到此,一个相对复杂一点的过滤器就完成了。高级过滤器的功能非常强大,并且相对wireshark来说增加了可视化元素,更方便于我们的使用。
七、使用OmniPeek抓取指定终端的报文
知道如何使用过滤器之后,我们就可以进行具体的抓包分析某终端的通信状态了。
7.1 抓取未关联任何AP的终端报文
我们都知道终端关联上AP之后会向外发送信息,但是一个没有关联任何AP的终端会不会向外发送信息呢?我们来抓包分析一下。
打开OmniPeek,新建过滤器,设置为抓取源MAC为88:1F:A1:87:74:1B的报文。
点击新建捕获,选择好网卡和扫描范围。
开始捕获
可以看到我们抓到了很多包,有些是终端发出去的,目的地址是广播地址。有的是其他设备发送给终端的。那么,这些包是干什么用的呢?
这里涉及到一个主动扫描的机制。终端发现SSID的方法有两种:主动扫描和被动扫描。主动扫描就是终端发送被称为探寻请求(Probe request)的帧来探测附近环境中存在哪些SSID。
下面我们深入了解一下探寻请求帧的帧格式:
跟在wireshark里类似,双击1号报文,弹出详细的报文窗口: