（无线抓包网卡的安装方式可移步知了社区查看：

https://zhiliao.h3c.com/Theme/details/17144）

PS:相应的抓包网卡需要支持对应的802.11协议才能采集到空口的报文交互。网卡直接插上电脑为普通无线网卡接入模式，安装sniffer嗅探模式驱动才可用来抓包。

识别网卡驱动

打开omnipeek 软件，选择“New Capture”弹出对话框，选择左侧“Adapter”查看抓包网卡是否已识别，有红色标记的网卡即为已识别的抓包网卡。

一、关键原因分析

1. 抓包时机与过滤器配置错误

• 抓包未在ping发起前生效：Omnipeek等抓包工具仅记录过滤器启用后的新流量，若先执行ping再开启抓包，历史ICMP数据不会被回溯捕获。
• 过滤器未正确包含ICMP：
  • 未勾选"ICMP"协议类型（仅保留ARP/DNS等过滤条件）；
  • 错误启用了BPF（Berkeley Packet Filter）规则，例如仅过滤特定MAC地址或端口，而ICMP无需端口。
• 解决方案：
  • 清空事件列表后，先设置过滤器仅保留ICMP，再发起ping；
  • 检查Omnipeek的Edit Filters中是否明确勾选了ICMP协议类型。

2. 无线环境中的路径不对称问题

• 请求与响应路径分离：
  • 无线客户端（STA）发送的ICMP Echo Request可能通过当前信道传输，但响应（Echo Reply）可能由其他AP或信道返回（如802.11k/v/r协议触发的快速漫游）。
  • 若抓包点仅监控单一AP的信道，而目标设备切换了AP或信道，响应包将无法被捕获。
• 解决方案：
  • 在所有可能的AP信道上同步抓包，或使用支持信道轮询（Channel Hopping）的模式；
  • 通过traceroute -I验证路径是否对称（对比请求与响应的跳数）。

3. ICMP协议被系统或设备特殊处理

• 操作系统级ICMP限速：
  • 主流系统（如Linux/Windows）默认对ICMP Echo Reply限速（例如Linux的net.ipv4.icmp_ratelimit参数），导致部分响应被内核直接丢弃而非转发至空口。
  • ping显示通是因为至少部分响应成功，但限速机制使部分ICMP包未进入无线传输层。
• 无线设备优化机制：
  • 企业级AP可能对低优先级ICMP流量降级处理（如延迟响应或合并传输），导致空口抓包时序与ping结果不一致。
• 解决方案：
  • 在目标主机执行sysctl net.ipv4.icmp_ratelimit（Linux）检查限速阈值；
  • 临时关闭限速：sysctl -w net.ipv4.icmp_ratelimit=0（仅测试用）。

二、排查步骤建议

1. 验证抓包配置

• 确保Omnipeek的抓包接口为无线网卡的监控模式（Monitor Mode），且状态显示Up。
• 过滤器设置：
  • 仅保留ICMP协议类型；
  • 禁用所有其他过滤条件（如MAC地址、端口），避免误过滤。
• 重新执行测试：
  • 清空事件列表 → 设置过滤器 → 立即发起ping → 观察抓包结果。

2. 确认ICMP流量实际存在

• 在源主机本地抓包（如Wireshark监听有线网卡）：
  • 若本地能捕获ICMP包，说明问题在无线传输层；
  • 若本地也无ICMP包，则问题在主机协议栈（如ICMP限速或防火墙）。
• 检查目标主机是否主动丢弃ICMP请求：
  • Linux：sysctl net.ipv4.icmp_echo_ignore_all（值为1表示禁ping）；
  • Windows：确认防火墙规则中"文件和打印机共享(回显请求-ICMPv4-In)"已启用。

3. 排除无线环境干扰

• 信道稳定性：
  • 使用WiFi分析工具确认当前信道无强干扰（如邻频信号导致丢包）；
  • 尝试固定信道（关闭自动切换），避免抓包期间信道变动。
• 信号强度：
  • 若目标设备信号弱（如RSSI < -70dBm），可能仅部分数据包成功传输，导致ICMP响应丢失。

三、典型误判场景

• "ping通=ICMP包必然可见"的误区：
  ping成功仅需部分ICMP请求/响应可达，而抓包需完整捕获所有交互。若因限速、路径不对称或抓包时机问题丢失部分包，ping仍可能显示通，但抓包不全。
• 无线协议栈的优化行为：
  现代AP可能将多个ICMP响应合并传输或延迟发送，导致空口抓包时序与ping结果不一致，但用户无感知。

Omnipeek 空口抓不到 ICMP 包，但 ping 正常通、信道选对了，核心原因逐条排查

一、最常见核心原因（90% 都是这几个）

1. 无线网卡没开监听模式（Monitor Mode）

• 没切监听：只能看到 Beacon、Probe 这些管理帧，看不到 ICMP 数据帧，但业务 ping 正常。
• 解决：网卡支持监听模式，在 Omnipeek 里手动切换 Monitor Mode，锁定对应信道。

2. 抓到的是加密后的密文帧

• 现象：有大量数据帧，但协议栏看不到 ICMP，ping 正常。
• 解决：
  1. Omnipeek 导入 WiFi PSK 密钥，开启 WPA2 解密；
  2. 或临时改成开放无加密 WiFi测试，立刻就能抓到明文 ICMP。

3. 终端和 AP 是5G/2.4G 频段错位

• 排查：看终端 WiFi 实际连接的频段 + 信道，Omnipeek 抓包网卡切到同频段同信道。

二、组网转发层面原因

4. 报文走了有线转发，不走空口

• 同 AP 下终端互 ping：部分 AP本地转发才走空口；
• AP 开启集中转发 / 隧道转发，ICMP 直接从 AP 走有线上联，空口不会发出 ICMP 报文，Omnipeek 抓不到，但 ping 正常通。

5. 开启了802.11ax/HT/VHT 高速聚合

三、Omnipeek 配置问题

1. 过滤器写错：误加了过滤规则，把 ICMP 屏蔽了，清空所有过滤再抓；
2. 网卡硬件不支持对应带宽（20M/40M/80M），抓包丢帧、漏数据帧；
3. 只抓了管理帧 / 控制帧，没勾选数据帧捕获选项。

快速定位排查步骤（按顺序来）

1. 确认网卡已切Monitor 监听模式（必做）；
2. 核对终端实际连接频段 + 信道，和抓包完全一致；
3. 导入 WiFi 密码开启 WPA 解密，看是否解析出 ICMP；
4. 临时改成无密码开放 WiFi重抓，有 ICMP 就是加密解密问题；
5. 排查 AP 是本地转发还是隧道集中转发。