Дополнительные главы
Мониторинг сетей 802.11n/ac/ax/be
Несмотря на схожесть технологий 802.11a/b/g и 802.11n/ac/ax/be/, в сетях 802.11n/ac/ax/be есть некоторые особенности, которые нужно учитывать при мониторинге. Без углубления в технические аспекты стандартов (они доступны для ознакомления в интернете), эта глава рассматривает наиболее эффективные способы мониторинга и требования к оборудованию для сетей 802.11n, 802.11ac, 802.11ax и 802.11be.
Совместимость адаптеров
Захват пакетов определенного стандарта требует наличия адаптера соответствующего или более нового стандарта. Например, захват пакетов стандарта 802.11ас требует наличия адаптера 802.11ас или 802.11ax. Вы не можете производить захват пакетов стандарта 802.11ac, используя адаптер стандарта 802.11n. Список совместимых адаптеров можно найти на странице загрузки CommView for WiFi на нашем веб-сайте. В зависимости от конфигурации анализируемой беспроводной сети 802.11n/ac/ax/be, к адаптеру могут быть применимы дополнительные требования. Такие требования подробно описаны ниже.
MIMO, пространственные потоки и Transmit Beamforming
Использование MIMO и технологии Transmit Beamforming (формирование диаграммы направленности) в сетях 802.11n/ac/ax/be – серьезные испытания для беспроводных анализаторов. Такие сети создают очень сложную адаптивную диаграмму мощности сигнала с уклонами и подъемами, иногда составляющими всего несколько сантиметров в объеме. Так как устройство мониторинга пассивно, беспроводная сеть никаким образом не адаптирует сигнал, поскольку просто "не видит" устройство, которое ведет мониторинг. Кроме того, сигнал, передаваемый несколькими антеннами и с высокими PHY-рейтами, сложно перехватить без ошибок CRC. Вышесказанное означает, что, как правило, вам следует быть готовым к значительно большему количеству (в процентном соотношении) поврежденных фреймов в сетях 802.11n/ас/ax/be по сравнению с более старыми сетями 802.11a/b/g. Это не будет являться проблемой при общем контроле работы беспроводной сети или измерении силы сигнала отдельных устройств, однако если вы анализируете отдельные TCP-потоки или занимаетесь низкоуровневыми проблемами (на уровне пакетов), это может быть затруднительным при значительном количестве поврежденных фреймов.
Для уменьшения влияния этих факторов, специфичных для сетей 802.11n/ac/ax/be, рассмотрите следующие варианты:
- Найдите наилучшее местоположение ноутбука с запущенной программой CommView for WiFi. Поворачивая или передвигая ноутбук даже на небольшое расстояние (несколько сантиметров), можно очень сильно улучшить или ухудшить качество принимаемого сигнала. Более того, даже положение вашего тела или поднятая рука могут влиять на количество CRC-ошибок.
- Убедитесь, что беспроводные устройства работают не на максимальной скорости. Успешный перехват пакетов на скоростях 100Мб/c и ниже намного более вероятен, нежели при максимальной скорости передачи данных. Хотя на первый взгляд это противоречит интуиции, если ваш ноутбук для мониторинга находится рядом с точкой доступа, удаление клиентов от точки доступа на несколько метров улучшит, а не ухудшит качество мониторинга. Клиент стандарта 802.11ax, расположенный на расстоянии метра или двух от точки доступа, скорее всего, будет передавать и получать пакеты на скорости 720 или 866 Мбит/c, в то время как тот же клиент, удаленный на пять метров, снизит скорость до примерно 200 Мбит/c, что, с точки зрения мониторинга, гораздо лучше.
Важно помнить о том, что возможности вашего адаптера в плане количества поддерживаемых пространственных потоков должны превышать или соответствовать возможностям анализируемой беспроводной сети. Другими словами, вы не сможете перехватить пакеты, посылаемые трехпоточной точкой доступа трехпоточному клиенту, используя адаптер, который поддерживает только один или два пространственных потока (но вы можете перехватывать, например, пакеты, посылаемые от двухпоточной точки доступа к двухпоточному клиенту, используя трехпоточный адаптер). Число поддерживаемых пространственных потоков легко определить, если просмотреть спецификацию адаптера. Например, для устройств стандарта 802.11ac, максимальная поддерживаемая скорость 433 Мбит/с означает однопототочный адаптер, 876 Мбит/с означает двухпототочный адаптер, 1300 Мбит/с означает трехпототочный адаптер.
Технология Channel Bonding (связывание каналов) в диапазоне 2,4 ГГц
В современных беспроводных сетях скорость передачи данных может быть опционально увеличена путем связки двух каналов по 20 МГц за счет технологии Channel Bonding (связки каналов), что дает возможность работы в режиме 40 МГц, т.е. этот режим использует более широкие полосы частот (в сравнении с режимом 20 МГц для 802.11a/b/g сетей). И хотя технически одновременный перехват двух каналов не является проблемой для сетевого анализатора, оборудованного адаптером 802.11n/ac/ax, важно обратить внимание на регуляторную область (regulatory domain) используемого оборудования, которая накладывает ограничения на использование частот.
