私はwiresharkを使用して、ネットワークとパケットのキャプチャについて少し学ぼうとしています。しかし、私が理解していることから、Windows 7とさまざまなwifiチップの組み合わせでは、ネットワークカードを「プロミスキャスモード」で動作させることはできません。誰かがこれを機能させる経験がありますか?
ここでは用語の難しさに注意してください。
プロミスキャスモードは、有線イーサネットに端を発する概念です。この概念では、ハブが自分宛てでなくても、ハブがポートで繰り返しているすべてのトラフィックをカードに表示します。多くの(すべてではありませんが)Wi-Fiカードは、イーサネットプロミスキャスモードによく似た方法でプロミスキャスモードをサポートしています。現在のネットワーク(同じBSSID)でのみ「データ」フレームのみが表示され、有線イーサネットスタイルのパケット(イーサネット-IIまたは802.3フレーミング)に変換された後に表示されます。そのレベルで物事を見たいネットワークエンジニアのために、無差別モードの有線イーサネットインターフェイスで見られるのと同じトラフィックのように見せることが目的です。
802.11モニターモードは、802.11カード用の一種の超無差別モードです。フルモニターモードでは、カードはチャネルに合わせて調整され、そのチャネルで受信できるすべてのパケットを表示します。そのチャネルの範囲内に他のWi-Fiネットワークがある場合は、それらの他のネットワークからのフレームも表示されます。有線イーサネットで表示されるデータフレームだけでなく、802.11固有の「管理」(ビーコン、プローブ、認証、関連付け、アクションなど)および「制御」(Ack、RTS、CTS、PS)も表示されます。 -pollなど)フレームも同様です。また、完全な802.11スタイルのヘッダーを使用して、翻訳されていないことを示しています。
802.11モニターモードの完全なサポートは、消費者向けWi-Fiカードでは見つけるのが難しく、存在する場合はバグが多いことがよくあります。
多くの802.11プロフェッショナルは、CACE Technologies(Wiresharkの企業スポンサー)「AirPcap」USBワイヤレスカードを購入することを選択します。これは、Wiresharkで使用するための優れた802.11モニターモードカードとしてゼロから設計されているためです。
更新:
Wi-Fiチップセットベンダーは実際には数社しかなく、すべてのカードメーカーがそれらの数社のチップを使用していることに注意することも重要です。最大のベンダーはBroadcom、Atheros、Marvell、Intelであり、Ralinkなどのあまり知られていない小規模なベンダーがいくつかあります。それらの中で、Atherosは長い間モニターモードサポートとオープンソースサポートのための最高のチップセットベンダーでした。 Linux Wi-Fiドライバーコミュニティをチェックして、Atherosチップを使用し、「Madwifi」ドライバーを適切にサポートしているカードを見つけて、そのうちの1つを選択することができます。彼らはモニターモードをうまくサポートするWindowsドライバーを持っている可能性が高いです。