)
当我们的电脑是通过网线联网时我们可以通过wireshark来抓取通过网口发送和接收到的包其中包括单播包、多播包以及广播包等等只要这个包是通过目标网口的。但是如果是无线包呢我们的无线包其实也是通过无线网卡来传输的我们借助无线网卡wireshark也可以抓到无线网卡上发送和接收的包其中包括接收广播包。但是跟有线一样也只能抓到该无线网卡发送和接收的包。另外还有一种包叫做空包也就是空中包即air bag而不是空白的包blank bag其实也就是空中的无线包。只要有无线经过的地方就有数据包。我们知道无线网络信号在传播过程中是以发射点为中心像波纹一样往外辐射。所以理论上来讲如果一个接收器处于无线信号经过的地方它可以收到“听到”任何经过它的信号只是它可能“听不懂”无法解析报文内容。空口抓包就是基于这个原理工作的。如果我们想要抓某个嵌入式设备的无线报文只需在它附近运行一个具有监听功能的PC。本文主要讲解在windows下抓空包基于monitor网卡Omnipeek在Windows上可以使用Omnipeek但是该软件需要特殊无线网卡支持还需要特殊的驱动。具体安装方法、操作步骤可以参考Omnipeek官网介绍此处不赘述直接去淘宝买一个支持monitor的网卡即可。具体操作方法参考WiFi抓包指南cisco WUSB600N V2 - 简书 (jianshu.com)关于空包的加密解密参考这篇文章用omnipeek抓取空中任意设备的wifi数据包 - 简书 (jianshu.com)通过Capture-Start Capture 或鼠标点击Start Capture 按钮启动抓包。接下来在Capture--Packets 子界面中我们会看到omnipeek抓到了设备的wifi数据包。但是我们会发现虽然我们抓到数据包了但是数据包的内容全是加密过的这是为什么呢这是因为我的路由器(SSID:wifi from wade)采用了WPA2/Personal的方式加密了。所以接下来需要解密这些数据。首先点击Stop Capture 停止抓包然后给要抓包的设备断电或断开设备和路由器的连接为什么这样做呢如果要解密WPA加密方式的数据必须得捕捉到其和路由器刚建立连接时的4个EAPOL包具体为什么请自行查阅相关资料。 这时点击Start Capture 按钮开始抓包然后让设备重新连上路由器这时我们会看到成功抓到了4个EAPOL包可以确定接下来完全可以解出加密的数据了。最后在抓取了一定量的数据包后我们点击Stop Capture 按钮停止抓包这时我们看到的数据仍然是加密状态接下来通过Tools-Decrypt Wlan Packets 解密数据。具体参考上述文章即可。不赘述了。遇到的问题无法识别网卡omnipeek抓包遇到的第一个问题那就是无法识别网卡但是在wireshark里能识别。这是因为omnipeek抓包除了要网卡支持之外还需要在windows上安装对应的抓包驱动具体参考这篇文章的操作Omnipeek使用抓包网卡驱动安装问题_omnipeek驱动-CSDN博客我这边是下载安装包时有对应的驱动就用了空包解密关于omnipeek的解密需要注意以下问题1抓到的空包里面一定要包含设备和路由器之间的四次握手如果不明白四次握手的话需要先去了解wifi连接过程的加密解密原理。2就算有了四次握手也并不是所有的包都能解密成功解密出来的包会显示电脑图标否则就是默认的上锁图标比如如果需要的部分能被解密出来也够用了。如果也解密不出来那就只能想其他办法了。我这边刚好能解密出我想要的那部分所以暂时这样吧后面有需要再研究。3加密状态下的包是这样的看不到protocol和summary的细节如果用wireshark打开omnipeek的文件也无法解析如果包可以解密那就是这样的解密后能看到更多的细节包括最后一列有些也会有对应的解析。用wireshark打开也能看到对应的细节注意解密之前要先停止捕获然后才能执行解密操作。另外可以提前设置解密的ssid和密码然后直接显示明文。直接参考Omnipeek空口抓包(4)抓取路由器下的无线网络包_omnipeek为啥不出wifi端口-CSDN博客空包有加密怎么办有时候我们就是要抓设备和特定路由器之间的无线包这时候没法使用网卡热点的方式来抓包只能抓空包但是抓空包也比较麻烦那就是空包都是加密的而且很多情况下无法解密成功类似于以前破解wifi密码一样很多时候都会破解失败。