检查 BSSIDs

当您收到一个主要流量为 Wifi 的捕获时，可以使用 WireShark 开始调查捕获中的所有 SSID，路径为 Wireless --> WLAN Traffic：

暴力破解

该屏幕的一列指示在 pcap 中是否找到任何身份验证。如果是这种情况，您可以尝试使用 aircrack-ng 进行暴力破解：

aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap

在信标/侧通道中的数据

如果你怀疑数据正在Wifi网络的信标中泄露，你可以使用类似以下过滤器来检查网络的信标：wlan contains <NETWORK名称>，或者 wlan.ssid == "NETWORK名称"，在过滤后的数据包中搜索可疑字符串。

在Wifi网络中查找未知的MAC地址

以下链接将有助于找到在Wifi网络中发送数据的设备：

• ((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2

如果你已经知道MAC地址，你可以从输出中删除它们，添加类似这样的检查：&& !(wlan.addr==5c:51:88:31:a0:3b)

一旦你发现了在网络中通信的未知MAC地址，你可以使用类似以下的过滤器：wlan.addr==<MAC地址> && (ftp || http || ssh || telnet) 来过滤其流量。请注意，ftp/http/ssh/telnet 过滤器在你解密了流量后会很有用。

解密流量

编辑 --> 首选项 --> 协议 --> IEEE 802.11--> 编辑