13.3.1 配置 AirPcap - Wireshark 数据包分析实战（第 3 版） - 知乎书店1

Wireshark是一款强大的网络封包分析软件，而AirPcap是Wireshark在Windows环境下用于无线数据包捕获的重要工具。本章节主要介绍了如何配置AirPcap以进行更高效的数据包分析。 首先，AirPcap是由Riverbed Technology旗下的CACE Technologies公司开发的一款硬件设备，它形如U盘，便于携带，主要用于捕获无线网络流量。AirPcap利用了WinPcap驱动，并配备了一个定制的客户端配置工具，使得用户能够更好地控制和解析无线网络数据包。 配置AirPcap的过程中，有几个关键选项值得注意： 1. **Interface**：在此选项中，用户可以选择要捕获数据包的设备。对于复杂的分析场景，可能需要同时使用多个AirPcap设备来同步嗅探不同的无线信道。 2. **Blink Led**：如果选中此复选框，AirPcap设备上的LED指示灯将闪烁，这在多设备环境中可以帮助用户快速识别当前正在使用的适配器。 3. **Channel**：通过下拉菜单，用户可以选择AirPcap应监听的无线信道。这对于监控特定无线网络或频段至关重要。 4. **Include 802.11 FCS in Frames**：帧校验序列（FCS）是无线数据包的最后4个比特，用于检查数据包在传输过程中的完整性。默认情况下，某些系统可能会忽略这些比特。推荐勾选此选项，以便包含FCS信息，除非有特殊需求。 5. **Capture Type**：有两个选项，即802.11 Only和802.11 + Radio。802.11 Only只包含标准的802.11包头，而802.11 + Radio则添加了radiotap头部，提供更多的附加信息，如数据速率、频率、信号强度和噪声等级。选择802.11 + Radio可以获取更全面的网络状态信息。 6. **FCS Filter**：即使未选择包含FCS，也可以使用此选项过滤出FCS认为已损坏的数据包。启用"Valid Frames"选项，只显示FCS认为成功接收的包，这样可以排除因传输错误导致的无效数据包。 7. **WEP Configuration**：在AirPcap Control Panel的Keys选项卡中，用户可以输入被嗅探网络的WEP密钥。为了解密WEP加密的数据，必须输入正确的WEP密码。WEP的相关配置和解密将在后续章节详细讲解。 总的来说，配置AirPcap的关键在于根据具体需求选择合适的捕获设备、信道、数据类型和过滤条件，以及正确处理WEP加密的无线通信。通过这些设置，Wireshark和AirPcap的结合可以提供强大的无线网络监控和分析能力，帮助网络管理员诊断问题、检测入侵或进行安全审计。