Вкратце, при режиме работы в 40 МГц, частота вторичного канала зависит от частоты первичного. Например, выбор канала №1 означает, что первичный 20-мегагерцовый канал будет работать на частоте канала №1, а вторичный 20-мегагерцовый канал будет работать на частоте канала, расположенного на четыре уровня выше первичного, т.е. на частоте пятого канала. При работе с "высокими" каналами, например 10, или 11, добавление четверки к номеру канала будет означать, что частота вторичного канала выйдет за пределы: в США, например, наибольший номер канала в 2,4 ГГц-диапазоне - 11; в большинстве европейских стран - 13. В этих случаях вторичный канал использует частоту, которая находится в нижнем диапазоне по сравнению с частотой первичного канала. Например, выбор канала №10 на вашем оборудовании будет означать, что первичный 20Мгц-канал будет работать на частоте десятого канала, а вторичный 20-мегагерцовый канал будет работать на частоте канала, который меньше первичного на 4 позиции, т.е. на частоте шестого канала.
Инженер по беспроводным сетям, работающий в различных регионах мира, может столкнуться с проблемой, когда региональные ограничения его оборудования могут не совпасть с ограничениями беспроводной сети, которую нужно проанализировать. Например, беспроводная сеть, расположенная на территории Германии и работающая на канале №9, будет использовать "связку" каналов №9 и №13. В то же время, для адаптера беспроводной сети, купленного в Канаде, вторичным каналом в этой ситуации должен быть канал №5. По этой причине при мониторинге вышеуказанной сети адаптер просто "не увидит" 40-мегагерцовые потоки данных в беспроводном анализаторе. Для разрешения этой ситуации мы рекомендуем приобретать оборудование с идентичными ограничениями, либо же включить Втор. канал ниже первичного в режиме 40 MГц на панели Захват в главном окне программы. Когда эта настройка включена, частота вторичного канала, используемая адаптером, будет ниже частоты первичного канала, даже если это не требуют региональные установки адаптера.
Обратите внимание, что некоторые адаптеры, поддерживаемые CommView for WiFi, такие как адаптеры на основе чипсетов Broadcom, не поддерживают связывание каналов и могут перехватывать пакеты только на каналах 20 МГц. Подробно об этом можно прочитать в Технической информации. Мы рекомендуем выбирать один из адаптеров с пометкой "Рекомендуем к использованию", указанных на странице загрузки. Эти адаптеры поддерживают технологию связывания каналов.
Технология Channel Bonding в диапазоне 5 ГГц и 6 ГГц
Технология Channel Bonding в диапазоне 5 ГГц и 6 ГГц похожа на Channel Bonding в диапазоне 2,4 ГГц, но число связываемых каналов может доходить до восьми в сетях 802.11ac/ax или до шестнадцати в сетях 802.11be, что означает, что ширина канала может достигать 320 МГц. В отличие от диапазона 2,4 ГГц, наборы связываемых каналов в диапазоне 5/6 ГГц строго ограничены стандартом. Например, при режиме работы в 40 МГц канал №52 всегда связан с каналом №56 и не может быть связан с каналом №48. По этой причине опция Втор. канал ниже первичного в режиме 40 MГц игнорируется, когда вы проводите захват каналов в диапазоне 5 ГГц с помощью рекомендованного адаптера; адаптер автоматически выбирает корректный набор каналов. Например, если вы выбираете канал №36, адаптер будет проводить захват на 80-мегагарцевом канале (каналы с 36 по 48). При этом, в данном примере пакеты, пересылаемые с использованием 20-мегагерцевого канала, будут видны только если они пересылаются по каналу №36. Иными словами, если вы проводите мониторинг точки доступа 802.11ac/ax, которая сконфигурирована таким образом, чтобы использовать каналы с 36 по 48, при этом первичным каналом является канал №36, вы увидите beacon-пакеты и пересылаемые 80-мегагерцевые потоки данных, если вы проводите захват данных на канале №36; но если вы проводите захват данных на каналах №40, №44 или №48, вы увидите только 80-мегагерцевые потоки данных (и никаких beacon-пакетов).
Кодирование BCC и LDPC
На уровне аппаратного обеспечения пакеты стандарта 802.11n/ac/ax/be кодируются с применением технологий BCC (Binary Convolutional Code - двоичный сверточный код) или LDPC (Low Density Parity Check - код малой плотности с контролем по чётности). BCC является методом кодирования по умолчанию, который использует большинство устройств стандарта 802.11n. LDPC является опциональным методом кодирования, который поддерживают большинство современных устройств. Когда устройство ассоциируется с точкой доступа, элемент HT Capabilities Info в пакетах association request и association response определяет использование одного из двух методов кодирования. Например, если используется дефолтный метод BBC, HT Capabilities Info содержит поле "HT LDPC coding capability: Transmitter does not support receiving LDPC coded packets". Если анализируемая беспроводная сеть использует кодирование LDPC, ваш адаптер должен также поддерживать этот метод кодирования, иначе пакет, передаваемый HT-рейтах в одном или обоих направлениях, будет утерян или поврежден. Захват пакетов с кодированием LDPC поддерживается всеми рекомендованными моделями адаптеров стандарта 802.11ac/ax/be.
Ошибки CRC и ICV
Ошибки CRC
Каждый пакет беспроводной сети состоит из следующих компонент:
- MAC-заголовок, в который включена информация о длительности, адресе и контроле последовательности.
- Тело пакета переменной длины, где содержится информация для данного типа пакета.
- Контроль последовательности (FCS), содержащий 4-байтовый циклический избыточный код (CRC).
