开始”，确认开始存储封包

5）窗口中可以看到各种格式的封包

beacon frame

Qos Null frame

Acknowledgement

Data frame

6）Wi-Fi packet中各个字段：

7）存储

常规操作保存。

确认抓包数据

在筛选框中，输入wlan.addr大屏设备网卡MAC地址，如wlan.addraa:ds:11:43:ad:34

这样就可以只看到和对应大屏交互的数据了。

参考链接：https://blog.csdn.net/two_snails/article/details/103604604