2023年7月3日发(作者：)

wireshark802.11WLAN⽆线报⽂分析常⽤技巧总结概述本⽂介绍如何使⽤开源wireshark软件来分析802.11 WLAN报⽂。

涉及通信，⽹络⾏业的⼯程师对wireshark都不陌⽣。它可以轻易的抓取和分析以太⽹报⽂。

但是对于使⽤wireshark抓取并分析802.11 WALN报⽂，⼤家可能还是有点陌⽣的。

其实免费且开源的wireshark对于WLAN的⽀持远⽐收费的omnipeek强⼤。Omnipeek在我的电脑上已经消失7，8年了。并不是因为他昂贵⽽选择其他⽅案。在802.11ac问世后，omnipeek的缺陷⽇益显露，⽆法满⾜我们⽇常⼯作的需求。下⾯请⼤家跟我来探索下强⼤的wireshark吧！正⽂⾸先我们⽤新安装的wireshark来打开⼀个⽆线报⽂（关于如何⽤wireshark抓取WLAN报⽂我们放在最后说），⼩朋友们的第⼀感觉是⽩花花的⼀⽚不如彩⾊的omnipeek好看，顿时有点失去耐⼼。

其实很简单，导⼊⼀个颜⾊⽂件就OK啦。菜单View->Coloring Rules->Import选择wireshark_color_rule⽂件，好看多了吧。

接下来⼩伙伴们的问题应该是我如何过滤来找到我想要的报⽂呢，赶紧试试我这些filter吧，相信你已经体会到wireshark的强⼤了。

mac地址过滤：

wlan contains 00:11:22:33:44:55

报⽂类型过滤： 报⽂类型过滤：

_subtype == 0x0

assoc req: 0x0

assoc resp: 0x1

reassoc req: 0x2

reassoc resp: 0x3

probe req: 0x4

probe resp: 0x5

beacon: 0x8

disassoc: 0xa

auth: 0xb

deauth: 0xc

action: 0xd

BAR: 0x18

BA: 0x19

PS-Poll: 0x1a

RTS: 0x1b

CTS: 0x1c

ACK: 0x1D

CF-End: 0x1e

Null data: 0x24

Qos data: 0x28

Null Qos data: 0x2cWPA加密的⽆线报⽂可以明⽂显⽰吗？of course.设置如下（抓包⼀定要包含4次握⼿报⽂哦） View->Wireless ToolBar 点击右侧出现的802.11 preference

在802.11 preference菜单⾥⾯点击Edit弹出密码设置菜单，选择wpa-pwd输⼊psk:ssid点击确定后，原先加密的报⽂就可以明⽂显⽰了。 好了，了解了这些基本的东西，相信你⼀定爱上wireshark了。下⾯我们来看下802.11ac报⽂分析吧。

802.11ac引⼊了新的速率VHT(MCS0 ~ MCS9)，带宽也从20/40M 升级到20/40/80/160M

Beamforming在802.11ac协议中变成强制⽀持。SU-Beamforming帮助我们更好的提升RvR性能，MU-Beamforming强⼤的空分技术帮助多客户应⽤场景提升吞吐量。

最后我们说下如何使⽤wireshark抓取⽆线报⽂，要抓取空⼝⽆线报⽂，⽆线⽹卡需要⼯作在监听模式，普通的⽆线⽹卡驱动是不⽀持的，⽬前⾼端智能⼿机上采⽤的都是2x2的11ac WLAN芯⽚，抓包⽆线⽹卡也需要⽀持2x2天线配置，听着有点复杂，没关系，这些东西我都已经搞定了，欲知详情请在闲鱼搜索WLAN sniffer