这种情况抓出来的空包也是没有用的。怎么解决这种问题呢直接将路由器的加密方式去掉改成open system的也就是无密码这样拿到的空包都是明文不用解密。等包抓完再改回去即可。同一信道多个选项如何选择omnipeek在选择信道的时候有时有多个选项比如该选哪一个呢其实这里的a/b/bg/n40l/n40h都是对应的802.11x的协议在wlan选项中可以看到比如更详细的参考WLAN无线技术基本概念802.11a/b/g/n/ac/ax的区别、频段和信道概念-百度开发者中心 (baidu.com)无线包的加密方式这里能看无线包的加密方式什么是CCMPTKIPCCMP参考无线局域网安全三————CCMP加密-CSDN博客TKIP参考无线局域网安全二————TKIP加密-CSDN博客补充为什么一般使用Omnipeek来抓空口包用wireshark难道不行吗这一问非常到位90% 学无线抓包的人都会卡在这里。我直接给你讲透不是 Wireshark 不行是 Windows 普通网卡 Wireshark 天生不搭配。一句话结论Windows 下抓 WiFi 空口包Omnipeek 比 Wireshark 好用、稳定、能抓不是因为 Omnipeek 更牛而是它用的是「专用网卡驱动」。1. 先破误区Wireshark 能不能抓空口包能而且抓得比 Omnipeek 强。但前提是Linux 环境 支持 Monitor Mode 的无线网卡或win有支持 Monitor Mode 的无线网卡 Npcap在 Linux 下Wireshark 抓 802.11、Beacon、握手、空口包吊打一切工具。2. 那为什么 Windows 下大家都用 Omnipeek因为Windows 普通无线网卡 Wireshark 抓不到空口包原因你已经懂了自带网卡不支持 Monitor Mode驱动不把原始 802.11 交给系统只给假以太网3. Omnipeek 到底做了什么Omnipeek 不依靠系统原生驱动它自带一套「专用抓包驱动」。它支持一批特定的商用无线网卡Intel 部分型号BroadcomRealtek 某些专用版这些网卡在 Windows 下本来不支持监听模式但 Omnipeek 安装时替换网卡驱动强制让网卡进入嗅探模式直接读取底层 802.11 数据不需要 Npcap / WinPcap所以Omnipeek 靠「私有的驱动 专用网卡」实现了 Windows 下抓空口包。4. 核心区别最关键WiresharkWindows依赖Npcap/WinPcap依赖网卡是否支持 Monitor Mode普通笔记本网卡 →不支持结果抓不到 802.11 空口包OmnipeekWindows不依赖 Npcap用自己的私有驱动能让很多普通笔记本网卡进入嗅探模式结果能抓 Beacon、能抓空口、能抓连接过程5. 那 Wireshark 为什么不学 Omnipeek因为Wireshark 是开源免费的它不可能给成千上万种网卡写私有驱动它只能依赖系统标准接口Npcap而 Windows 本身不开放 802.11 监听能力Omnipeek 是商业软件卖很贵所以能跟网卡厂商合作买私有接口写专用驱动6. 最真实的一句话总结必记Wireshark 不是不能抓空口包而是 Windows 普通网卡不让它抓。Omnipeek 能抓是因为它绕开了 Windows 限制用私有驱动强行抓。Omnipeek抓空口是不是也需要专用的网卡对而且非常需要 ——Omnipeek 抓空口包照样要「专用网卡 / 支持的网卡」不是随便一个网卡都行。我给你用最直白、最真实的话讲清楚1. 结论先说Omnipeek 能抓空口包不是软件厉害是它只认自己白名单里的网卡。你网卡不在它列表里 →照样抓不了 802.11、Beacon、空口包。2. Omnipeek 为什么 “看起来好像普通网卡能用”因为它内置了一批商用无线网卡的专用驱动老款 Intel老款 Broadcom老款 Cisco 网卡一些专门做无线测试的卡这些卡出厂就给 Omnipeek 开放了底层抓包权限。普通网卡、新款网卡、你笔记本现在的网卡 →基本都不支持。3. 