Endereço MAC estranho na tela do Wireshark

Question

Endereço MAC estranho na tela do Wireshark

#1 resposta do (0 votos)

1

Estou tentando ver os pacotes Wi-Fi (802.11) através do Wireshark.

Estas são as informações da minha interface sem fio:

$ ifconfig
wlan1    Link encap:Ethernet HWaddr c0:f8:da:21:ce:68
         # and so on blahblah

$ iwconfig
wlan1    IEEE 802.11abgn  ESSID:"myAccessPoint"
         Mode:Managed  Frequency:2.432 GHz  Access Point: 00:26:66:C4:80:FC
         #and so on blahblah

Quando executo o Wireshark e altero o modo de wlan1 para "monitor" para usar "802.11 plus radiotap header", ifconfig e iwconfig mostram coisas diferentes:

$ ifconfig
wlan1    Link encap:UNSPEC HWaddr C0-F8-DA-21-CE-68-00-00-00-00-00-00-00-00-00-00
         # and so on blahblah

$ iwconfig
wlan1    IEEE 802.11abgn  Mode:Monitor  Frequency:2.432 GHz  Tx-Power=16 dBm
         # and so on blahblah

(isto é, o endereço do hardware teve dez 00 octetos anexados. E, curiosamente, agora é mostrado com letras maiúsculas em vez de minúsculas.) Eu injetou vários quadros de dados nulos com aireplay-ng e os capturei com o Wireshark (EfmNetwo _... é um ponto de acesso):

Tenho certeza de que e0:99:71:57:9b:3a é um endereço MAC de interface sem fio na minha máquina, já que o conteúdo dos pacotes parece ser o que eu injetei.

O mais estranho é que nunca vi esse endereço MAC em ifconfig e iwconfig . Eu acho que algo como interface virtual é gerada e essa interface tem um endereço MAC.

O que eu disse está correto? Em caso afirmativo, existe outra maneira de ver esse endereço MAC de fora do Wireshark?

Se o que eu disse está errado, alguém poderia explicar um endereço MAC tão estranho?

wireless-access-point wireshark mac-address wireless-networking

por Jeon 04.09.2015 / 10:48

1 resposta

Tags wireless-access-point wireshark mac-address wireless-networking

problema usb, inicialização não concluída; hw ou sw problema? Internet visivelmente mais lenta em um computador enquanto mais rápido em outro conectado ao mesmo roteador

score 0 · Answer 1

And, oddly enough, it is now shown with capital letters instead of lower case.

Isso é completamente irrelevante. As pessoas podem escolher, em seus aplicativos, exibir dígitos hexadecimais com letras maiúsculas ou com letras minúsculas, bem como optar por usar dois pontos ou um traço como um separador entre os octetos; é tudo uma questão do gosto pessoal do desenvolvedor ou das convenções estabelecidas para o software. (Observe que dois comandos do Linux, ifconfig e iwconfig , possuem convenções diferentes - ifconfig usa letras minúsculas para o endereço MAC da interface, enquanto iwconfig usa letras maiúsculas para o endereço MAC do ponto de acesso.)

When I execute Wireshark and change mode of wlan1 to "monitor" in order to use "802.11 plus radiotap header", ifconfig and iwconfig show different things:

Eu consideraria um bug no kernel do Linux ou em ifconfig . Ou o kernel não está reportando o endereço MAC como sendo um endereço MAC no estilo IEEE de 6 octetos simplesmente porque a interface está no modo monitor, o que é completamente tolo, ou está reportando algo que faz sentido mas confunde ifconfig em pensando que não é um endereço MAC no estilo IEEE e está apenas tratando-o como um endereço de hardware de comprimento máximo de tipo desconhecido.

Note que os primeiros 6 octetos são os mesmos de quando você não está no modo monitor, e que mais 10 octetos dão um total de 16 octetos, que é uma potência de 2 (uma escolha comum para tamanhos máximos de campo), então ifconfig é provavelmente de alguma forma (seja devido a um bug no kernel do Linux ou um erro ifconfig ) convencido de que o endereço tem 16 octetos de comprimento e está imprimindo 10 octetos de preenchimento com zeros convenientemente zerados.

Portanto, não se preocupe, seja feliz - no modo de monitoração, o endereço MAC do adaptador ainda é c0: f8: da: 21: ce: 68 ou C0-F8-DA-21-CE-68 ou vários programas podem escolha representá-lo.