Mac笔记本电脑空口抓包方法

一．Mac本抓包的几个关键因素

1．Mac本支持相应的协议和频宽

目前发现mac本不能抓11ax的数据包，某些老的mac本不能抓80MHz以上频宽的报文。Wifi6的mac本可以抓11ax报文，但是有漏抓的现象。

2．Mac本开启monitor模式

3．Mac本工作在要抓包的信道

二．抓包方法1---直接关联抓包

1）Mac本直接关联到要抓包的ssid上，这样它肯定工作在相应信道

2）打开wireshark。如果找不到快捷图标，就搜索“wireshark”

3）选择和配置抓包网卡

弹出的配置框中选择无线网卡，一般是Wi-Fi-en0，如果不确定，可以先到shell下使用ifconfig查看网卡信息。

三.抓包方法2---命令行设置工作信道抓包

1.打开wifi，不一定要关联ssid

2.在shell下使用aireport命令设置工作频宽，注意需要sudo权限

sudoaireport–z关闭当前连接

sudoaireport–c36设置工作在36信道，注意c和信道号中间没有空格

sudoaireport–c查看当前工作信道

3.使用wireshark抓包

四．抓包方法3----使用嗅探器抓包

1.打开无线诊断功能

先按下“option”键不要松开，点开wifi图标，在下拉菜单中选“打开无线诊断…”，会弹出下框，不要关闭，也不用继续

4.打开wireshark开始抓包

五．解密WEP和WPA-PSK/WPA-PSK加密的数据包

步驟：

1）在wireshark配置待抓包的pwd：ssid

2）Wireshark启动抓包

3）终端关联上线。注意如果在开启wireshark前sta已经上线，需要断开重新上线，因为wireshark要抓取当前关联过程，才能对报文进行解密。

;depth_1-utm_source=_relevant_

六注意事项

1.Wifi抓包时间不要太长，否则文件过大，电脑会卡死。

2.有客户在现场使用mac本+wireshark抓到的报文格式不对，抓成了eth报文。需要按照如下操作设置一下：

先敲sudoairport-z断开连接；再敲sudoairport-c149指定信道

如果没有aireport命令，尝试增加软连接：

sudoln–s/System/Library/PrivateFrameworks//Versions/Current/Resources/airport/usr/local/bin/airport