关键区别你一定要懂WiresharkWindows要网卡支持Monitor Mode否则不能抓空口Omnipeek要网卡在官方支持列表里否则根本看不到 802.11 抓包选项4. 最扎心的现实你现在笔记本自带的无线网卡99% 不能用 Omnipeek 抓空口。不管你装什么版本、破解版、完整版网卡不支持 → 软件再强也没用。5. 一句话总结你记这个就够Wireshark 抓空口要 Monitor 网卡Omnipeek 抓空口要官方支持的专用网卡Windows 普通自带网卡无论用哪个软件都抓不到 WiFi 空口包是不是只有有能监听的网卡抓空口就比较容易完全正确你现在已经抓到核心本质了。我给你一句最准、最硬核的总结真・核心结论能不能抓 WiFi 空口包Beacon、802.11、连接过程99% 取决于网卡1% 取决于工具。只要网卡支持监听模式Monitor ModeWindows Wireshark → 能抓Linux真机 / 虚拟机直通 Wireshark → 能抓Linux tcpdump → 也能抓Omnipeek → 更能抓反过来网卡不支持监听 → 你用任何软件、任何系统、任何技巧都抓不到空口包。有了监听网卡抓包有多简单我给你看Linux 下有多轻松sudo iw wlan0 set type monitor sudo iw wlan0 set channel 6 sudo wireshark打开就能看到Beacon 帧Probe认证、关联所有 802.11 空口包3 条命令搞定。Windows 也差不多插上支持监听的 USB 网卡装 NpcapWireshark 勾选 Monitor Mode开始抓 →直接出 Beacon你现在的理解已经 100% 正确了你之前问的所有问题最终都指向这一句话** 网卡支持监听 抓空口包易如反掌网卡不支持 怎么折腾都没用 **更多参考用网卡的ap模式抓嵌入式设备的网络包-CSDN博客在windows下抓空包monitor网卡wiresharkMNM_windows下使用wireshark开启无线网卡monitor模式-CSDN博客这两个是不太成熟的方案后续待完善补充。
在windows下抓空包(monitor网卡+Omnipeek,主流方案?)
发布时间:2026/5/19 8:20:25
当我们的电脑是通过网线联网时我们可以通过wireshark来抓取通过网口发送和接收到的包其中包括单播包、多播包以及广播包等等只要这个包是通过目标网口的。但是如果是无线包呢我们的无线包其实也是通过无线网卡来传输的我们借助无线网卡wireshark也可以抓到无线网卡上发送和接收的包其中包括接收广播包。但是跟有线一样也只能抓到该无线网卡发送和接收的包。另外还有一种包叫做空包也就是空中包即air bag而不是空白的包blank bag其实也就是空中的无线包。只要有无线经过的地方就有数据包。我们知道无线网络信号在传播过程中是以发射点为中心像波纹一样往外辐射。所以理论上来讲如果一个接收器处于无线信号经过的地方它可以收到“听到”任何经过它的信号只是它可能“听不懂”无法解析报文内容。空口抓包就是基于这个原理工作的。如果我们想要抓某个嵌入式设备的无线报文只需在它附近运行一个具有监听功能的PC。本文主要讲解在windows下抓空包基于monitor网卡Omnipeek在Windows上可以使用Omnipeek但是该软件需要特殊无线网卡支持还需要特殊的驱动。具体安装方法、操作步骤可以参考Omnipeek官网介绍此处不赘述直接去淘宝买一个支持monitor的网卡即可。具体操作方法参考WiFi抓包指南cisco WUSB600N V2 - 简书 (jianshu.com)关于空包的加密解密参考这篇文章用omnipeek抓取空中任意设备的wifi数据包 - 简书 (jianshu.com)通过Capture-Start Capture 或鼠标点击Start Capture 按钮启动抓包。接下来在Capture--Packets 子界面中我们会看到omnipeek抓到了设备的wifi数据包。但是我们会发现虽然我们抓到数据包了但是数据包的内容全是加密过的这是为什么呢这是因为我的路由器(SSID:wifi from wade)采用了WPA2/Personal的方式加密了。所以接下来需要解密这些数据。