Uma solicitação de análise pode ser respondida em um canal diferente?

19

Estou monitorando o tráfego 802.11 na minha rede e, especialmente, a detecção ativa do meu smartphone. Estou enviando solicitações de investigação para determinados SSIDs ocultos, mas também uma solicitação de investigação indireta, que deve revelar redes correspondentes aos recursos anunciados pelo meu dispositivo.

Estou na Europa, então podemos usar mais canais do que nos EUA, acho (certo?) E, portanto, eles se sobrepõem.

Como esperado, a varredura ocorre em diferentes canais, por sua vez, mas o que me surpreende é esse comportamento:

Uma solicitação de sonda não direcionada enviada no canal 5 é respondida por um AP no canal 6. Esse comportamento é completamente normal, isto é, definido em algum lugar nas especificações oficiais?

EDIT: Aqui está o conteúdo da solicitação e resposta do probe, baseando minha suposição no DS Parameter Set: Current Channel. Foto em i.imgur

A diferença de tempo entre os dois quadros é de 4ms, e eu não observei nenhuma outra atividade nas ondas durante esse período.

EDIT: Aqui está o comando que eu corro com airodump-ng 1.0 airodump-ng -c 6 mon0

e a ferramenta de captura mostra beacons vindos dos APs no canal 2 a 9. Para mim, isso significa que o airodump aceita todos os pacotes visíveis em uma faixa de frequência, sem descartá-los de acordo com o Parâmetro do canal atual, faz sentido por razões de desempenho.

Se o roteador tiver o mesmo comportamento para responder a solicitações de análise ... talvez seja por isso. (Começando a questionar a seletividade dos filtros de frequência usados ​​em nossos amados roteadores.)

EDIT 1:

Esse comportamento 1) é repetitivo? Alguém com um dispositivo em funcionamento pode tentar observar isso? 2) especificado em algum lugar nas referências 802.11? Não foi possível encontrar o meu eu.

EDIT 2:

Obrigado a todos até agora que tentaram repetir esta configuração. Aqui está minha última tentativa de obter uma explicação para isso. Eu preciso seguir em frente: P Aqui está a ordem exata em que eu fiz as coisas.

root@mymachine:~# iwconfig :: no mon interface, wlan0 is managed, not associated, and on channel 6: 2.437GHz
root@mymachine:~# airmon-ng start wlan0 6 :: mon0 created, set on channel 6: 2.437GHz

Isso é confirmado mais tarde por outro iwconfig. (em uma nota lateral, eu posso mudar o canal de wlan0 e mon0 permanece independente.)

root@mymachine:~# airodump-ng mon0 --channel 6 -w out --output-format pcap :: start a capture on channel 6, write to a file.

Observação: o airodump-ng não exibe nenhuma alteração no canal, o canto superior esquerdo está fixo no número 6. No entanto, os beacons observados nos canais 2 a 11 ... -> Aparentemente, não há seletividade e passam os argumentos para o airmon-ng e airodump-ng parecem inúteis.

Observado com:
CHIPSET Driver Intel 4965 iwlwifi
CHIPSET Driver Atheros AR 9271 ath9k

Captura de tela: captura de tela

wireless ieee-802.11 olamotte
fonte
Boa pergunta ... FYI, nos canais de US 802.11b / g 1, 6 e 11 são os canais único não-sobrepostas
Mike Pennington
@ MikePennington obrigado pela confirmação.
9133 olamotte
2
Você está fazendo especificamente com que o dispositivo envie sondas no canal 5? Caso contrário, um dispositivo analisará todos os canais e ouvirá as respostas nesses canais (menos de 100 ms). Só posso pensar que seria a razão pela qual você está recebendo respostas no canal 6. (Isso acontecerá mesmo se o cartão está definido para utilizar um canal específico, suas obras apenas como sondagem)
Artanix
@Artanix Entendo que a placa envia solicitações de sondagem em todos os canais, mas por sua vez, e as vejo: estou me perguntando se posso ter perdido alguns pacotes durante a captura. Vou fazer o upload de uma captura de tela do wireshark.
11333 olamotte
Muito interessante. O atraso entre os canais não é tão grande, mas se definitivamente está acontecendo do jeito que você está sugerindo. Então eu diria que você respondeu sua própria pergunta como "sim";) Eu não tenho uma placa sem fio que funcione com o wireshark ainda, então não posso me testar.
Artanix

Respostas:

6

O que acontece é que seu dispositivo sem fio, mesmo quando sintonizado no canal 6 (2437), também tem uma pequena probabilidade de receber quadros de canais vizinhos, como os canais 5 e 7. e ainda mais (com menos probabilidade).

