Windows下捕获802.11数据包

摘要：Windows下无法直接用wireshark，原因是因为捕获802.11帧需要设置网卡为监控模式（即monitor mode，非混杂模式），因此我们需要使用microsoft network monitor，微软提供的一个免费检测工具来抓包。

运行环境：
笔记本 + win10 + Microsoft Network Monitor 3.4 + wireshark

Microsoft Network Monitor官网下载地址
直接在官网下载MNM，然后正常安装。软件安装后直接打开如果不能读取驱动的话，重启下软件or电脑就可以了，然后显示如下图。

我们需要抓取的是802.11的数据包。首先你笔记本电脑需要连接WLAN，然后选择WLAN无线，双击进行设置，点Scanning Options。

切换成监听模式（monitor mode）

注意一下其中的黄色警告，“警告：切换到监视器模式将中断无线数据连接。返回本地模型将恢复连接。”，因此你点完apply之后会断网，需要重连网络，并且你再点击设置会出现如下情况，是正常的。

点 new capture进行捕获。

点start开始。

收集到足够的包后点stop就可以停止了。

之后就可以对802.11帧的包进行分析了。
802.11帧分三类：管理帧，数据帧和控制帧。

以数据帧为例：

我们看hex details和frame details两部分。
08H，即00001000，对应的是FrameControl的Version、Type和SubType。
Version：00，表明协议版本为0
Type：10，表明为数据帧
SubType：0000，字类型

01H，即00000001，对应着各个flags。
DS：01，From DS=0，To DS=1
MoreFrag：0，表明这是该帧的最后一段
Retry：0，表明这不是重传帧
PowerMgt：0，表明发送方没有进入节能模式
MoreData：0，表明没有更多的帧，
ProtectedFrame：0，表明没有加密
Order：0，表示没有严格的顺序。

Duration: 32768，表明持续时间为32768微秒
BSSID：06:69:6c:c1:38:04，远程远端地址
SA：08:d4:0c:a1:f9:64，发送方地址Source Address
DA：58:69:6c:5e:7e:14，接收方地址 Destination Address

其实这些信息在wireshark中都可以读出来，我们可以将MNM捕获的包保存为.cap格式，然后在用wireshark打开即可。


Over