Estoy tratando de determinar si una computadora que captura tramas WLAN en una red 802.11n hace esto correctamente.
Hago esto permitiendo que una computadora (1) genere tráfico descargando algunos archivos y capture ese tráfico generado. La otra computadora (2) captura el tráfico WLAN generado por la computadora (1). Aparentemente solo puedo guardar el tráfico en formato Ethernet en la computadora (1) (aunque se envía a través de mi interfaz inalámbrica). La computadora (2) recibe tráfico en la interfaz del monitor inalámbrico con el tipo de enlace IEEE802_11_RADIO.
Esto funciona hasta cierto punto. Después de un tiempo, la computadora (1) ve lo siguiente (números arbitrarios):
tshark -r /tmp/testcap -Y "eth.dst==[mac NIC] or eth.src==[mac NIC]" | wc -l
da 3757 paquetes.
La computadora (2) ve lo siguiente:
tshark -r /tmp/ctrlcap -Y "wlan.sa==[mac NIC] or wlan.da==[mac NIC] or wlan.ra==[mac NIC] or wlan.ta==[mac NIC]" | wc -l
da 7234 paquetes.
Uno podría imaginar que la cantidad de paquetes sería la misma, pero aparentemente la cantidad de paquetes difiere mucho.
He estado buscando una explicación para esto, y me encontré con algo llamado agregación MSDU ( http://en.wikipedia.org/wiki/Frame_aggregation ). Sin embargo, si entiendo correctamente, esto implicaría que la cantidad de paquetes 802.11 en la computadora (2) sería menor que la cantidad de paquetes Ethernet en la computadora (1), lo cual no es el caso en absoluto.
¿Alguien podría explicar este comportamiento? ¿Sería posible verificar si estoy capturando el número correcto de paquetes de otra manera?
fuente