Последний компонент, FCS, используется на принимающей стороне для проверки целостности пакета. Принимающий компьютер вычисляет значение CRC из принятого пакета и сравнивает его со значением, указанным в последних четырех байтах принятого пакета. Если значения не совпадают, пакет считается поврежденным.
Правила управления поврежденными пакетами задаются пользователем. По умолчанию такие пакеты игнорируются программой, за следующими исключениями:
- Они увеличивают счетчики пакетов и байтов.
- Они увеличивают счетчики ошибок CRC в закладке Каналы.
- Они включены в график размера пакетов окна Статистики.
Поврежденные пакеты не учитываются в других частях программы и таблицах по очевидной причине: ни одна часть пакета с неверным значением CRC не может считаться достоверной. Такой пакет может содержать совершенно неверный IP-адрес, искаженные данные и т. д., хотя в реальных ситуациях такие пакеты часто довольно близки по содержимому к оригиналу. По этой же причине ошибки CRC не могут быть привязаны к конкретным беспроводным точкам доступа или станциям, поскольку невозможно определить реальный MAC-адрес отправителя.
Несмотря на это, пользователь может включить опцию Показывать поврежденные пакеты в установках программы – в этом случае поврежденные пакеты будут показаны в списке пакетов. По умолчанию такие пакеты отмечены красным и в колонке Ошибки закладки Пакеты указан тип ошибки – CRC.
Важно понимать, что пакет с ошибкой CRC, принятый CommView for WiFi, мог быть принят узлом назначения без ошибки. Несмотря на то, что полагается игнорировать поврежденные пакеты узлом назначения, CommView for WiFi попытается декодировать и даже расшифровать такие пакеты.
Не все беспроводные адаптеры способны передавать поврежденные пакеты на уровень приложения. Такая функция гарантируется только для рекомендованных нами адаптеров, поддерживаемых CommView for WiFi.
Ошибки ICV
Значение контроля целостности (ICV) – это четырехбайтовая контрольная сумма, используемая в WEP- и WPA-шифрованных пакетах для сверки результата расшифровывания. Принимающая сторона вычисляет значение ICV исходя из фрагмента данных принятого пакета и сравнивает вычисленное значение с последними 4 байтами. Если значения не совпадают, расшифровывание считается неудавшимся.
Если пользователь ввел корректные ключи WEP/WPA, CommView for WiFi сможет выполнять расшифровывание WEP и WPA "на лету". Информация, связанная с ICV, показывается в колонке Ошибки закладки Пакеты. Учет программой ошибок ICV зависит от введенного ключа, а также от его правильности. Возможны три случая:
- Введенный ключ является верным для данной беспроводной сети.
- Введенный ключ не является верным для данной беспроводной сети.
- Ключ не введен.
В первом случае программа сообщит об очень небольшом количестве ошибок. Во втором случае все перехваченные пакеты будут идти с признаком ошибки ICV, поскольку в случае ввода неверного ключа вычисленные и фактические значения ICV не совпадут. В третьем случае ошибок ICV не будет, поскольку программа даже не попытается расшифровывать пакеты.
Как уже объяснялось выше, в отличие от "аппаратных" ошибок CRC, ICV-ошибки являются "программными", т.к. зависят от ключа для расшифровывания. Ваша беспроводная сеть может работать совершенно нормально, но если в программе вы ввели неверный WEP-ключ, вы увидите множество ошибок ICV. Пакеты с ошибками ICV будут показаны тем же цветом, что и другие пакеты. Цвет можно всегда изменить в настройках программы.
Если в пакете обнаружена ошибка CRC, то обнаружение ошибки ICV не имеет смысла. Поэтому CommView for WiFi никогда не устанавливает флаг ошибки ICV, если до этого была найдена ошибка CRC.
Расшифровывание WPA
Как уже упоминалось в данной справке, CommView for WiFi может расшифровывать WEP- и WPA/WPA2-трафик "на лету". Чтобы воспользоваться этими функциями, вам потребуется хорошее понимание принципов криптографии.
WEP (Wired Equivalent Privacy) – это механизм, используемый для обеспечения защиты данных в беспроводных сетях. WEP дает возможность администратору определять набор ключей (или один ключ) для беспроводной локальной сети. Эти ключи распределяются между клиентами и точками доступа и используются для шифрования данных до их передачи. Если у клиента нет нужного ключа WEP, то он не сможет расшифровать принятые пакеты, а также не сможет отправить данные другим клиентам. Такой подход служит для предотвращения несанкционированного доступа к сети и подслушивания. Если у вас есть нужный ключ, то расшифровывание WEP – процесс простой. WEP является статической системой без изменения состояния. Это означает, что если вы ввели правильный ключ в диалоге ключей WEP/WPA, CommView for WiFi сможет сразу начать расшифровывать пакеты.
WPA (Wi-Fi Protected Access) создан как замена менее безопасному стандарту WEP. В WPA исправлено много "дыр" в безопасности, найденных в WEP: уровень защиты данных и контроль доступа к беспроводным сетям существенно улучшены. В отличии от WEP, WPA является динамической системой с периодическим обновлением ключей, уникальными ключами для каждой станции и другими мерами повышения безопасности. WPA включает в себя два режима – PSK и Enterprise, которые отличаются между собой по нескольким параметрам. CommView поддерживает расшифровывание WPA и WPA2 в режиме PSK.
