用omnipeek工具抓取配網組播包

一、背景介紹
IOT行業的各位都知道，業內有兩種常見的配網方式，smartconfig配網和ap配網，這兩種配網方式各個廠家的具體實現各不相同，但是原理大同小異。具體原理網上有很多詳細說明，可自行搜索，這里不再具體的講述。
最近辦公室經常有同事反饋，手里的wifi設備處于smartconfig配網模式時頻繁被人配走，影響了大家正常測試。設備配網時被別人配走很正常，因為同一個辦公室可能有很多人在同時配網，但是了解了幾個同事的情況之后，發現情況不是這么簡單，從描述的表象提取了以下幾個關鍵詞：

• 高頻率，幾乎設備只要切到smartconfig配網模式就馬上會被配走

• 持續時間久，這種情況一般都持續很長時間，每次都超過12h。

  綜合以上表象，大概率不是碰巧被別人配走，推測可能是某種工具或自動化腳本在發送配網廣播包或組播包，然后通過路由器將廣播包或組播包發出去，導致路由器有效覆蓋范圍的Wi-Fi設備受到影響，示意圖如下：
  
  發送配網包的源頭（可能是WIFi模組、手機、腳本、等等）通過廣播包或者組播包將ssid 和 pwd 編碼后發出，經路由器轉發后，路由器的整個覆蓋范圍的設備都會受到影響。要消除整個這個影響就要把源頭找出來干掉。

二、環境準備

2.1 工具準備
抓包網卡， #ciso 那款停產了，很難買到，我用的是 D-Link DWA-160B2G雙頻無線網卡
omnipeek 抓包軟件，#鏈接：https://pan.baidu.com/s/1Ga3Zxqm5_nqaYiO8DcnMog 提取碼：epdl
PC機，我的是win10系統

2.2 omnipeek 和wireshark 有什么區別？
常用的抓包工具就那么幾種，我用過的主要是這兩款：wireshark, omnipeek,對它們的介紹以及區別有一篇文章寫的比較清楚：Wireshark, Sniffer and Omnipeek 三款網絡分析工具的比較

2.3 omnipeek使用注意事項
1.網卡選型時要看是否支持omnipeek抓包，
2.網卡驅動要選對

三、分析過程

3.1 抓包工具使用
參考下面這篇文章，寫的比較詳細
跟著omnipeek學802.11之Omnipeek無線空中抓包入門

3.2 如何查找源設備
我們知道，配網的組播包或廣播包由源設備發出來后會通過路由器轉發出去，通過被配上網設備的串口日志可以看到連上哪個路由器了，然后通過ap的ssid可以知道組播包在哪個信道上，可以只抓取這個信道的數據包，目的是過濾掉其他信道的數據減少抓到的數據數量加快排查速度。
已知條件：1. 轉發廣播/組播包的路由器 ssid ，由ssid 可以知道路由器的mac,所處信道，
推理：我們只需要找到通過該路由器的廣播包或者組播包的報文即可在報文中找到源設備的mac，由于設備的mac具有唯一性，理論上來講，找到了mac即可確定這個設備。

3.3 數據過濾
排查抓到的數據包，如下圖package 4262 所在的 Mcast IP 就是配網組播包，souce 所在那一列是源設備的mac，BSSID所在列是路由器的mac。拿到設備的mac即可找到唯一設備，當然這是理論上的，要通過mac找到真實設備可能會比比較曲折，諸位各顯神通。

四、寫在最后
本人水平有限，精力有限，僅用于個人消化記錄知識，各位同行先進，牛人大佬如有指導或糾錯可聯系本人。
郵箱：2604325078@qq.com

總結

以上是生活随笔為你收集整理的用omnipeek抓取配网组包的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。