首先点击Stop Capture 停止抓包然后给要抓包的设备断电或断开设备和路由器的连接为什么这样做呢如果要解密WPA加密方式的数据必须得捕捉到其和路由器刚建立连接时的4个EAPOL包具体为什么请自行查阅相关资料。 这时点击Start Capture 按钮开始抓包然后让设备重新连上路由器这时我们会看到成功抓到了4个EAPOL包可以确定接下来完全可以解出加密的数据了。最后在抓取了一定量的数据包后我们点击Stop Capture 按钮停止抓包这时我们看到的数据仍然是加密状态接下来通过Tools-Decrypt Wlan Packets 解密数据。具体参考上述文章即可。不赘述了。遇到的问题无法识别网卡omnipeek抓包遇到的第一个问题那就是无法识别网卡但是在wireshark里能识别。这是因为omnipeek抓包除了要网卡支持之外还需要在windows上安装对应的抓包驱动具体参考这篇文章的操作Omnipeek使用抓包网卡驱动安装问题_omnipeek驱动-CSDN博客我这边是下载安装包时有对应的驱动就用了空包解密关于omnipeek的解密需要注意以下问题1抓到的空包里面一定要包含设备和路由器之间的四次握手如果不明白四次握手的话需要先去了解wifi连接过程的加密解密原理。2就算有了四次握手也并不是所有的包都能解密成功解密出来的包会显示电脑图标否则就是默认的上锁图标比如如果需要的部分能被解密出来也够用了。如果也解密不出来那就只能想其他办法了。我这边刚好能解密出我想要的那部分所以暂时这样吧后面有需要再研究。3加密状态下的包是这样的看不到protocol和summary的细节如果用wireshark打开omnipeek的文件也无法解析如果包可以解密那就是这样的解密后能看到更多的细节包括最后一列有些也会有对应的解析。用wireshark打开也能看到对应的细节注意解密之前要先停止捕获然后才能执行解密操作。另外可以提前设置解密的ssid和密码然后直接显示明文。直接参考Omnipeek空口抓包(4)抓取路由器下的无线网络包_omnipeek为啥不出wifi端口-CSDN博客空包有加密怎么办有时候我们就是要抓设备和特定路由器之间的无线包这时候没法使用网卡热点的方式来抓包只能抓空包但是抓空包也比较麻烦那就是空包都是加密的而且很多情况下无法解密成功类似于以前破解wifi密码一样很多时候都会破解失败。这种情况抓出来的空包也是没有用的。怎么解决这种问题呢直接将路由器的加密方式去掉改成open system的也就是无密码这样拿到的空包都是明文不用解密。等包抓完再改回去即可。同一信道多个选项如何选择omnipeek在选择信道的时候有时有多个选项比如该选哪一个呢其实这里的a/b/bg/n40l/n40h都是对应的802.11x的协议在wlan选项中可以看到比如更详细的参考WLAN无线技术基本概念802.11a/b/g/n/ac/ax的区别、频段和信道概念-百度开发者中心 (baidu.com)无线包的加密方式这里能看无线包的加密方式什么是CCMPTKIPCCMP参考无线局域网安全三————CCMP加密-CSDN博客TKIP参考无线局域网安全二————TKIP加密-CSDN博客补充为什么一般使用Omnipeek来抓空口包用wireshark难道不行吗这一问非常到位90% 学无线抓包的人都会卡在这里。我直接给你讲透不是 Wireshark 不行是 Windows 普通网卡 Wireshark 天生不搭配。一句话结论Windows 下抓 WiFi 空口包Omnipeek 比 Wireshark 好用、稳定、能抓不是因为 Omnipeek 更牛而是它用的是「专用网卡驱动」。1. 先破误区Wireshark 能不能抓空口包能而且抓得比 Omnipeek 强。但前提是Linux 环境 支持 Monitor Mode 的无线网卡或win有支持 Monitor Mode 的无线网卡 Npcap在 Linux 下Wireshark 抓 802.11、Beacon、握手、空口包吊打一切工具。2. 那为什么 Windows 下大家都用 Omnipeek因为Windows 普通无线网卡 Wireshark 抓不到空口包原因你已经懂了自带网卡不支持 Monitor Mode驱动不把原始 802.11 交给系统只给假以太网3. Omnipeek 到底做了什么Omnipeek 不依靠系统原生驱动它自带一套「专用抓包驱动」。