Linux Sniffer如何监控无线网络 - 问答

Linux Sniffer监控无线网络的核心流程与工具
Linux环境下监控无线网络需通过设置无线网卡监听模式、选择合适的Sniffer工具及捕获/分析数据包三个关键步骤实现，以下是具体方法：

硬件要求：无线网卡需支持监听模式（Monitor Mode）（可通过lsusb查看网卡芯片型号，常见支持品牌如TP-link WN722N、Alfa AWUS036NHA等）；建议使用外置天线提升信号捕获能力。
权限要求：监控无线网络需root权限（或通过sudo执行命令），避免普通用户无法访问网卡设备。

监听模式是Sniffer捕获所有无线数据包的前提，常用**airmon-ng**工具（属于Aircrack-ng套件）操作：

安装Aircrack-ng套件（若未安装）：

sudo apt install aircrack-ng  # Debian/Ubuntu系统
sudo yum install aircrack-ng  # CentOS/RHEL系统

查看无线网卡接口名称：
```
ip link show  # 或使用`ifconfig`（需安装net-tools）
```
输出中无线网卡通常以wlanX（如wlan0）或wlxXXXXXX（如wlx0c826806f70a）命名。
关闭干扰进程：
部分系统服务（如NetworkManager、wpa_supplicant）会干扰监听模式，需停止：
```
sudo airmon-ng check kill
```
开启监听模式：
执行以下命令（将wlan0替换为你的无线网卡接口名）：
```
sudo airmon-ng start wlan0
```
成功后会生成监听接口（如wlan0mon），原接口（wlan0）将被禁用。

airodump-ng是Aircrack-ng套件中的无线扫描工具，可实时显示周围的无线网络（SSID、信号强度、加密方式）及客户端信息：

sudo airodump-ng wlan0mon

常用参数：
-c <信道号>：指定监控的信道（如-c 1监控1信道）；
-w <保存路径>：将捕获的数据包保存为.pcap文件（如-w ~/output）；
--bssid <AP MAC>：仅捕获指定AP的数据包（如--bssid 00:11:22:33:44:55）。
停止捕获：按Ctrl+C结束，生成的.pcap文件可用Wireshark进一步分析。

Wireshark是Linux下最流行的网络协议分析器，支持无线数据包的可视化解析：

启动Wireshark并选择监听接口：
```
sudo wireshark
```
在“Capture Interfaces”窗口选择监听接口（如wlan0mon），点击“Start”。
设置过滤条件：
为减少无关数据，可使用过滤器（如wlan过滤所有无线流量，wlan.addr == XX:XX:XX:XX:XX:XX过滤指定MAC地址的流量）。
保存与分析：
捕获完成后，点击“File”→“Save As”保存数据包，后续可通过Wireshark的“Protocol Hierarchy”“Follow TCP Stream”等功能深入分析。

Kismet是一款智能无线嗅探工具，可自动检测无线网络（SSID、加密方式、信号强度）、识别设备类型（如路由器、手机），并生成网络拓扑图：

sudo kismet

停止监听模式：
若使用airmon-ng开启的监听模式，可通过以下命令恢复网卡正常模式：
```
sudo airmon-ng stop wlan0mon  # 将wlan0mon替换为你的监听接口名
```

重启网络服务（可选）：
若网卡无法自动恢复，可重启网络服务：

sudo systemctl restart NetworkManager  # 或使用`sudo service network-manager restart`

0 赞

0 踩