无线流量分析过程可能在法医调查或故障排除过程中非常有帮助，当然，这是一种很好的自学方法(只是了解应用程序和协议之间如何相互通信)。为了使流量分析成为可能，首先，需要以某种方式收集此流量，此过程称为流量嗅探。最常用的流量监听工具是Kismet和Wireshark。这两个程序都为Windows和Linux环境提供了一个版本。

为了进行渗透测试和入侵无线网络，值得收集的数据类型包括： BSSID，WEP IV，TKIP IV，CCMP IV，EAP 4次握手交换，无线信标帧，通信方的MAC地址等。在无线流量转储中，您可以使用更多功能。您将获得的大多数信息将用于上一章介绍的所有攻击中。例如，它们可以用作离线暴力攻击的输入，以破坏WLAN部署中使用的加密和身份验证模型。

在Windows和Linux中，Wireshark的用法都非常直观-两种环境都提供了两个系统看起来相同的GUI。程序启动时，您只需要指示用于流量侦听的物理接口即可(您可以选择任何一个接口，无论是有线接口还是无线接口)，然后继续进行流量侦听。以下屏幕快照显示了无线卡收集的无线数据包示例。

输出的布局始终相同-从顶部开始，您有-

• 过滤器字段-Wireshark配备了非常好的过滤工具，可以限制实时流量输出。当您需要从每秒来自周围所有无线客户端的数百个数据包中提取特定流(特定MAC地址之间或特定IP地址之间)时，此功能非常有用。

• 流量输出-在此部分中，您可以看到显示在无线接口上的所有数据包被一个接一个地嗅探到。在输出的此部分中，您只能看到流量特性的基本摘要，例如– SRC / DST MAC地址，协议(在这种情况下为Wi-Fi 802.11)以及有关数据包的简要信息。

• 数据的解码参数-此部分列出了帧中存在的所有字段(所有标头+数据)。通过一个示例转储，我们可以看到某些信息集是以不可读数据的形式(可能是加密的)，并且在802.11标头中，您可以找到CCMP信息(它确认流量是AES加密的)，因此它必须是WPA2 Wi-Fi网络。

• 十六进制转储-十六进制转储与您在“数据的解码参数”中具有的信息完全相同，但采用十六进制格式。这样做的原因是，十六进制表示形式是数据包的原始方式，但Wireshark具有数千个“流量模板”，用于将特定的HEX值映射到已知协议字段。例如，在802.11标头中，从5到11的字节始终是无线帧的MAC地址的来源，使用相同的模式映射，Wireshark(和其他嗅探器)可以重新构造和解码静态(众所周知)协议字段。

您可以使用通用的.pcap格式保存所有流量转储，以后可将其用作python脚本的输入，该Python脚本对收集到的流量执行一些高级操作(例如破解加密模型)。

您应该知道的另一个工具是Kismet 。一旦启动Kismet工具并指定mon0接口，它将列出您环境中检测到的所有SSID。

在Kismet运行期间，将收集所有无线数据包并将其存储在.pcap文件中。退出程序时，您会收到一条消息，说明所有无线数据包转储都已保存，以后可以访问它们。

在上面显示的示例中，所有数据包转储都存储在二进制文件中(当您使用“更多”或“ vi”或“纳米”等打开这些文件时，它们的格式不是可读的)。

要正确打开它们，必须使用Wireshark(再次！)。