Из-за динамической сущности процесса WPA-шифрования знания одного лишь пароля WPA недостаточно для мгновенного начала захвата пакетов сразу после ввода пароля. Для расшифровывания WPA-трафика CommView должен принимать пакеты во время фазы обмена ключами (обмен ключами осуществляется по протоколу EAPOL). Очень важно, чтобы все пакеты EAPOL были успешно перехвачены. Если пакет EAPOL будет отсутствовать или будет поврежден, CommView for WiFi не сможет расшифровать принимаемые/отправляемые пакеты и может потребоваться перехват следующей сессии между точкой доступа и станцией. Это является важным отличием в процессе расшифровывания WEP и WPA.
Вышеописанные принципы означают, что когда вы ввели пароль WPA, закрыли диалог ввода ключей WEP/WPA и начали перехват пакетов, вам нужно будет подождать следующего обмена ключами, прежде чем программа сможет расшифровывать пакеты. Вполне типична ситуация, когда программа может расшифровать принятые/переданные пакеты от одного клиента, но не может от другого, поскольку программа еще не перехватила EAPOL-пакеты для всех клиентов.
Реассоциация клиента может быть выполнена с помощью модуля Реассоциации узлов, либо перезапуском точки доступа (реассоциация для всех авторизованных станций), либо переподключением к сети (реассоциации для одного клиента).
Обратите внимание, что трафик, шифрованный WPA3, не может быть расшифрован. Стандарт WPA3 использует пароль только для аутентификации; расшифровывание невозможно.
Уровень сигнала
Уровень радиосигнала обычно измеряется в процентах или в dBm (мощность в децибелах, отнесенная к одному милливатту). По умолчанию CommView for WiFi показывает уровень сигнала в dBm. Показатель в 100% соответствует уровню сигнала в -35 dBm и выше, т. е. -25 dBm и –15 dBm будут показаны как 100%, поскольку уровень сигнала очень высок. Показатель в 1% соответствует уровню сигнала в -95 dBm. В интервале от -95 dBm до -35 dBm процентная шкала является линейной, т. е. 50% соответствует -65 dBm.
Если вы предпочитаете показания в процентах, то вы можете задать это через опцию Показывать уровень сигнала в dBm в меню Настройка => Установки => Декодер. Когда включена опция Показывать уровень сигнала в dBm, уровень сигнала в закладках Узлы, Каналы и Пакеты. В дереве декодирования пакетов уровень всегда показан как в процентах, так и в dBm.
Захват пакетов A-MPDU and A-MSDU
Стандарты 802.11n, 802.11ac и 802.11ax позволяют осуществлять одномоментную посылку двух и более фреймов (кадров) путем объединения фреймов в один большой кадр. Существуют две формы агрегации фреймов: Aggregated Mac Protocol Data Unit (A-MPDU) и Aggregated Mac Service Data Unit (A-MSDU). CommView for WiFi поддерживает оба типа агрегированных пакетов, более подробно о которых рассказано ниже.
Принятые фреймы A-MPDU разделяются на отдельные пакеты на уровне "железа". Размеры таких фреймов могут достигать 64 Кбайт. При захвате фрейма A-MPDU он передается на уровень приложения как набор дезагрегированных пакетов, которые выглядят как любые другие пакеты и никаким образом дополнительно не выделяются в интерфейсе CommView for WiFi. Поддержка A-MPDU обязательна для современных стандартов, и они получили широкое распространение. Захват фреймов A-MPDU возможен при использовании любых адаптеров, поддерживаемых CommView for WiFi.
Принятые фреймы A-MSDU разделяются на отдельные пакеты на уровне программы. Размеры таких фреймов могут достигать 7935 байт. При захвате фрейма A-MSDU он передается на уровень приложения как единый агрегированный пакет, т.е. в своей изначальной форме. Если агрегированный пакет не поврежден и может быть расшифрован (если расшифровывание требуется), CommView for WiFi дезагрегирует A-MSDU и отображает отдельные пакеты в списке пакетов. Такие пакеты будут обозначены как "Subframe #... of A-MSDU #..." в колонке "Детали". Кроме подкадров будет отображен и оригинальный A-MSDU, обозначаемый как "A-MSDU #....". Если же агрегированный пакет поврежден или зашифрован, то будет показан только оригинальный A-MSDU. Поддержка A-MSDU необязательна для стандарта 802.11n. Такие фреймы достаточно редко используются в 802.11n-устройствах. Захват фреймов A-MSDU возможен при использовании любых сетевых адаптеров стандарта 802.11ac и 802.11ax, совместимых с CommView for WiFi.
Обращаем внимание, что большие пакеты, такие как A-MSDU, часто бывают повреждены, особенно если их посылка осуществляется на высокой скорости передачи данных.
Использование CommView for WiFi на виртуальной машине
Вы можете установить и использовать CommView for WiFi в виртуализированной операционной системе Windows, которая работает в качестве гостевой операционной системы на устройствах Mac (или PC, если вы по каким-то причинам предпочитаете использовать виртуальную среду). Для того, чтобы это сделать, вам понадобится ПО для виртуализации, например, VMWare, Parallels Desktop for Mac или Virtual Box.
Гостевая операционная система
В качестве гостевой операционной системы Windows вы можете использовать Windows 10 или 11.
