4

パケットキャプチャにscapy関数sniff()を使用しています。EAPパケットのみをキャプチャしたい。次のフィルターを使用して、tcpdumpを使用してEAPパケットをフィルター処理できます。

#tcpdump -i mon0 -p ether proto 0x888e
tcpdump:警告:mon0:IPv4アドレスが割り当てられていません
tcpdump:冗長な出力が抑制されました。完全なプロトコルデコードには-vまたは-vvを使用してください
mon0をリッスンし、リンクタイプIEEE802_11_RADIO(802.11とradiotapヘッダー)、キャプチャサイズ65535バイト
13:04:41.949446 80847234901us tsft 48.0 Mb / s 2437 MHz 11g-16dB信号アンテナ1[ビット14]EAPパケット(0)v1、len 5
13:04:46.545776 80851831746us tsft 54.0 Mb / s 2437 MHz 11g-13dB信号アンテナ1[ビット14]EAPパケット(0)v1、len 5

同時に、同じフィルターでsniff()関数を実行していますが、関数はEAPパケットをキャプチャしません。

sniff(filter = "ether proto 0x888e"、iface = "mon0"、count = 1)

sniff()関数がEAPパケットをキャプチャしないのはなぜですか?

編集:

私の遅い反応で申し訳ありませんが、私はあなたが提案したものを試しました:

> conf.iface = 'mon0'
> pkts = sniff(filter="wlan proto 0x888e", count = 1)
tcpdump: WARNING: mon0: no IPv4 address assigned
> pkts
Sniffed: TCP:0 UDP:0 ICMP:0 Other:1
> EAP in pkts[0]
False

しかし、これはまだEAPパケットをキャプチャしません:(

4

4 に答える 4

5

これが1年以上経っていることは知っていますが、この質問を見ている他の人の利益のために、答えは彼がEAPパケットではなくEAPOLパケットをキャプチャしたということです. コマンドを使用して

sniff(filter="ether proto 0x888e", count=4)

0x888e はイーサネット プロトコルの EAPOL を指し、wlan プロトコルではなく、ether プロトコルを使用する必要があります。0888e が wlan proto で何かを参照できるかどうかはわかりませんが、op とほぼ同じことを行った後 (「wlan」を「ether」に置き換えることを除いて) を得ました。

>>> EAP in b[0]
False

しかし、私が入るとき

>>> EAPOL in b[0]
True

OPはコードが探していたもの(2つのEAPOLパケット)をキャプチャしたと思いますが、探していると思っていたもの(2つのEAPパケット)をキャプチャしませんでした。

編集 - ether を wlan に置き換えても、EAP を false として、EAPOL を true として表示します。

于 2013-04-28T19:54:52.357 に答える
1

ここでいくつかの問題が発生する可能性があるので、今日私が遭遇した問題について説明します。

まず、次のバグレポートに見られるように:http : //trac.secdev.org/scapy/ticket/537-Scapyはsniff関数のifaceパラメーターを尊重しません。したがって、ifaceを正しく設定するには、次を使用する必要があります。

conf.iface = 'mon0'

うまくいけば、これにより、フィルターを追加して、実際にネットワークを介してパケットを取得できるようになります。

mon0をスニッフィングしていて、それがワイヤレスインターフェイスである場合は、etherprotoの代わりにwlanprotoを試してみることをお勧めしますが、EAPパケットをテストするためのネットワークがありません。

于 2012-02-09T21:54:41.140 に答える
1

scapy sniff と同時に tcpdump を実行していますか?

Scapy は TCPDUMP をうまくエミュレートできます。一度に 1 つずつ実行するだけです。

于 2012-04-20T19:35:52.200 に答える