나는 tcpdump (버전 4.1.1)에서 까지 시도를 사용하여 airmon-ng가 설정 한 모니터 모드 인터페이스에서 무선 프레임을 캡처했습니다. 지금까지 아무 일도 일어나지 않았기 때문에 "시도"라고 말합니다. 그것은 매우 이상한 :모니터 모드 인터페이스의 tcpdump - 아무 것도 캡처하지 않음
tcpdump -i mon0
위의 명령은 잘 작동합니다. 모든 비컨 및 프로브 요청과 상상할 수있는 모든 프레임이 내 화면에 표시됩니다. 그러나, 나는 계층에게 실제 데이터를 포함 3 개 패킷을 포함하여 캡처 한 도착
tcpdump -i mon0 -w captures.cap
절대적으로 만을 사용하여 캡처 파일에 출력을 작성하려고 할 때. 내가 tcpdump를 죽일 때와 완전히 비어 캡처 파일 (13,507이 경우에 임의의 숫자) 나에게
13507 packets captured
13507 packets received by filter
0 packets dropped by kernel
을 제공합니다.
그러나 동일한 인터페이스에서 tshark 또는 wireshark를 사용하여 캡처를 수행하면 아무 문제없이 프레임이 파일에 캡처됩니다.
GUI의 오버 헤드가 없으며 캡처 파일을 가져 와서 복사 할 수있는 "-z"옵션이 있으므로 wireshark 대신 tcpdump를 사용하는 편이 좋습니다 그것은 내 네트워크의 다른 컴퓨터에. tshark 나 wireshark와 비슷한 기능은 없으므로 캡처 파일의 존재 여부를 확인하는 프로그램을 작성하는 것을 피하고 싶습니다.
tcpdump가 작동하는 방식에 근본적인 오해가 있습니까? 아니면 여기서 이상한 점이 있습니까? 아마 내가하고있는 일을하는 더 좋은 방법이 있을까? 아니면 내 자신의 libpcap 기반 캡처 프로그램을 작성해야 할 것인가?
우수한위한 많은 옵션이 있습니다. 지금 올바르게 작동하는 것 같습니다. 고맙습니다. – jvstech
인터페이스를 지정하지 않았습니다. mon0에서 데이터를 가져 오는 것이 확실합니까? – Jim
죄송합니다. 3 년 후, 아니, 잘 모르겠습니다. – JPBlanc