如何用Wireshark捕获当前房间路由器和主机的数据包
一、前期工作
在我的这篇文章中:
Wireshark USRP联合波形捕获(上)-CSDN博客
通过192.168.1.103这个主机ip筛选Wireshark捕获的数据包,认为Source和Direction中至少一个包含192.168.1.103才能代表路由器和主机之间的WiFi信号。
在我的另一篇文章中:
USRP B210在采集WiFi信号时的有效最大增益(隔壁/同一房间)-CSDN博客
捕获同一房间的WiFi信号(仅有一台路由器和一台笔记本电脑使用WiFi,捕获信号用的USRP接收天线、电脑和路由器三者紧挨着)
有没有可能,哪个数据包Source和Direction都不含192.168.1.103,但是也是路由器和主机发射的信号呢?
二、问题分析
如果筛选出路由器给目标主机发送的数据包,再筛选目标主机给路由器发送的数据包,这两种数据包之间会有很强的因果性。但是,引入了很多先验信息,就是我们知道哪个数据包是路由器发给目标主机的,也知道哪个数据包是目标主机发给路由器的。
无论是从任务场景出发,还是捕获的高强度信号出发,都应该仅筛选路由器、目标主机发送的数据包,不分Direction。
三、Source对应的物理存在
3.1 笔记本电脑ip
当前我的电脑ip是192.168.1.105:
主机是没有自己的APR项的:
3.2 路由器ip
我的路由器是中继模型,Wireshark捕获的数据包可能来自放在其他房间的上游路由器:
本来想直接从tplogin.cn查上级路由器的ip,但是密码忘了:
好在可以通过ARP(Address Resolution Protocol)命令来查找MAC地址对应的IP地址:
3.3 上级路由器ip
是192.168.1.1:
抓取当下热乎的数据包:
TpLinkTechno_89:dd:46这个Source是上游路由器,和USRP不在一个房间。
3.4 国际ip
192.168.X.X是私有ip,除此之外,私有ip还包括:10.0.0.0,172.16.0.0
私有ip是查不到定位的:
153.121.64.153查ip查到日本了:
这才想起还在科学上网。
3.5 192.168.1.106/192.168.1.255
最后发现,这个192.168.1.106是路由器连接另一台电脑的ip:
192.168.1.255则是局域网的一个广播ip:
3.6 其他ip
153.3.238.127
四、Source筛选
Source为192.168.1.105(笔记本电脑ip)的一定是我房间的信号源
Source为192.168.1.1的一定不是我房间的信号源
如果开了VPN,Source为153.121.64.153代表路由器正在发射信号。
经过上述分析,我能确定的是Source=192.168.105,Direction=192.168.105,Source=192.168.103的,信号源一定在我房间(不用关闭混杂模式,不然路由器发射的信号,但不是我笔记本电脑主机接收的那部分是捕获不到的)。如果USRP同时接收信号,一定能和Wireshark捕获的数据包匹配。