使用 OmniPeek 实现无线监听

[复制链接]

tange

7421 回帖	4万积分	1万在线时间

管理员

无线论坛管理员

注册时间: 2004-10-2

金币: 35466 个

威望: 404 个

荣誉: 114 个

发消息

累计签到：119 天
连续签到：3 天
[LV.200]无线新星

发表于 2006-8-23 19:39 |显示全部楼层

本软件可在本站搜索下载。<p>    本文的实现环境：<br/>      Windows XP + SP2 英文版<br/>      OmniPeek Personal 4.0</p><div> </div><div>      实际上，在有线环境下用 Sniffer 久了，再换到无线环境下，没有了 Sniffer 还真不习惯，我一直在找无线环境下的嗅探工具，刚开始时我用 Ethereal，虽然有种种的优点，但是也不能不否认其严重的缺点：没有好的 GUI 系统、报表系统，没有良好的专家系统，而且没有类似 Sniffer 的 Matrix 功能，直到我找到了 OmniPeek。</div><div> </div><div>      关于 OmniPeek 的使用方法，我就不多说了，有班门弄斧的嫌疑，这里只介绍它如何实现无线监听。实际上实现无线监听，是需要特殊网卡的支持的，如果没有专门的网卡，虽然可以嗅探，但是那是剥离了 802.11 帧信息的，是 Windows NIDS 实现的，意义不大。关于 NIDS ，我也不明白是怎么回事 >_<，不懂开发，没办法。根据我自己的理解，就是 Windows 的 NIDS 驱动把 802.11 变成了 Ethernet 2 帧（高手不要笑我）。而且，普通网卡只能嗅探到本机网卡的通信数据，没有办法捕获到其他设备的通信数据（虽然你可以使用 ARP 欺骗达到目的）。</div><div> </div><div>      OmniPeek 所支持的网卡可以在网站上查到（<a href="http://www.wildpackets.com/support/downloads/drivers"><font color="#8c7d18"><u>http://www.wildpackets.com/support/downloads/drivers</u></font></a>），这里列出它所支持的几块无线网卡：</div><div> </div><div>

roxim Orinoco 11a/b/g adapter, model 8480-WD <br/>Cisco adapter, model CB21AG <br/>3Com a/b/g adapter, model 3CRPAG175 <br/>Netgear WAG511, version 1 </div><div> </div><div>      很幸运，我的一个哥们送给了我一块 Cisco AIR-CB21AG-A-K9（1000多呀，真是感谢我的哥们），是被 OmniPeek 所支持的。要达到无线监听，不仅仅要它支持的网卡，还需要它专门为这几种网卡定制的驱动程序，也可以在上边的这个地址找到下载链接。</div><div> </div><div>      Down 下来之后，开始安装驱动：</div><div>1. 打开设备管理器，找到这块网卡，双击它，出现属性对话框，找到 Driver 选项卡，单击“ Update Driver ”按钮：</div><div><br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193849614.jpg" alt=""/></div><div> </div><div>2. 出现了驱动程序升级向导，不要让 Windows 自己 Update 驱动，选择“No, not this time”<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193851181.jpg" alt=""/></div><div> </div><div> </div><div>3. 下一步中选择 “Install from a list or specific location”，手动来选择驱动程序</div><div> </div><div>4. 然后，不要让 Windows Search 驱动程序，手动安装，然后选择“下一步”<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193852215.jpg" alt=""/></div><div> </div><div>5. 接着，单击“Have disk”，然后用 Browse 按钮来定位到下载的驱动程序中的 .inf 文件<br/><img height="266" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193852176.jpg" width="521" alt=""/></div><div> </div><div>6. Windows 会跳出驱动程序未经签名的警告，不要理它，选择 Continue anyway即可安装成功之后，启动 OmniPeek，在 Monitor 菜单的 Monitor Options 中，找到左边的 Adapter，在右边选中刚才安装的那块网卡，然后确定，初次安装，有可能会出现这个对话框：<br/><img height="95" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193852431.jpg" width="534" alt=""/></div><div> </div><div>      这是由于 OmniPeek Personal 版本不支持多个网卡的 Monitor 所导致的，解决的方法也很简单，在刚才的 Monitor 对话框中的 Adapter 选项中选择“None”：<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193852129.jpg" alt=""/></div><div> </div><div>      然后再次打开 Monitor 对话框，选择刚才安装的那块网卡，确定之后，就可以了，如果你能看到下图中的 2 个箭头指向的那 2 个图标，恭喜你，已经成功了。<br/><img height="339" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193853546.jpg" width="528" alt=""/></div><div> </div><div>      现在开始监听，单击 OmniPeek 中的 New Capture 按钮：<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193853639.jpg" alt=""/></div><div> </div><div>      出来了 Caputer 设置对话框，由于是第一次抓包，并不知道感兴趣的 AP 所在的频段，幸好 OmniPeek 为我们提供了一个 Scan 功能，它可以用来扫描附近所有的 AP 所在的频段，在这里我使用 Scan 来扫描一下：<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193853566.jpg" alt=""/></div><div> </div><div>      开始之后，可以看到 OmniPeek 的状态栏中在扫描所有的频段：<br/><img height="214" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193854231.jpg" width="553" alt=""/></div><div> </div><div>      稍等一会儿，等到扫描一轮之后，就可以结束了，单击左边的 Wireless --> WLAN，就可以看到扫描出来的 AP：<br/><img height="155" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193854261.jpg" width="532" alt=""/></div><div> </div><div>      可以看到箭头标出的 AP 所工作的频段，有 Channel 11，Channel 7，Channel 9，Channel 5，等等，然后可以根据 ESSID 来找到感兴趣的 AP，比如 default（这是我一直偷着上网的 AP），它工作在 Channel 5，现在关闭掉 Capture窗口，然后再次重新进行 Capture，这次可以设置频段了：<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193854671.jpg" alt=""/></div><div> </div><div>      然后再次开始捕获数据，可以看到，当前 Channel5 中的数据全部出来了：<br/><img height="291" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193854466.jpg" width="502" alt=""/></div><div>     </div><div>       呵呵，这么晚了还有人在用 MSN 聊天呀~~~<br/>      </div><div>      这些数据有好多都是不太感兴趣的，比如 802.11 的管理帧，可以定义一个过滤器把它们过滤掉。这里不得不提一下 OmniPeek 的过滤器，它的 Advanced 过滤器提供的 And、Or、Not 的确是非常爽的功能，打开左边的 Filters ，单击绿色的加号按钮：<br/><img src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193855214.jpg" alt=""/></div><div> </div><div>      用 And 按钮把 802.11 Management、Contorl、Frag 等协议都加进去，然后统统 Not，就可以了：<br/><img height="410" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193855798.jpg" width="560" alt=""/></div><div> </div><div>      完成之后，在 Filters 中选中刚才定义的过滤器，然后再开始抓包，这下干净多了：<br/><img height="286" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193855904.jpg" width="524" alt=""/></div><div> </div><div>      双击一个数据包，打开看看：<br/><img height="249" src="http://www.anywlan.com/Article/UploadFiles/200608/20060823193855554.jpg" width="508" alt=""/></div><div>      </div><div>      呵呵，802.11 数据都在呢。</div><div> </div><div>      当然，这个 AP 是没有经过 WEP 或 WPA 加密的，所以可以嗅探到明文数据，（当然，否则我怎么能偷着上网？）如果要嗅探经过 WEP 加密的数据，只有先破解 WEP 密码了，连到 AP 之后再进行 ARP 欺骗，这已经不是本文讨论的范围。</div>