2.3~4

ch2.md

@@ -90,3 +90,79 @@ WLAN 在设计上拥有特定的不安全性，它们可被轻易利用，例如
 太棒了！我们拥有了监控模式接口，等待从空气中读取一些封包。所以让我们开始吧。
 
 下一个练习中，我们会使用 Wireshark 和刚刚创建的`mon0`监控器模式接口，从空气中嗅探封包。
+
+### 实战时间 -- 嗅探无线封包
+
+遵循下列指南来开始：
+
+1.  启动我们在第一章中配置好的接入点`Wireless Lab `。
+
+2.  通过在控制台中键入` Wireshark & `来启动 Wireshark，一旦 Wireshark 运行，访问`Capture | Interfaces`。
+
+    ![](img/2-3-1.jpg)
+    
+3.  通过点击`Start`按钮从`mon0`接口选择封包捕获，像截图中那样。Wireshark 会开始捕获，现在你可以在 Wireshark 窗口中看到封包。
+
+    ![](img/2-3-2.jpg)
+
+4.  这些就是你的无线适配器从空气中嗅探到的封包。为了查看任何封包，在上面的窗口中选择它，中间的窗口中会展示整个封包：
+
+    ![](img/2-3-3.jpg)
+    
+    点击`IEEE 802.11 Wireless LAN management frame`前面的三角形来展开并查看详细信息。
+    
+观察封包中不同的头部字段，并将它们和之前了解的 WLAN 帧类型以及子类型关联。
+
+### 刚刚发生了什么？
+
+我们刚刚从空气中嗅探了第一组封包。我们启动了 Wireshark，它使用我们之前创建的监控模式接口`mon0`。通过查看 Wireshark 的底部区域，你应该注意到封包捕获的速度以及目前为止捕获的封包数量。
+
+### 试一试 -- 发现不同设备
+
+Wireshark 的记录有时会令人生畏，即使在构成合理的无线网络中，你也会嗅探到数千个封包。所以深入到我们感兴趣的封包十分重要。这可以通过使用 Wireshark 中的过滤器来完成。探索如何使用这些过滤器来识别记录中唯一的无线设备 -- 接入点和无线客户端。
+
+如果你不能做到它，不要着急，它是我们下一个要学的东西。
+
+### 实战时间 -- 查看管理、控制和数据帧
+
+现在我们学习如何使用 WIreshark 中的过滤器来查看管理、控制和数据帧。
+
+请逐步遵循下列指南：
+
+1.  为了查看捕获的封包中的所有管理帧，在过滤器窗口中输入过滤器`wlan.fc.type`，并点击`Apply`。如果你打算防止封包向下滚动过快，你可以停止封包捕获。
+
+    ![](img/2-4-1.jpg)
+    
+2.  为了查看控制帧，将过滤器表达式修改为`wlan.fc.type == 1`。
+
+    ![](img/2-4-2.jpg)
+    
+3.  为了查看数据帧，将过滤器表达式修改为`wlan.fc.type == 2`。
+
+    ![](img/2-4-3.jpg)
+    
+4.  为了额外选择子类型，使用`wlan.fc.subtype`过滤器。例如，要查看所有管理帧中的信标帧，使用下列过滤器：
+
+    ```
+    (wlan.fc.type == 0) && (wlan.fc.subtype == 8)
+    ```
+    
+    ![](img/2-4-4.jpg)
+    
+5.  作为替代，你可以在中间的窗口中右击任何头部字段，之后选择`Apply as Filter | Selected`来使用过滤器。
+
+    ![](img/2-4-5.jpg)
+    
+6.  这会自动为你在`Filter`字段中添加正确的过滤器表达式。
+
+### 刚刚发生了什么？
+
+我们刚刚学习了如何在 Wireshark 中，使用多种过滤器表达式来过滤封包。这有助于监控来自我们感兴趣的设备的所选封包，而不是尝试分析空气中的所有封包。
+
+同样，我们也可以以纯文本查看管理、控制和数据帧的封包头部，它们并没有加密。任何可以嗅探封包的人都可以阅读这些头部。要注意，黑客也可能修改任何这些封包并重新发送它们。协议并不能防止完整性或重放攻击，这非常易于做到。我们会在之后的章节中看到一些这类攻击。
+
+### 试一试 -- 玩转过滤器
+
+你可以查阅 Wireshark 的手册来了解更多可用的过滤器表达式，以及如何使用。尝试玩转多种过滤器组合，直到你对于深入到任何细节层级都拥有自信，即使在很多封包记录中。
+
+下个练习中，我们会勘察如何嗅探我们的接入点和无线客户端之间传输的数据封包。