Isso depende muito da interface sem fio usada. O pior rádio que encontrei foi um adaptador USB baseado em AR9170, capaz de captar tráfego no canal 1 quando ativado no canal 6. Algumas outras interfaces (por exemplo, AR9280) não apresentam esse problema ou são bastante reduzidas.

PS: AR9271 não é suportado pelo driver ath9k, mas pelo driver ath9k_htc. Como este cartão parece ser o sucessor natural do AR9170, não estou surpreso que você tenha o mesmo problema.

BatchyX
fonte
Portanto, é um problema de seletividade: obrigado por compartilhar sua experiência com esse fenômeno.
Olamotte 12/08/2013
Finalmente encontrei uma explicação em um white paper de 2004 por Devin Akin chamado "Ripple de proteção no WLAN ERP 802.11". Demonstrada é a capacidade de um ponto de acesso no canal 1 de ouvir sinais de um ponto de acesso no canal 11. Veja na página 5; cwnp.com/cmsAdmin/uploads/... eu ainda estou confuso sobre o porquê da AP iria pegar um sinal tão longe na banda de frequência ...
olamotte
@olamotte: Esta é apenas uma mudança de 50/2412 = 2% de frequência ...
BatchyX
@BachyX E eu concordo com você, esses 50MHz são toleráveis. Minha pergunta é sobre a decisão de ouvir sinais (interpretar / processar) que não são transmitidos no canal em que o dispositivo está configurado para operar. A seleção automatizada de canais para o AP operar não precisa dessa IMO.
21714 olamotte
6

As capturas sem fio não são iguais a uma captura com fio. Em uma captura com fio, basta escolher sua interface e começar a capturar quadros.

Com uma captura sem fio, você seleciona seu adaptador, mas também precisa escolher se deseja monitorar um canal ou procurar em vários (ou todos) canais. Existem vantagens para ambos e é preciso entender quando usar cada um.

No seu exemplo, como você está capturando em dois canais diferentes, você está usando dois dispositivos de captura diferentes ou está capturando enquanto está pesquisando canais, mas presumo que você esteja pesquisando. O que isso significa é que ele pára em um canal por um período de tempo, captura o tráfego e depois passa para o próximo.

Então, aqui está como eu vejo isso provavelmente acontecendo:

  1. O dispositivo de captura inicia o monitoramento no canal 5.
  2. O dispositivo cliente envia a solicitação de análise no canal 5.
  3. O dispositivo cliente move-se para o canal 6 e envia a solicitação de análise.
  4. O dispositivo de captura se move para o canal 6 e inicia o monitoramento.
  5. O AP envia a resposta da sonda no canal 6.

No final, sua captura captura a solicitação de sonda no canal 5, mas a resposta da sonda no canal 6.

Toda ferramenta de captura sem fio que eu usei permitirá que você selecione um único canal para monitorar. Eu suspeito que, se você definir isso no canal 5, receberá as solicitações do probe sem respostas. Se você definir isso no canal 6, verá as solicitações e as respostas do probe.

YLearn
fonte
Vou tentar reproduzir a instalação e ver o que acontece. Eu estava usando airodump-ng com sua opção de canal, poderia haver um erro silencioso que não me disse isso. Concordo, não devo ver as solicitações do probe em outros canais, mas como os dispositivos estão realmente próximos um do outro (algumas polegadas) no meu escritório, acho estranho. Vou checar. Por enquanto, pela sua resposta, entendo que o APS responde apenas no canal atribuído e não se anuncia em canais próximos. Obrigado.
11133 olamotte
Pode ser possível ter o cenário que você fornece (os canais se sobrepõem e algum tráfego será compreensível onde as subportadoras se sobrepõem); no entanto, sua captura (se estiver em um canal) não deve indicar que está capturando em dois canais.
YLearn
Forneci os parâmetros airmon-ng que digito ... Culpar o software parece um pouco fácil, e reformulei minha pergunta inicial: esse comportamento é 1) repetível? Alguém com um dispositivo de trabalho pode tentar observar isso 2) especificado em algum lugar as referências 802.11? Não foi possível encontrar o meu eu.
11133 olamotte