Аппаратное обеспечение
Для того чтобы использовать CommView for WiFi для пассивных инспектирований, вам понадобится совместимый адаптер. Когда вы запускаете наше ПО на ноутбуке с операционной системой Windows, вы можете использовать любой из совместимых адаптеров в различных форм-факторах. Список совместимых адаптеров можно посмотреть здесь. Когда вы запускаете CommView for WiFi на виртуальной Windows-машине, вы можете использовать только USB-адаптеры. Пожалуйста, обратитесь к списку адаптеров, чтобы найти тот, который вы собираетесь использовать. Мы настоятельно рекомендуем выбирать адаптеры, отмеченные как "Рекомендуем к использованию". Вы также можете приобрести адаптер у нас, если Вы приобретаете коробочную версию.
Конфигурация программного обеспечения для виртуализации
Если ваше программное обеспечение для виртуализации поддерживает эмуляцию USB 3.0 (как, например, в случае, если вы используете VMWare или Parallels Desktop for Mac), то используйте эмуляцию USB 3.0, а не USB 2.0, даже если порт и беспроводной адаптер, которые вы планируете использовать, являются устройствами USB 2.0. Поддержка USB 3.0 требует по меньшей мере Windows 8 в качестве гостевой операционной системы. Конфигурация USB в среде VMWare показана на иллюстрации ниже.
Эмуляция USB 3.0 предпочтительна, так как существенно увеличивает скорость передачи данных между беспроводным адаптером и гостевой ОС. Например, в некоторых адаптерах переключение канала Wi-Fi может длиться 500 или даже 1000 миллисекунд, если вы используете USB 2.0, и только 100 миллисекунд, если вы используете эмуляцию USB 3.0. Учитывая тот факт, что CommView for WiFi может переключать каналы каждые 250 миллисекунд, разница будет существенной. Использование эмуляции USB 2.0 может значительно замедлить работу приложения.
По этой причине мы не рекомендуем использовать VirtualBox в качестве ПО для виртуализации. В настоящее время VirtualBox не имеет поддержки USB 3.0. Если вы, тем не менее, хотите использовать VirtualBox, то, как минимум, включите опцию Enable USB 2.0 (EHCI) Controller. В противном случае ваш адаптер Wi-Fi вообще не будет работать в виртуальной среде.
Установка адаптера
Вставьте USB адаптер в ваш компьютер. После того, как адаптер вставлен, вам нужно сконфигурировать ПО для виртуализации, чтобы использовать обнаруженное USB-устройство, то есть отсоединить его от главной ОС и подсоединить к гостевой ОС. Метод конфигурации зависит от конкретного ПО для виртуализации, которое вы используете. Пожалуйста, обратитесь к соответствующей документации. После того, как виртуальная машина получит контроль над адаптером, Windows уведомит вас, что обнаружено новое USB-устройство, и попытается найти драйвер для устройства. Выберите Справка => Руководство по установке драйверов в окне CommView for WiFi, чтобы прочитать инструкции по установке нашего специального драйвера для захвата пакетов. После того, как драйвер установлен, вы можете перезапустить приложение и начать его использовать.
Захват OFDMA-пакетов
CommView for WiFi позволяет осуществлять захват OFDMA-пакетов, пересылаемых от точек доступа к станциям. Этот функционал доступен только если вы используете адаптер Intel c поддержкой стандарта 802.11ax (Wi-Fi 6), что означает, что вам подойдет модель Intel AX200 и новее. Если CommView for WiFi определит наличие такого адаптера, в главном окне приложения появится дополнительная панель для конфигурации OFDMA, как показано на рисунке ниже.
Вследствие аппаратных ограничений, захват OFDMA-пакетов не может быть осуществлен, если не введены MAC-адрес нужной точки доступа и идентификатор ассоциации (Association ID, также AID или AID12) нужной станции. Вы cможете захватывать только те OFDMA-пакеты, которые соответствуют указанным параметрам в полях MAC-адрес и AID. Вы не cможете захватывать все OFDMA-пакеты, пересылаемые между произвольными точками доступа и станциями.
MAC-адрес можно найти практически в любом пакете. Также вы можете использовать стрелку справа от поля MAC-адрес, чтобы выбрать в списке любую точку доступа, которые видит CommView for WiFi в данный момент. Идентификатор AID можно найти в пакетах CTRL/TRIGGER. Помните, что пакеты CTRL не показываются в CommView for WiFi по умолчанию. Вам нужно нажать соответствующую иконку на панели инструментов. После того как вы нашли пакет CTRL/TRIGGER, передаваемый от точки доступа к станции, вы увидите параметр AID в окне декодера:
Так как иногда непросто найти пакеты CTRL/TRIGGER в условиях высокой интенсивности трафика, можно использовать формулу (ftype=1 and fsubtype=2), описанную в Универсальных правилах, чтобы отфильтровать такие пакеты.
После того, как вы укажете MAC-адрес точки доступа и AID станции, нажмите кнопку Применить. CommView for WiFi начнет захват OFDMA-трафика (при его наличии), проходящего между указанной точкой доступа и клиентом с указанным идентификатором AID.
Многоканальный захват
CommView for WiFi позволяет осуществлять одновременный захват данных с нескольких каналов (при использовании нескольких совместимых USB-адаптеров).
