por que não estou vendo tráfego usando o TCPDUMP enquanto fareje a interface sem fio com a estação no modo WDS

Question

por que não estou vendo tráfego usando o TCPDUMP enquanto fareje a interface sem fio com a estação no modo WDS

#1 resposta do (0 votos)

4

Eu tenho 2 interfaces sem fio, uma tem o tipo de AP e a outra tem o tipo de monitor.

o AP está ligado a uma ponte br-lan.

Quando eu corro por exemplo:

tcpdump port 5201 -s 0 -ni wlan0

O TCPdump não é capaz de capturar nenhum tráfego, enquanto, se eu o executar sem o filtro "porta 5201", ele captura tudo. A mesma situação, se eu filtrar apenas em "udp", não foi capaz de capturar um único pacote.

e quando eu o executo na interface br-lan usando o filtro exato:

tcpdump port 5201 -s 0 -ni br-lan

funciona perfeitamente como eu quero, mas o problema não consigo obter o cabeçalho radiotap neste caso, já que ele considera a bridge como uma interface Ethernet.

Qual é a solução neste caso? Existe algum formato para especificar para filtrar no tipo de link: IEEE802_11_Radio ?? Existe alguma ferramenta específica para fazer isso com adaptadores sem fio?

Obrigado antecipadamente.

Update

What caused this issue is the WDS (Wireless Distributed System) enabled on the station device (My scenario is: two devices with openwrt in infrastructure mode). As soon as I reconfigured my station device not to use WDS, tcpdump worked correctly as I wanted. Still the real explanation why this happened is unknown.

if someone knows the reason or knows how to filter the traffic in WDS mode, please mention it in the answers since I've lost a feature because of disabling WDS.

wireshark tcpdump linux sniffing wireless-networking

por Alberto 24.04.2015 / 14:57

1 resposta

Tags wireshark tcpdump linux sniffing wireless-networking

O contêiner do Docker não escreve no volume do Amazon EBS Os aplicativos Java Swing roubam / não liberam o foco no KDE

score 0 · Answer 1

Estou pensando que seu tráfego não tem tráfego na porta 5201 ou no tráfego UDP. Quanto ao cabeçalho, o tcpdump tem uma opção "--monitor-mode". Tente isso. Ele deve direcionar uma interface sem fio para o modo monitor, que é o que você vai querer "ver" a informação sem fio.

O fato de o --monitor-mode funcionar depende de várias coisas: sua NIC sem fio precisará suportar o modo monitor, o tcpdump precisa ser de uma versão recente e seus drivers de kernel precisam suportar a NIC adequadamente ( isto é, às vezes você precisa construir um driver específico que não faz parte de uma instalação padrão).

Além disso, dependendo da versão do tcpdump, você pode soltar a parte "-s 0" do seu comando. Se você deixá-lo desligado, o tcpdump tem como padrão um tamanho de snap de 262144 bytes (ok, eu tive que procurar isso). Definir o comprimento de snaplitude como "0" realiza a mesma coisa.