3.1 网络监听原理

由于无线网络中的信号是以广播模式发送，所以用户就可以在传输过程中截获到这些信息。但是，如果要截获到所有信号，则需要将无线网卡设置为监听模式。只有在这种模式下，无线网卡才能接收到所有流过网卡的信息。本节将介绍网络监听原理。

3.1.1 网卡的工作模式

无线网卡是采用无线信号进行数据传输的终端。无线网卡通常包括4种模式，分别是广播模式、多播模式、直接模式和混杂模式。如果用户想要监听网络中的所有信号，则需要将网卡设置为监听模式。监听模式就是指混杂模式，下面将对网卡的几种工作模式进行详细介绍。如下所述。

（1）广播模式（Broad Cast Model）：它的物理地址（Mac）是0Xffffff的帧为广播帧，工作在广播模式的网卡接收广播帧。

（2）多播传送（MultiCast Model）：多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收，而组外主机却接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。

（3）直接模式（Direct Model）：工作在直接模式下的网卡只接收目的地址是自己Mac地址的帧。

（4）混杂模式（Promiscuous Model）：工作在混杂模式下的网卡接收所有的流过网卡的帧，通信包捕获程序就是在这种模式下运行的。

网卡的默认工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，一个站点的网卡将接收同一网络内所有站点所发送的数据包。这样，就可以到达对于网络信息监视捕获的目的。

3.1.2 工作原理

由于在WiFi网络中，无线网卡是以广播模式发射信号的。当无线网卡将信息广播出去后，所有的设备都可以接收到该信息。但是，在发送的包中包括有应该接收数据包的正确地址，并且只有与数据包中目标地址一致的那台主机才接收该信息包。所以，如果要想接收整个网络中所有的包时，需要将无线网卡设置为混杂模式。

WiFi网络由无线网卡、无线接入点（AP）、计算机和有关设备组成，其拓扑结构如图3.1所示。

图3.1 WiFi网络拓扑结构

图3.1是一个WiFi网络拓扑结构。在该网络中，正常情况下每个客户端在接收数据包时，只能接收发给自己网卡的数据。如果要开启监听模式，将会收到所有主机发出去的信号。大部分的无线网卡都支持在Linux下设置为混杂模式，但是如果无线网卡的功率小的话，发射和接收信号都比较弱。如果用户捕获远距离的数据包，接收到的信号又强，则建议使用一个功率较大的无线网卡。如拓实G618和拓实N95，都是不错的大功率无线网卡。