Saída do Itcpdump - por que está mostrando um status Ethernet?

0

tcpdump -i mlan0 -n

tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode listening on mlan0, link-type EN10MB (Ethernet), capture size 262144 bytes

Por que essa Ethernet está aqui? Estou usando wifi, não uma Ethernet.

decode listening on mlan0, link-type EN10MB (Ethernet), capture size 262144 bytes

Não sei como posso pesquisar isso. Eu posso encontrar páginas de manual no uso do tcpdump. Mas nada para explicar essa linha em particular.

    
por David 18.11.2014 / 04:10

1 resposta

1

Why is this Ethernet here? I am using wifi, not an Ethernet.

Porque você não está capturando no modo monitor; Na maioria dos sistemas operacionais, a única maneira de obter cabeçalhos 802.11, em vez de cabeçalhos Ethernet falsos, em uma captura Wi-Fi é capturar no modo monitor. Isso inclui Linux, OS X e Windows (embora o WinPcap não suporte atualmente o modo monitor).

Se você deseja apenas ver o tráfego de e para a sua máquina, pode capturar sem o modo monitor. Você não verá pacotes que não sejam pacotes de dados.

Se você quiser ver outro tráfego em sua rede, ou quiser ver pacotes que não sejam de dados, ou quiser ver os cabeçalhos 802.11, ou quiser ver os cabeçalhos 802.11 e informações de rádio (taxa de dados, intensidade do sinal, etc.), você precisa capturar no modo monitor. No entanto, no modo monitor, os pacotes em uma rede protegida (rede usando WEP ou WPA / WPA2) não serão descriptografados; O Wireshark pode descriptografá-los se fornecer a senha da rede e, se a rede usar WPA / WPA2, se você tiver capturado os handshakes iniciais do EAPOL para cada dispositivo cujo tráfego você deseja para decifrar.

    
por 18.11.2014 / 06:32