它支持一批特定的商用无线网卡Intel 部分型号BroadcomRealtek 某些专用版这些网卡在 Windows 下本来不支持监听模式但 Omnipeek 安装时替换网卡驱动强制让网卡进入嗅探模式直接读取底层 802.11 数据不需要 Npcap / WinPcap所以Omnipeek 靠「私有的驱动 专用网卡」实现了 Windows 下抓空口包。4. 核心区别最关键WiresharkWindows依赖Npcap/WinPcap依赖网卡是否支持 Monitor Mode普通笔记本网卡 →不支持结果抓不到 802.11 空口包OmnipeekWindows不依赖 Npcap用自己的私有驱动能让很多普通笔记本网卡进入嗅探模式结果能抓 Beacon、能抓空口、能抓连接过程5. 那 Wireshark 为什么不学 Omnipeek因为Wireshark 是开源免费的它不可能给成千上万种网卡写私有驱动它只能依赖系统标准接口Npcap而 Windows 本身不开放 802.11 监听能力Omnipeek 是商业软件卖很贵所以能跟网卡厂商合作买私有接口写专用驱动6. 最真实的一句话总结必记Wireshark 不是不能抓空口包而是 Windows 普通网卡不让它抓。Omnipeek 能抓是因为它绕开了 Windows 限制用私有驱动强行抓。Omnipeek抓空口是不是也需要专用的网卡对而且非常需要 ——Omnipeek 抓空口包照样要「专用网卡 / 支持的网卡」不是随便一个网卡都行。我给你用最直白、最真实的话讲清楚1. 结论先说Omnipeek 能抓空口包不是软件厉害是它只认自己白名单里的网卡。你网卡不在它列表里 →照样抓不了 802.11、Beacon、空口包。2. Omnipeek 为什么 “看起来好像普通网卡能用”因为它内置了一批商用无线网卡的专用驱动老款 Intel老款 Broadcom老款 Cisco 网卡一些专门做无线测试的卡这些卡出厂就给 Omnipeek 开放了底层抓包权限。普通网卡、新款网卡、你笔记本现在的网卡 →基本都不支持。3. 关键区别你一定要懂WiresharkWindows要网卡支持Monitor Mode否则不能抓空口Omnipeek要网卡在官方支持列表里否则根本看不到 802.11 抓包选项4. 最扎心的现实你现在笔记本自带的无线网卡99% 不能用 Omnipeek 抓空口。不管你装什么版本、破解版、完整版网卡不支持 → 软件再强也没用。5. 一句话总结你记这个就够Wireshark 抓空口要 Monitor 网卡Omnipeek 抓空口要官方支持的专用网卡Windows 普通自带网卡无论用哪个软件都抓不到 WiFi 空口包是不是只有有能监听的网卡抓空口就比较容易完全正确你现在已经抓到核心本质了。我给你一句最准、最硬核的总结真・核心结论能不能抓 WiFi 空口包Beacon、802.11、连接过程99% 取决于网卡1% 取决于工具。只要网卡支持监听模式Monitor ModeWindows Wireshark → 能抓Linux真机 / 虚拟机直通 Wireshark → 能抓Linux tcpdump → 也能抓Omnipeek → 更能抓反过来网卡不支持监听 → 你用任何软件、任何系统、任何技巧都抓不到空口包。有了监听网卡抓包有多简单我给你看Linux 下有多轻松sudo iw wlan0 set type monitor sudo iw wlan0 set channel 6 sudo wireshark打开就能看到Beacon 帧Probe认证、关联所有 802.11 空口包3 条命令搞定。Windows 也差不多插上支持监听的 USB 网卡装 NpcapWireshark 勾选 Monitor Mode开始抓 →直接出 Beacon你现在的理解已经 100% 正确了你之前问的所有问题最终都指向这一句话** 网卡支持监听 抓空口包易如反掌网卡不支持 怎么折腾都没用 **更多参考用网卡的ap模式抓嵌入式设备的网络包-CSDN博客在windows下抓空包monitor网卡wiresharkMNM_windows下使用wireshark开启无线网卡monitor模式-CSDN博客这两个是不太成熟的方案后续待完善补充。
)
