Estoy monitoreando el tráfico 802.11 en mi red, y especialmente el sondeo activo desde mi teléfono inteligente. Estoy enviando Solicitudes de sonda para ciertos SSID ocultos, pero también una Solicitud de sonda no dirigida, que supuestamente revela redes que coinciden con las capacidades anunciadas por mi dispositivo.
Estoy en Europa, así que creo que podemos usar más canales que en los EE. UU. (¿Verdad?) Y, por lo tanto, se superponen.
Como se esperaba, el escaneo se lleva a cabo en diferentes canales, pero lo que me sorprende es este comportamiento:
Una solicitud de sonda no dirigida enviada en el canal 5 es respondida por un AP en el canal 6. ¿Es este comportamiento completamente normal, es decir, definido en alguna parte de las especificaciones oficiales?
EDITAR: Aquí está el contenido de la solicitud y la respuesta de la sonda, baso mi suposición en el conjunto de parámetros DS: canal actual.
La diferencia de tiempo entre los dos cuadros es de 4 ms, y no observé ninguna otra actividad en las olas durante este período de tiempo.
EDITAR: Aquí está el comando que ejecuto con airodump-ng 1.0 airodump-ng -c 6 mon0
y la herramienta de captura muestra balizas provenientes de AP en los canales 2 a 9. Para mí, significa que airodump acepta todos los paquetes visibles en un rango de frecuencia, sin descartarlos de acuerdo con el parámetro de canal actual, tiene sentido por razones de rendimiento.
Si el enrutador tiene el mismo comportamiento para responder a las solicitudes de la sonda ... este puede ser el motivo. (Comenzando a cuestionar la selectividad de los filtros de frecuencia utilizados en nuestros amados enrutadores).
EDITAR 1:
¿Es este comportamiento 1) repetible, podría alguien con un dispositivo en funcionamiento intentar observar esto? 2) especificado en alguna parte de las referencias 802.11? No pude encontrarlo yo mismo.
EDITAR 2:
Gracias a todos hasta ahora que intentaron repetir esta configuración. Aquí está mi último intento de obtener una explicación a esto. Necesito seguir adelante: P Aquí está el orden exacto en que hice las cosas.
root@mymachine:~# iwconfig :: no mon interface, wlan0 is managed, not associated, and on channel 6: 2.437GHz
root@mymachine:~# airmon-ng start wlan0 6 :: mon0 created, set on channel 6: 2.437GHz
Esto lo confirma luego otro iwconfig
. (en una nota al margen, puedo cambiar el canal de wlan0, y mon0 se mantiene independiente).
root@mymachine:~# airodump-ng mon0 --channel 6 -w out --output-format pcap :: start a capture on channel 6, write to a file.
Observación: airodump-ng no muestra ningún cambio en el canal, la esquina superior izquierda está fijada en el número 6. Sin embargo, las balizas observadas en los canales 2 a 11 ... -> Aparentemente no hay selectividad y pasa los argumentos a ambos airmon-ng y airodump-ng parecen inútiles.
Observado con:
CHIPSET Intel 4965 driver iwlwifi
CHIPSET Atheros AR 9271 driver ath9k
Captura de pantalla:
fuente
Respuestas:
Lo que sucede es que su dispositivo inalámbrico, incluso cuando está sintonizado para el canal 6 (2437) también tiene una pequeña probabilidad de recibir tramas de los canales vecinos, como los canales 5 y 7. e incluso más (con menos probabilidad).
Esto depende en gran medida de la interfaz inalámbrica que utilice. La peor radio que encontré fue un adaptador USB basado en AR9170, que fue capaz de captar el tráfico en el canal 1 cuando se activó el canal 6. Algunas otras interfaces (por ejemplo, AR9280) no tienen este problema, o se reduce bastante.
PD: AR9271 no es compatible con el controlador ath9k, sino con el controlador ath9k_htc. Debido a que esta tarjeta parece ser el sucesor natural de AR9170, no me sorprende que experimente el mismo problema.
fuente
Las capturas inalámbricas no son lo mismo que una captura por cable. En una captura por cable, simplemente elige su interfaz y comienza a capturar fotogramas.
Con una captura inalámbrica, usted selecciona su adaptador, pero también debe elegir si va a monitorear un canal o escanear a través de múltiples (o todos) canales. Hay ventajas para ambos y uno necesita entender cuándo usar cada uno.
En su ejemplo, dado que está capturando en dos canales diferentes, está utilizando dos dispositivos de captura diferentes o está capturando mientras escanea canales, pero supongo que está escaneando. Lo que esto significa es que se detiene en un canal durante un período de tiempo, captura el tráfico y luego pasa al siguiente.
Así que aquí es cómo veo que esto probablemente se desarrolle:
Al final, su captura recoge la solicitud de la sonda en el canal 5, pero luego la respuesta de la sonda en el canal 6.
Cada herramienta de captura inalámbrica que he usado le permitirá seleccionar un solo canal para monitorear. Sospecho que si configura esto en el canal 5, recibirá las solicitudes de la sonda sin respuestas. Si configura esto en el canal 6, verá tanto las solicitudes de sondeo como las respuestas.
fuente