Sim, sei capturar o tráfego sem fio de que você realmente precisa para ativar o modo monitor, por isso, não dirija a discussão dessa maneira. Estou perguntando sobre o comportamento incomum (pelo menos para mim) que foi observado quando você captura sem o modo monitor ativado.
Esta questão surgiu em Falha do servidor onde alguém perguntou sobre a falta de cabeçalhos Ethernet 802.3 ao capturar o tráfego sem fio no modo monitor com o Wireshark. Com meu histórico de rede, eu sabia que não deveria haver cabeçalhos 802.3 no tráfego 802.11. Mas o usuário forneceu screenshots de ambos, então fiquei curioso.
Eu mesmo testei isso (Ubuntu 14.04LTS c / Intel Advanced-N 6200) e parece ser verdade. Quando eu capture sem o modo monitor ativado, em vez dos cabeçalhos esperados do 802.11, recebo 802,3 cabeçalhos no tráfego. Eu não testei em outros sistemas operacionais para ver se é verdade lá ou não, mas imaginei que pediria para ver se alguém tinha uma explicação.
Alguém pode explicar por que esse é o caso do Ubuntu?
O driver ou a interface sem fio fazem a ponte para o tráfego 802.3 antes de entregá-lo ao kernel por algum motivo? Ou alguma outra coisa está acontecendo?