Quantos bytes de um pacote WLAN tenho que examinar para extrair endereços MAC?

1

Quantos bytes de um pacote 802.11 (WLAN) eu preciso examinar para poder extrair o endereço de origem, destino, receptor e transmissor do cabeçalho?

Esta imagem sugere que o comprimento do cabeçalho de um pacote WLAN é de 20 bytes. No entanto, parece haver um preâmbulo e um cabeçalho PLCP. A visualização de pacotes capturados com o Wireshark revela que há um cabeçalho Radiotap (com 34 ou 37 bytes de comprimento no meu arquivo) e um cabeçalho MAC com mais de 20 bytes.

Quantos bytes (o mínimo absoluto) tenho que capturar para (sempre) poder extrair os quatro endereços MAC no cabeçalho MAC (802.11g / n)?

user2862333
fonte

Respostas:

2

Esta imagem sugere que o comprimento do cabeçalho de um pacote WLAN é de 20 bytes.

Não, sugere que o cabeçalho da WLAN tem 30 bytes. Mais precisamente, ele tem até 30 bytes de comprimento, embora nem todos os pacotes tenham todos os quatro campos de endereço MAC, portanto o cabeçalho pode ser mais curto. (Também pode ser mais longo, com os campos QoS e Controle de 802.11n e posterior HT, mas esses vêm depois dos endereços MAC.)

Portanto, como indica Spiff, você precisa capturar pelo menos 30 bytes para ter certeza de obter todos os endereços MAC.

No entanto, parece haver um preâmbulo e um cabeçalho PLCP.

Aqueles não aparecem na captura.

A visualização de pacotes capturados com o Wireshark revela que há um cabeçalho Radiotap (com 34 ou 37 bytes de comprimento no meu arquivo),

Sim, se seus pacotes tiverem um cabeçalho Radiotap, você precisará capturá-lo, além do cabeçalho 802.11, e o comprimento do cabeçalho Radiotap é, como observa Spiff, dependente do hardware, do driver e da maneira como o pacote é recebido ou transmitido.

Portanto, se for possível, você deve capturar apenas com o cabeçalho 802.11. Isso pode ou não ser possível, dependendo do SO que você está usando (* BSD e OS X devem permitir capturar apenas com cabeçalhos 802.11, o Linux pode permitir que você obtenha cabeçalhos Radiotap).

e um cabeçalho MAC com mais de 20 bytes.

Sim, conforme indicado, o diagrama em questão não sugere que o cabeçalho tenha (no máximo) 20 bytes de comprimento.


fonte
1

Selecione 802.11 como seu tipo de dados de interface (DLT_IEEE802_11) e capture 30 bytes.

Se você realmente deseja capturar a quantidade mínima e capturar de maneira confiável o Endereço 1 ao Endereço 4, não deve usar o tipo de captura de metadados de rádio Radiotap (DLT_IEEE802_11_RADIO) porque é um cabeçalho de tamanho variável. Quanto tempo pode depender do rádio e do driver e de vários aspectos da transmissão e recepção física do pacote.

Spiff
fonte