本文介绍扫描连接在无线网络中的客户端的方法。

　　1. 使用Airodump-ng工具

　　使用Airodump-ng工具也可以扫描出连接目标AP的客户端。下面具体介绍使用Airodump-ng工具扫描客户端的方法。

　　使用Airodump-ng工具扫描客户端。具体操作步骤如下：

　　（1）设置无线网卡为监听模式。执行命令如下：

　　root@daxueba:~# airmon-ng start wlan0

　　（2）扫描客户端。执行命令如下：

　　root@daxueba:~# airodump-ng wlan0mon

　　CH  8 ][ Elapsed: 19 mins ][ 2021-07-21 17:52

　　BSSID  PWR Beacons #Data,  #/s  CH  MB   ENC  CIPHER  AUTH  ESSID

　　70:85:40:53:E0:3B -38  770  340   0  3  130  WPA2  CCMP   PSK  CU_655w

　　14:E6:E4: 84:23:7A-47  338   0  0  6  270   WPA2  CCMP  PSK  Test

　　08:10:78:75:0F:DD  -58  465  0  0  6  270   WPA2  CCMP  PSK  Netcore

　　C8:3A:35: 5D:2B:90-56  449  47  0  6  270  WPA2  CCMP  PSK  Tenda_5D2B90

　　80:89:17: 66:A1:B8 -59  456  4424  0  11  405   WPA2  CCMP   PSK TP-LINK_A1B8

　　74:7D:24:C1:C4:48  -71  413  0   0  1  130  WPA2  CCMP  PSK  @PHICOMM_46

　　C0:D0:FF: 1B:F2:E0 -80  56   0  0  5  130   WPA2  CCMP  PSK  CMCC-f5CV

　　1C:60:DE:2B:7A:40 -81  314   0   0  11  270   WPA2  CCMP  PSK   MERCURY_7A40

　　BSSID   STATION  PWR   Rate  Lost  Frames  Probe

　　70:85:40:53:E0:3B  1C:77:F6:60:F2:CC  -54   2e- 6  0  272

　　C8:3A:35:5D:2B:90   FC:BE:7B:38:D4:A3  -66   0e- 6e  0   42

　　80:89:17:66:A1:B8   94:D0:29:76:F7:09  -1   0e- 0   0   4417

　　从以上输出信息中可以看到扫描到的无线网络相关信息。通过前面对每个字段的介绍，我们知道STATION列表示客户端的MAC地址。经过分析以上的信息，可以看到MAC地址为1C:77:F6:60:F2:CC的客户端，连接的目标AP的MAC地址为70:85:40:53:E0:3B，SSID名称为CU_655w；MAC地址为FC:BE:7B:38:D4:A3的客户端，连接的目标AP的MAC地址为C8:3A:35:5D:2B:90，SSID名称为Tenda_5D2B90。

　　2. 使用Kismet工具

　　使用Kismet工具不仅可以扫描无线网络，也可以扫描到连接其网络的客户端。下面介绍使用Kismet工具扫描客户端的方法。

　　使用Kismet工具实施网络扫描，在扫描界面即可看到扫描的客户端。其中，扫描AP的界面如图1所示。

　　图1  扫描到的无线网络

　　从图1的第一部分中可以看到扫描到的所有AP。此时，选择任何一个AP，即可看到连接的所有客户端。但是，这里默认是无法选择AP，因此需要设置排序方式。在菜单栏中依次选择Sort|First Seen命令，如图2所示。

　　图2  菜单栏

　　这里选择First Seen命令后，即可对AP进行选择了。例如，这里选择SSID名称为CU_655w的AP，即可显示该AP下的所有客户端，如图3所示。

　　图3  扫描到的客户端

　　从图3中可以看到扫描到的客户端信息。这里共显示了6列，分别表示MAC（MAC地址）、Type（设备类型）、Freq（频率）、Pkts（包数）、Size（包大小）和Manuf（生产厂商）。从Type（类型）列可以看到显示的值有Wired/AP和Wireless。其中，值为Wired/AP表示是AP信息；值为Wireless表示是客户端信息。在该部分中的信息表示，MAC地址为4C:C0:0A:E9:F4:2B和1C:77:F6:60:F2:CC的客户端，连接了MAC地址为70:85:40:53:E0:3B的AP。

　　3. 路由器管理界面

　　通过路由器的管理界面，也可以看到连接的无线网络客户端。在TP-LINK路由器的管理界面可以查看连接的客户端。但是这种方式无法确定哪个主机连接的是无线局域网。此时，通过客户端名可以快速地判断出来，或者进行MAC地址查询。另外，在腾达路由器的管理界面，显示了客户端的连接方式，所以可以快速找到无线客户端。下面进行简单介绍。

　　（1）TP-LINK路由器

　　下面是TP-LINK路由器的客户端连接界面，如图4所示。

　　图4  客户端列表

　　一般情况下，连接无线网络的设备通常是手机、平板、笔记本电脑。正常情况下不会修改这些设备的名称，所以可以根据名称判断出哪个是无线客户端设备。例如，在图4中，客户端名为vivo_Y51的设备，一看就可知道这是一个vivo设备，因此肯定是一个手机。

　　（2）腾达路由器

　　下面来查看下腾达路由器的客户端连接列表。首先，通过浏览器访问该路由器的主页。登录成功后，如图5所示。

　　图5  腾达路由器的管理界面

　　在左侧栏中选择“网速控制”选项，如图6所示。

　　图6  客户端列表

　　从图6中可以看到有一列为“连接方式”，可以看到设备的连接方式是“有线”还是“无线”。从显示结果可知，有两个无线设备，一个有线设备。从“主机名称”列，还可以看到客户端的IP地址和MAC地址。例如，第一个无线设备的IP地址为192.168.0.102，MAC地址为1C:77:F6:60:F2:CC。