Следующие USB-адаптеры 802.11ас могут быть использованы для многоканального захвата данных: ASUS USB-AC68, Belkin F9L1109 v1, D-Link DWA-180 rev A1, D-Link DWA-182 rev C1 или D1, Edimax EW-7822UAC, Edimax EW-7833UAC, EnGenius EUB1200AC, Linksys WUSB6300, Linksys WUSB6400M, NETGEAR A6210, Proxim ORiNOCO 9100, Rosewill RNX-AC1200UB, TP-LINK Archer T4U, TP-LINK Archer T4UH, TP-LINK Archer T9UH v2, TRENDnet TEW-805UB, ZyXEL NWD6605 и ZyXEL AC240. Следующие USB-адаптеры 802.11аx могут быть использованы для многоканального захвата данных: ASUS USB-AX56, D-Link DWA-X1850, FusionFutures AX1800, NETGEAR A800 и Alfa AWUS036AXML.
Обращаем ваше внимание, что используемые в работе адаптеры должны быть одной и той же модели. При одновременном подключении нескольких сетевых адаптеров меняются следующие пункты интерфейса:
- Окно выбора каналов в панели Захват позволяет выделить несколько каналов. Вы можете выделить несколько каналов, удерживая клавишу Ctrl. Число каналов, которые вы выберете, не может превышать число подсоединенных USB-адаптеров.
- Панель Индикатор канала отражает несколько индикаторов, число которых соответствует числу подсоединенных USB-адаптеров.
Это показано на иллюстрации.
|
Когда вы используете несколько адаптеров, пожалуйста, учитывайте следующие факторы:
|
|
Принимая во внимание вышесказанное, мы не рекомендуем использовать более двух или трех адаптеров
Спектральный анализ
Спектральный анализ включает использование специального радиооборудования, предназначенного для мониторинга полос частот, используемых беспроводными устройствами Wi-Fi. Поскольку эти частоты нелицензированные, они часто используются источниками сигнала, использующими стандарты данных, отличных от Wi-Fi, например, такими как беспроводные камеры, микроволновые печи или беспроводные телефоны, что создает помехи. Назначение спектрального анализа – детектировать и идентифицировать источники помех, устранять их и/или идентифицировать каналы беспроводных сетей, где помехи будут минимальны.
Системные требования
CommView for WiFi позволяет проводить спектральный анализ с использованием USB-анализаторов спектра WiPry или Wi-Spy. WiPry можно приобрести у компании TamoSoft или напрямую у компании Oscium.
|
CommView for WiFi поддерживает следующие модели Wi-Spy:
|
CommView for WiFi поддерживает следующие модели WiPry:
|
Если используется многодиапазонная модель анализатора, то все диапазоны сканируются по очереди, постоянно переключаясь между ними во время работы. Использование двух устройств Wi-Spy DBx одновременно может улучшить качество данных, поскольку в этом случае CommView for WiFi будет использовать по одному устройству на диапазон. Обратите внимание, что вы не можете использовать два одинаковых устройства WiPry одновременно. Однако вы можете использовать модели WiPry Clarity и WiPry 2500x, а также комбинировать устройства Wi-Spy и WiPry.
Диаграммы спектральных данных
Когда Wi-Spy подключен к компьютеру, картина спектра в реальном режиме времени показывается в панели Каналы и Спектр главного окна CommView for WiFi, как показано ниже.
Спектральная панель аналогична соответствующей панели Chanalyzer – программы для спектрального анализа фирмы MetaGeek, идущей в комплекте c Wi-Spy. По умолчанию спектральная панель отображает один или два планарных графика для одно- и двухдиапазонных моделей Wi-Spy соответственно.
Вид графиков настраивается через контекстное меню. Выберите 2,4 ГГц, 5,0 ГГц или Двойной для того, чтобы на спектральной панели отображался один диапазон частот или два диапазона одновременно (опции 5,0 ГГц и Двойной доступны только для двухдиапазонной модели Wi-Spy). Выберите Текущий уровень для отображения линии, показывающей текущую амплитуду сигнала; выберите Максимальный уровень для отображения линии, показывающей максимальную амплитуду сигнала. С помощью опции Ось X можно указать единицы измерения для горизонтальной оси: вы можете выбрать между Частотой в МГц и номерами Каналов. При включении вида Водопад приложение отобразит изменение амплитуды во времени. Выберите 1/3, 1/2 или 2/3 размера окна для настройки области окна, занятой водопадным графиком. Спектральная панель может быть отделена от главного окна приложения и отображаться как отдельное плавающее окно. Используйте команды Отделить окно и Прикрепить окно для выполнения соответствующих операций. Вы также можете спрятать панель Каналы и Спектр с помощью пункта Вид => Каналы и Спектр в главном окне приложения.
Обратите внимание: если программа Chanalyzer запущена, то чтобы иметь возможность видеть спектральные данные в CommView for WiFi, вы должны закрыть ее, поскольку Wi-Spy нельзя использовать несколькими приложениями одновременно.
Перехват больших объемов трафика
При сборе пакетов на большом или сильно загруженном сегменте сети, следует учесть, что обработка тысяч пакетов в секунду может существенно загрузить процессор и привести к "повисанию" программы. Самым лучшим решением для оптимизации работы программы является использование правил для фильтрации пакетов, которые вы планируете наблюдать. Например, пересылка файла объемом 50 Мб между двумя машинами порождает около 40000 NetBIOS-пакетов со скоростью передачи 5 мегабайт в секунду, что может оказаться трудновыполнимой задачей для программы. Однако обычно не требуется анализ каждого пакета NetBIOS. Можно настроить CommView for WiFi таким образом, что он будет принимать только пакеты IP. В CommView for WiFi есть гибкая система фильтров, позволяющая принимать только те пакеты, которые вам действительно интересны. В дополнение, если нужна лишь статистическая информация (гистограммы, таблицы хостов), можно воспользоваться командой "Блокировать сбор пакетов" в меню. В этом случае отображение пакетов в реальном времени будет приостановлено, а статистические данные будут продолжать собираться и показываться.
