网络扫描：使用Airodump-ng扫描无线网络

Airodump-ng是Aircrack-ng工具集中的一个工具，可以用来扫描无线网络。通过使用Airodump-ng工具实施扫描，可以获取到AP的相关信息，如SSID名称、MAC地址、工作信道及加密方式等。本文介绍使用Airodump-ng工具扫描网络的方法。

使用Airodump-ng工具扫描AP。具体操作步骤如下：

（1）设置无线网卡为监听模式。首先接入无线网卡，并确定该无线网卡已激活。执行命令如下：

root@daxueba:~# ifconfig

eth0: flags=4163 mtu 1500

inet 192.168.33.154 netmask 255.255.255.0 broadcast 192.168.33.255

inet6 fe80::20c:29ff:fe17:5f2b prefixlen 64 scopeid 0x20

ether 00:0c:29:17:5f:2b txqueuelen 1000 (Ethernet)

RX packets 41021 bytes 4577437 (4.3 MiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 78667 bytes 4843255 (4.6 MiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10

loop txqueuelen 1000 (Local Loopback)

RX packets 10679 bytes 463098 (452.2 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 10679 bytes 463098 (452.2 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wlan0: flags=4099 mtu 1500

ether a6:48:13:7d:01:be txqueuelen 1000 (Ethernet)

RX packets 0 bytes 0 (0.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 0 bytes 0 (0.0 B)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

从以上输出的信息中可以看到有3个接口，分别是eth0、lo和wlan0。其中，eth0是有线网络接口，lo是本地回环接口，wlan0是无线网络接口。由此可以说明接入的无线网络已激活。接下来设置该无线网卡为监听模式。执行命令如下：

root@daxueba:~# airmon-ng start wlan0

PHY  Interface  Driver  Chipset

phy0  wlan0 rt2800usb Ralink Technology, Corp. RT5370

(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)

(mac80211 station mode vif disabled for [phy0]wlan0)

（2）扫描无线网络。执行命令如下：

root@daxueba:~# airodump-ng wlan0mon

CH 7 ][ Elapsed: 18 s ][ 2021-07-13 17:07

BSSID PWR Beacons #Data, #/s CH MB  ENC CIPHER AUTH  ESSID

70:85:40: -40  16 754 0 3 130 WPA2  CCMP  PSK CU_655w

53:E0:3B

14:E6:E4: -54  5 0 0 6  270 WPA2 CCMP  PSK Test

84:23:7A

C8:3A:35: -59  6  0 0  6 270 WPA2  CCMP  PSK Tenda_5D2B90

5D:2B:90

80:89:17: -65 6  0 0 11 405  WPA2 CCMP  PSK TP-LINK_A1B8

66:A1:B8

74:7D:24: -70  9  0  0 1 130  WPA2  CCMP  PSK   @PHICOMM_46

C1:C4:48

C0:D0:FF:  -79  3  0  0  5 130 WPA2  CCMP  PSK   CMCC-f5CV

1B:F2:E0

BSSID STATION  PWR  Rate  Lost  Frames Probe

70:85:40:53:E0:3B 4C:C0:0A:E9:F4:2B  -56   0e-6e  0        758

从以上输出信息中可以看到附近所有可用的无线AP及连接的客户端信息。输出的信息可以分为上下两部分。其中，上部分显示了AP的相关信息，如AP的MAC地址、信号强度、工作信道、加密方式及AP的网络名称等；下部分显示了客户端与AP的连接情况。以上输出信息中有很多参数。为了方便大家对每个参数有一个清晰的认识，下面对每个参数进行详细介绍。

BSSID：表示无线AP的MAC地址。

PWR：网卡报告的信号水平，它主要取决于驱动。当信号值越高时，说明离AP或计算机越近。如果一个BSSID的PWR是-1，说明网卡的驱动不支持报告信号水平。如果部分客户端的PWR为-1，那么说明该客户端不在当前网卡能监听到的范围内，但是能捕获到AP发往客户端的数据。如果所有的客户端PWR值都为-1，那么说明网卡驱动不支持信号水平报告。

Beacons：无线AP发出的通告编号，每个接入点（AP）在最低速率（1Mbit/s）时差不多每秒会发送10个左右的Beacon，所以它们在很远的地方就会被发现。

#Data：被捕获到的数据分组的数量（如果是WEP，则代表唯一Ⅳ的数量），包括广播分组。

#/s：过去10秒钟内每秒捕获数据分组的数量。

CH：信道号（从Beacons中获取）。

MB：无线AP所支持的最大速率。如果MB=11，表示使用802.11b协议；如果MB=22，表示使用802.11b+协议；如果更高，则使用802.11g协议。后面的点（高于54之后）表明支持短前导码。如果出现'e'表示网络中有QoS（802.11 e）启用。

ENC：使用的加密算法体系。OPN表示无加密。WEP?表示WEP或者WPA/WPA2，WEP（没有问号）表明静态或动态WEP。如果出现TKIP或CCMP，那么就是WPA/WPA2。

CIPHER：检测到的加密算法，为CCMP、WRAAP、TKIP、WEP和WEP104中的一个。通常，TKIP算法与WPA结合使用，CCMP与WPA2结合使用。如果密钥索引值大于0，显示为WEP40。标准情况下，索引0～3是40bit，104bit应该是0。

AUTH：使用的认证协议。常用的有MGT（WPA/WPA2使用独立的认证服务器，平时我们常说的802.1x，Radius、EAP等），SKA（WEP的共享密钥），PSK（WPA/WPA2的预共享密钥）或者OPN（WEP开放式）。

ESSID：也就是所谓的SSID号。如果启用隐藏的SSID的话，它可以为空，或者显示为。这种情况下，Airodump-ng试图从Probe Responses和Association Requests包中获取SSID。

STATION：客户端的MAC地址，包括连上的和想要搜索无线信号来连接的客户端。如果客户端没有连接上，就在BSSID下显示not associated。

Rate：表示传输率。

Lost：在过去10秒钟内丢失的数据分组，基于序列号检测。它意味着从客户端来的数据丢包，每个非管理帧中都有一个序列号字段，把刚接收到的那个帧中的序列号和前一个帧中的序列号一减，就可以知道丢了几个包。

Frames：客户端发送的数据分组数量。

Probe：被客户端查探的ESSID。如果客户端正试图连接一个AP，但是没有连接上，则会显示在这里。

根据以上对每个字段的描述，可以知道ESSID列显示的是AP的名称，BSSID列显示的是AP的MAC地址。通过分析以上扫描到的信息，可知开放的无线网络有CU_655w、Test等。