万能的wifi空口Tcp抓包方式

主要介绍下最近使用中感觉很万能的空口抓包方式和wireshank分析工具使用；

目的：抓取各种设备网络通信过程中数据包，定位并分析软硬件设计中问题

背景：

Tcp抓包方式有很多种，但是有一些限制：

• tcpdump方式，这种方式必须满足要抓取的设备能运行这个tcpdump的程序，一但遇到单片机设备或其它不支持这个程序的设备就没办法了；
• 利用电脑开热点，wireshank直接抓电脑wifi方式，这种实时看的方式很好，但是一些网络环境不允许开热点的。
• 利用路由器抓包，这个要求更多，找占用路由器，还不稳定

空口抓包：

要介绍的是万能的方式，不管什么设备，什么网络都没有限制，首先准备一台macbook本，我是在这个上用的；

如下步骤：

1. 按住电脑option按键，点击右上角wifi图标，会显示出『打开无线诊断...』
2. 单出界面后，点击状态栏的『窗口』按键中『嗅探器』
3. 在终端上输入airport -s 命令，会显示出所有空中wifi信号，查看你要抓的wifi的channel
4. 在刚打开的『嗅探器』中填入channel
5. 点击开始，连接这个wifi的目标设备
6. 一段时间后点击停止，将有提示cap文件保存在/var/tmp位置，拷贝出来就是我们抓取的空口数据包

注意最好wifi不设置密码（这个应该很容易办到）

解析空口包：

1. 需要注意的是这个空口包中包含太多的改信道上数据
2. 使用wireshank打开cap文件
3. 需要查看设备的mac地址，然后在wireshank找一条这个mac地址的数据，右键添加过滤器，过滤出所有这mac地址上数据
4. 然后找一条要连接的IP的数据，右键flower一下所有数据
5. 即可得到完整的抓包结果，然后分析syn、push、ack、rst、fin等包