Факторы, улучшающие производительность программы:
- Быстрый процессор (рекомендуется Intel Core i7)
- Объем оперативной памяти (рекомендуется 8 Гб и больше)
- Использование правил для фильтрации ненужного трафика
Запуск CommView for WiFi в невидимом режиме
Есть два способа запустить CommView for WiFi как невидимый процесс:
- Запустить CommView for WiFi с ключом "hidden":
CV.EXE hidden
- Если CommView for WiFi уже запущен, вы можете прятать или вызывать его "горячими" клавишами. Чтобы спрятать, нажмите ALT+SHIFT+h. Чтобы отменить невидимость, нажмите ALT+SHIFT+u.
Помните, однако, что полностью скрыть работу приложений в Windows нельзя. При работе в невидимом режиме процесс CommView for WiFi будет виден в панели задач.
Параметры командной строки
При запуске программы доступны следующие параметры командной строки:
- Загрузить и активизировать набор правил из файла. Используйте ключ "/ruleset" между CV.EXE и полным путем к файлу правил:
CV.EXE /ruleset "C:\Program Files\CommViewWiFi\Rules\POP3Rules.rls"
Если имя файла или путь включает символы пробела - заключите их в кавычки (" ").
- Выбрать и активировать набор ключей WEP/WPA из файла. Используйте ключ "/keyset" между CV.EXE и полным путем к файлу:
CV.EXE /keyset "C:\Program Files\CommViewWiFi\WLAN3Keys.wep"
Если имя файла или путь включает символы пробела - заключите их в кавычки (" ").
- Использовать специальный каталог для хранения log-файлов. Используйте ключ /logdir:
CV.EXE /logdir "C:\Program Files\CommView\Logs"
- Запустить приложение без предложения об установке драйвера. Этот параметр полезен, если вы используете CommView for WiFi для обработки лог-файлов, собранных на других компьютерах или соединяетесь с удаленными агентами (CommView Remote Agent for WiFi). Используйте ключ /noprompt:
CV.EXE /noprompt
- Соединиться с одним или несколькими удаленными агентами. Используйте ключ "/ra" с последующим указанием IP-адреса или имени хоста удаленного агента с которым вы соединяетесь, паролем, заключенным в кавычки, и номером канала за которым должно вестись наблюдение (номера каналов начинаются с "1", т.е. работы программы в режиме сканера укажите "1", если вам нужно наблюдать за первым каналом, укажите "2" и так далее), например:
CV.exe /ra 192.168.0.5 "MyPassword" 2
- Для того чтобы соединиться с несколькими удаленными агентами, работающими с одной копией CommView for WiFi, используйте следующий командный (.BAT) файл:
START "CV" "C:\Program Files\CommViewWiFi\CV.exe" /nopromptЭтот скрипт запускает CommView for WiFi, ждет 5 секунд, чтобы убедиться, что приложение загружено (для задержек используется команда PING, поскольку язык скрипта не предполагает какой-либо команды для инициирования задержек), затем мы предоставляем программе IP-адреса, пароли и номера адаптеров трех удаленных агентов (с паузой в одну секунду).
PING 1.1.1.1 -n 1 -w 5000 >NUL
START "CV" "C:\Program Files\CommViewWiFi\CV.exe" /ra 192.168.0.1 "pwd1" 5
PING 1.1.1.1 -n 1 -w 1000 >NUL
START "CV" "C:\Program Files\CommViewWiFi\CV.exe" /ra 192.168.0.2 "pwd2" 5
PING 1.1.1.1 -n 1 -w 1000 >NUL
START "CV" "C:\Program Files\CommViewWiFi\CV.exe" /ra 192.168.0.3 "pwd3" 5
PING 1.1.1.1 -n 1 -w 1000 >NUL
Одновременно возможно использование всех ключей за исключением последнего.
Обмен данными с вашим приложением
В CommView for WiFi реализован простой и понятный интерфейс доступа к TCP/IP. Он позволяет вашему приложению в режиме реального времени обрабатывать пакеты, принятые с помощью CommView for WiFi. Начиная с версии 5.0 есть возможность передавать пакеты аналогично тому, как это делает Packet Generator (генератор пакетов).
Принцип работы
Вам следует запустить CommView for WiFi, задав ему в командной строке специальный ключ MIRROR, указывающий программе на какой IP-адрес и в какой TCP-порт дублировать захватываемые пакеты.
Примеры:
Когда CommView for WiFi запущен с этим ключом, он пытается установить TCP-соединение с указанным IP-адресом по указанному номеру порта. Это означает, что ваше приложение уже должно быть запущено и должно быть готовым к приему по указанному порту. Если CommView for WiFi не может установить соединение, он будет делать повторные попытки каждые 15 секунд. То же самое будет происходить при разрыве соединения: каждые 15 секунд CommView for WiFi будет пытаться восстановить его. Если соединение успешно установлено, CommView for WiFi будет передавать захватываемые пакеты по мере их прихода, в режиме реального времени.
