监控模式接口上的 tcpdump - 未捕获任何内容

Question

我一直在使用 tcpdump（版本 4.1.1）尝试从 监控模式界面由 airmon-ng 设置。我说“尝试”是因为到目前为止还没有发生任何事情。这很奇怪：

tcpdump -i mon0

上面的命令工作正常。我看到所有信标和探测请求以及所有其他可以想象到的帧都显示在我的屏幕上。 将输出写入捕获文件时，

但是，当我尝试使用tcpdump -i mon0 -w captures.cap

绝对不会捕获任何内容，包括包含 的第 3 层数据包实际数据。当我杀死 tcpdump 时，它给我

捕获了 13507 个数据包
过滤器收到 13507 个数据包
内核丢弃了 0 个数据包

（在本例中 13507 是任意数字）和一个完全空的捕获文件。

但是，当我在同一接口上使用 tshark 或wireshark 执行捕获时，帧会被捕获到文件中，没有任何问题。

我更喜欢使用 tcpdump 而不是wireshark，因为它没有 GUI 的开销，并且具有“-z”选项，允许我获取捕获文件并将其传递给 shell 脚本，然后将其复制到另一台计算机在我的网络上。 tshark 或wireshark 没有类似的功能，我非常希望避免编写程序来检查捕获文件是否存在。

我对 tcpdump 的工作方式是否有根本性的误解，或者这里肯定发生了一些奇怪的事情？是否有更好的方法来完成我正在做的事情，或者我是否必须编写自己的基于 libpcap 的捕获程序？

Answer 1

你试过airodump-ng吗？

不确定它是否使用 libpcap 作为捕获库，但使用 pcap 文件格式，并且有许多用于通道选择、bssid 过滤等的选项。

Answer 2

看起来确实有些不对劲。在我的 Ubuntu 上，以下内容运行良好。

sudo tcpdump -w ./test.cap

也许你可以试试

sudo tcpdump -U -w ./test.cap

JP