Damit mit Wireshark unter Windows Wlan Traffic analysiert werden kann benötigt man einen speziellen Adapter (AirPcap), der auch im Promiscuous Mode (oder Monitor Mode) betrieben werden kann.

Mit Microsoft Network Monitor 3.4 und Windows 7 kann man jetzt auch “normale” Adapter im Monitor Mode betreiben um Wireless Frames zu sniffen.

NetMon

Dazu die entsprechende Version von NetMon herunterladen (x86 oder x64) und installieren.

NetMon öffnen und unter “Select Networks” den Wireless Adapter auswählen. Alle anderen Adapter deaktivieren.

Dann auf “Properties” klicken und die “Scanning Options” konfigurieren.

Der “Monitor Mode” muss aktiviert werden, außerdem kann man den Frequenzbereich sowie den Kanal auswählen. Wählt man keinen Kanal aus, scannt NetMon alle Kanäle.

Mit “Apply” werden die Einstellungen übernommen, das Fenster “Scanning Options” muss man offen lassen, der “Network Interface Configuration” Dialog kann mit “OK” geschlossen werden.

Jetzt kann man auf “New Capture” klicken und mit “Start” einen neuen Trace starten.

Analyse

Die Analyse des Traffics ist mit NetMon etwas ungewohnt, es hilft allerdings sehr wenn man sich von  http://nmparsers.codeplex.com/ die aktuellsten Parser installiert.

Alternativ kann man das Ergebnis aus NetMon als “.cap” Datei speichern und mit Wireshark öffnen.

btw. das funktioniert genauso mit Windows 8 Beta

have fun!

tom