Wireshark захватывает трафик ARP и EAPOL
541
elena.bdc
Я пытаюсь захватить только трафик ARP и EAPOL на Wireshark. Я использую следующий фильтр захвата:
ether proto 0x888e or arp Но я только захватил трафик EAPOL. С другой стороны, используя следующий фильтр отображения, я вижу ARP и EAPOL.
eapol or arp Есть идеи?
Спасибо.
Я говорю о фильтрах захвата, а не о фильтрах отображения. Каждый отдельный фильтр работает правильно, но использование обоих одновременно не работает должным образом.
elena.bdc 6 лет назад
0
Посмотрите на захваченные заголовки. Фильтры захвата совпадают только с заголовком _outermost_ Ethernet, тогда как фильтры дисплея совпадают с Ethernet в любом месте стека.
grawity 6 лет назад
0
Идея состоит в том, чтобы захватывать пакеты в реальном времени в течение длительного времени (возможно, дней или недель), использовать выделенное оборудование для этого. На мой взгляд, использование фильтров захвата вместо фильтров отображения может помочь сохранить небольшое количество захваченных пакетов. Это то, что я волнуюсь, потому что это не 10 минут или около того.
elena.bdc 6 лет назад
0
Прямо сейчас я использую оба, потому что я не могу захватить EAPOL и ARP, если бы я мог, я бы использовал только фильтр захвата @Biswapriyo
elena.bdc 6 лет назад
0
Вероятный фильтр: `ether proto 0x888e или ether proto 0x0806`
Biswapriyo 6 лет назад
0
Если это на Wi-Fi, помните, что ARP будет зашифрован (и, следовательно, не попадет в ваш фильтр), если вы не можете расшифровать его. Если это WPA2-PSK, вам нужно сообщить Wireshark SSID и кодовую фразу сети и захватить полное eapol-рукопожатие каждого клиента, когда он (повторно) присоединяется к сети. Если это WPA2-предприятие, вы не сможете его расшифровать.
Spiff 6 лет назад
0
@Spiff спасибо за ваш ответ, это именно то, что я делаю, я получаю сообщения EAPOL, чтобы с помощью пароля + ESSID я мог расшифровать сообщения ARP. Я собираюсь снова протестировать эти фильтры и посмотреть, работает ли он.
elena.bdc 6 лет назад
0
@Biswapriyo, использующий оба фильтра. Я перехватываю только сообщения EAPOL, на мой взгляд, возможно, мне нужны другие пакеты для расшифровки трафика WiFi. Спасибо за ваше время и весь ваш ответ. Я буду продолжать расследование.
elena.bdc 6 лет назад
0
0 ответов на вопрос
Похожие вопросы
-
2
Как создать беспроводной маршрутизатор Linux из запасного сервера?
-
3
Могу ли я сделать перехват пакетов из коробки на OS X?
-
2
Как я могу прослушивать пакеты из незащищенной беспроводной сети?
-
-
1
HTTPDebuggerPro не сохраняет содержимое ответа
-
1
Многоязычная поддержка в Wireshark
-
4
Программное обеспечение для просмотра всех HTTP-соединений, установленных вашим компьютером?
-
5
Средство Windows, чтобы узнать, какой порт пытается использовать приложение?
-
5
Какая программа лучше всего знать, что приложения делают с онлайн-соединениями?
-
2
Как я могу отслеживать трафик на одном порту?
-
4
Как узнать беспроводные MAC-адреса в области - Мой ноутбук украли