wireshark打开十六进制报文

Posted 2023-05-14

参考技术A 注：方法仅供参考，我只是刚好百度不了，然后google出来的，zzzz

平时我们在linux上用tcpdump抓包时看到的报文是这样子：

或者这样子的：

emmm这叫刚接触报文的人怎么看嘛，还是觉得用wireshark看报文会比较舒服，毕竟能用图片搞掂的事情就不要打字嘛，所以我们可以用wireshark打开这些hex文件，首先你要把这些报文保存到文本文件里，例如我把其中的一个报文保存到test,txt里：

text.txt

首先你要把你的报文转换这种格式，觉得麻烦的童鞋可以自己写个脚本，我的话不做这事啦，因为要学会怎么看这种报文，不用依赖wireshark，当然也照顾中刚接触的童鞋，好了，废话不多说，next：

然后我们找到text2pacp.exe程序（一般在wireshark.exe同个文件夹里，我的是在D:\Program Files\Wireshark），然后在cmd上进入到这个目录里面，执行命令text2pcap.exe test.txt test.pcap

好了，现在就可以在wireshark打开这个test.pcap文件了

如何使用wireshark抓到报文radiotap的信息

 

本人希望在不修改内核的情况下获得每个数据报文的RSS的大小，查阅资料后得知可以使用wireshark抓取报文，在报文的radiotap头中会有rssi的信息。但是实际操作后发现获取的报文是这个样子的：

查阅资料后发现，当无线网卡不支持或者没有设置为monitor mode时，无线网卡的驱动会自动把802.11 frame 转化为Ethernet frame后给kernel。官方解释为：

If you‘re trying to capture network traffic that‘s not being sent to or from 
the machine running Wireshark or TShark, i.e. traffic between two or more 
other machines on an Ethernet segment, or are interested in 802.11 management 
or control packets, or are interested in radio-layer information about 
packets, you will probably have to capture in "monitor mode". This is 
discussed below.

Without any interaction, capturing on WLAN‘s may capture only user data 
packets with "fake" Ethernet headers. In this case, you won‘t see any 802.11 
management or control packets at all, and the 802.11 packet headers 
are"translated" by the network driver to "fake" Ethernet packet headers.

使用iwconfig命令后发现：

此时无线网卡的模式为managed。因此，我试着去打开无线网卡的monitor mode。查阅资料后，使用命令：

 

sudo ifconfig wlan11 down
sudo iwconfig wlan11 mode monitor
sudo ifconfig wlan11 up

再次运行iwconfig后发现：

此时，网卡的模式已经变为Monitor，在使用wireshark进行抓包，发现也有了radiotap header：