轻量级的无线抓包（microsoft network monitor）

Posted 2022-03-19 Wi-Fi研习者

无意中看到一篇blog（windows抓取802.11），其中提到利用microsoft network monitor来抓包，故笔者也尝试了一下。

首先该软件笔者也上传了下：microsoft network monitor软件

其使用也是挺简单的，安装完成之后，需要重新登录系统（即重启或注销）

然后重新进入软件后，就可以发现有驱动很多都读出来了，比如下图：

实际上这个软件不仅抓无线，也可以抓有线的包，不过我们这里只对无线数据包有兴趣，从而选择电脑里面对应的无线网卡即可，其他的都取消掉

如上，笔者电脑里面的无线网卡是intel wireless-N，所以就选这款了。。。然后上面蓝色字体的New capture tab转换到下面界面：

点击开始就可以抓包了，同时也可以在

点击抓包就行了，然后这里还有一个配置

可以具体配置抓什么信道下的数据包。笔者在这里没有太多研究这个，不过感觉这个设置信道作用可能不是特别大。从该软件的名字中microsoft network monitor也可以理解到，该软件实际上是monitor机制下做的，换言之，只有本地接收到的数据或者数据包才会被接收，如果下层地址不匹配，即不是给本PC的话，那么很有可能就被过滤掉了。这点也可以从下面这样实验看出，

若本地没有关联到无线网络下，那么无线抓包结果如下：

可以发现，基本都是beacon包，偶尔也能抓到几个probe包。其他比如RTS/CTS之类的包是抓不到的。

那么如果本地关联上无线之后进行抓包的接入如下：

那么除了beacon以外，我们还发现了很多数据包，而且这些数据包已经被解密了，换言之，也应对了我们之前所述，这些抓包是直接在系统上层做的monitor。不过在数据包里面还是可以看到一些无线时候的信息的。

不过最后我们总结下，该抓包软件比较轻便，由于直接是windows上层进行抓包的结果，所以应该是无线网卡的话都可以使用，不像其他抓包需要专门的网卡。但是缺点就是信息量很少，且抓的数据包不全，用来做做无线网络的调试还行，但是用来做无线网络的深入学习的话，那么就需要采用其他抓包软件更好一些了。