欢迎来到本实验,学习如何为无线网卡准备监听模式(monitor mode)。监听模式,也称为 RFMON (Radio Frequency MONitor) 模式,允许带有无线网络接口控制器 (WNIC) 的计算机监控在无线信道上接收到的所有流量。这与默认的“管理”(managed)模式有着根本性的区别,在管理模式下,网卡只捕获发送给它的数据包。
启用监听模式是许多无线安全任务的关键第一步,例如数据包嗅探、流量分析和渗透测试。在本实验中,你将使用强大的 Aircrack-ng 套件,这是一套用于审计无线网络的工具,来正确配置你的无线网卡。你将学习如何识别你的无线设备,处理可能干扰监听模式的进程,并最终启用和验证模式更改。
在本实验结束时,你将对在 Linux 环境下将无线网卡置于监听模式的标准流程有实际操作的理解。
在本步骤中,你将开始识别系统中可用的无线网络接口。iwconfig 命令是配置无线网络接口的标准工具。不带任何参数运行它将列出所有无线接口及其当前配置,例如模式、频率和链路质量。
这是确保你知道要操作的接口名称的基本第一步。在大多数情况下,主要的无线接口名为 wlan0。
在你的终端中执行以下命令来列出无线接口:
iwconfig你应该会看到类似以下的输出。请密切关注 wlan0 接口并记下它的 Mode。最初,它将处于 Managed 模式,这意味着它作为一个标准的客户端适配器运行。
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11 Mode:Managed Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on这证实了 wlan0 是我们的目标无线接口,并且它当前处于默认的管理模式。
在本步骤中,你将使用 airmon-ng 工具来检查可能干扰启用监听模式的进程。某些系统服务,如 NetworkManager 和 wpa_supplicant,会管理无线接口,并可能自动尝试将其重新连接到网络或更改其状态。这可能会阻止监听模式正常工作,或导致其意外禁用。
airmon-ng check 命令专门用于识别这些潜在的冲突进程。
在你的终端中运行以下命令。由于 airmon-ng 会与系统级别的网络设置进行交互,你需要使用 sudo 来授予它管理员权限。
sudo airmon-ng check输出将列出任何可能导致问题的正在运行的进程。以下是你可能看到的示例:
Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stop working after
a short period of time, you may want to kill (some of) them!
PID Name
1234 wpa_supplicant
5678 NetworkManager此输出告诉我们 wpa_supplicant 和 NetworkManager 正在运行,在继续之前应该停止它们。
在本步骤中,你将终止在上一步中识别出的冲突进程。虽然你可以使用 kill 命令手动停止它们,但 airmon-ng 提供了一种便捷可靠的方式,通过 check kill 参数自动完成此操作。此命令会查找并停止所有已知的有问题服务,确保为启用监听模式提供一个干净的环境。
执行以下命令,让 airmon-ng 终止冲突进程:
sudo airmon-ng check kill该命令将显示它正在停止的进程。输出应该看起来像这样,确认服务已被终止。
Killing these processes:
PID Name
1234 wpa_supplicant运行此命令后,你的无线接口将不再由这些服务管理,使其可以进行模式更改。请注意,这将断开你与当前连接的任何无线网络的连接。
在本步骤中,你将启用无线接口的监听模式。这是本次实验的主要目标。在停止了所有冲突进程后,你现在可以使用 airmon-ng 将 wlan0 接口从托管模式(managed mode)切换到监听模式(monitor mode)。
执行此操作的命令是 airmon-ng start 加上接口名称。airmon-ng 将处理必要的底层命令来更改设备的运行模式。它通常还会为监听模式创建一个新的虚拟网络接口,通常通过在原始接口名称后附加 "mon" 来命名(例如 wlan0mon)。
运行以下命令在 wlan0 上启动监听模式:
sudo airmon-ng start wlan0输出将提供有关该过程的信息。它将确认监听模式已启用,并告诉你新的监听接口的名称。
PHY Interface Driver Chipset
phy0 wlan0 mac80211_hwsim Software-only virtual MAC
(monitor mode enabled on wlan0mon)从示例输出中可以看到,监听模式已启用,并创建了一个名为 wlan0mon 的新接口。这就是你将在后续的任何无线安全任务中使用的接口。
在最后这个步骤中,你将验证无线接口是否已成功运行在监听模式。确认配置更改已正确应用始终是良好的实践。你可以通过使用与第一步相同的 iwconfig 命令来完成此操作。
这次,输出应该会显示新的监听接口(wlan0mon),并明确指出其模式为 Monitor。
再次运行 iwconfig 来检查所有无线接口的状态:
iwconfig这次的输出将与你在第一步中看到的有所不同。你应该会看到列出了新的 wlan0mon 接口,并且其模式将设置为 Monitor。
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on
wlan0 IEEE 802.11 Mode:Managed Frequency:2.412 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on看到 wlan0mon 接口的 Mode:Monitor 确认你已成功准备好无线适配器。它现在已准备好捕获其当前信道上附近的所有 Wi-Fi 流量。
在本次实验中,你已成功在 Linux 环境下准备好了一个用于监听模式的无线适配器。你已经学习并实践了使用 Aircrack-ng 套件的标准、可重复的工作流程。
你已完成以下关键任务:
iwconfig 识别了可用的无线接口(wlan0)。sudo airmon-ng check 查找可能干扰监听模式的进程。sudo airmon-ng check kill 清理终止了这些冲突进程。sudo airmon-ng start wlan0 启用了目标接口的监听模式,这创建了一个新的监听接口(wlan0mon)。iwconfig 的输出来验证了模式更改的成功。你的无线适配器现在是一个强大的被动监听设备,已准备好与 airodump-ng 或 Wireshark 等工具一起用于无线流量分析和安全审计。