Формат данных
Данные передаются в формате NCFX. Описание формата смотрите в последней главе данного раздела.
Передача пакетов
Ваше приложение может не только принимать пакеты, но и посылать их, аналогично генератору пакетов. Данные могут быть переданы в CommView for WiFi с помощью все того же TCP-соединения, через которое происходит прием. Формат данных прост: нужно указать длину пакета (двухбайтовое беззнаковое целое число со стандартным порядком следования байтов начиная с младшего, т.е. little-endian), затем индекс скорости передачи данных (двухбайтовое беззнаковое целое число со стандартным порядком следования байтов начиная с младшего, т.е. little-endian), затем сам пакет. Длина пакета не включает те четыре байта, которые ставятся перед содержимым пакета. Индекс скорости передачи данных отсчитывается с нуля; он должен содержать индекс скорости (т.е. рейта), показанный в Генераторе пакетов. Обратите внимание на следующий пример:
Строка, которая должна быть отослана, в шестнадцатеричном формате (hex): D4 00 00 00 80 1F 02 66 C2 8E. Длина строки составляет 10 байтов.
Используемая скорость: 5,5 Мbps Это третий пункт выпадающего списка "скорость передачи 802.11" в окне Генератора пакетов.
Итоговое значение в буфере, которое должно быть отослано: 0A 00 02 00 D4 00 00 00 80 1F 02 66 C2 8E.
Если адаптер не открыт или не поддерживает генерацию пакетов, пакет будет сброшен без уведомления.
Примеры проектов
Ниже приведены два простых примера программ, ожидающих входящих соединений, выделяющих пакеты из потока и отображающих "сырые" данные.
- https://www.tamos.com/products/commwifi/samp_mirr_c7.zip. Проект в Visual Studio с исходным текстом на C++.
- https://www.tamos.com/products/commwifi/samp_mirr_d7.zip. Проект на Delphi с исходником на Pascal. Для компиляции проекта вам понадобятся ICS-компоненты от Francois Piette, которые доступны на http://www.overbyte.be
Пропускная способность (Bandwidth)
При пересылке данных на удаленный компьютер, убедитесь, что линия связи между ними имеет достаточную пропускную способность, чтобы передать все перехваченные данные. Если CommView for WiFi собирает данные с интенсивностью 500 кб/с, а линия связи способна передавать только 50 кб/с, неизбежно возникнут "заторы", приводящие к разным неприятностям (например, в зависимости от версии Windows, winsock может прекратить передавать данные вообще).
Пользовательский модуль декодирования
CommView for WiFi позволяет подключить два типа пользовательских модулей декодирования.
Простой декодер
Если он используется, то результаты его работы будут показаны в дополнительной колонке закладки Пакеты. Пользовательский декодер должен быть 32-bit DLL с именем файла "Custom.dll" и экспортировать единственную процедуру - "Decode". Ниже показан ее прототип на языках C и Pascal:
void __stdcall Decode(unsigned char *PacketData, int PacketLen, char *Buffer, int BufferLen);
}
procedure Decode (PacketData: PChar; PacketLen: integer; Buffer: PChar; BufferLen: integer); stdcall;
Данная DLL должна располагаться в той же директории, что и CommView for WiFi. При запуске CommView for WiFi ищет файл с именем "Custom.dll" и загружает его в память. Если в нем найдена точка входа "Decode" - CommView for WiFi добавляет новую колонку с именем "Custom" в списке пакетов.
Перед тем как отобразить новый пакет, CommView for WiFi вызывает процедуру "Decode" и передает содержимое пакета в DLL. Процедура "Decode" должна обработать пакет и записать его в буфер. Первый аргумент - указатель на содержимое пакета, второй - длина, третий аргумент - указатель на буфер, в котором хранится результат обработки, четвертый аргумент - размер буфера (в данной версии - всегда 1024 байта). Буфер выделяется и освобождается самой программой CommView for WiFi, так что не следует управлять распределением памяти под этот буфер самостоятельно. Содержимое буфера будет отображено в виде строки в колонке "Custom".
Ваша процедура должна быть достаточно быстрой и обрабатывать тысячи пакетов в секунду; в противном случае снизится производительность программы. Не забывайте использовать STDCALL при вызове. Две DLL представлены как пример. Они выполняют простейшие операции: "результатом" работы функции "Decode" является шестнадцатеричный код последнего байта пакета. Пользовательский декодер может быть сколь угодно сложным.
- https://www.tamos.com/products/commview/cust_decoder_c.zip. Проект Visual Studio с исходниками на C++.
- https://www.tamos.com/products/commview/cust_decoder_d.zip. Проект Delphi с исходниками на Pascal.
Сложный декодер
При реализации этого типа декодера, результат будет отображаться, как дополнительные элементы основного дерева декодера в окне пакетов. Подробное руководство по созданию такого декодера можно получить здесь:
https://www.tamos.com/products/commview/complex_decoder_c7.zip
Сложный декодер может быть написан только на Microsoft Visual C++, так как он основан на классах C++.
Техническая поддержка
Техническая поддержка пользовательских декодеров осуществляется "по мере сил", но мы не всегда сможем оказаться в состоянии разрешить любую вашу проблему.
Формат Log-файлов CommView
Для записи перехваченных пакетов в файлы .NCF или .NCFX CommView и CommView для WiFi используют формат данных, описанный ниже. Это открытый формат, который можно использовать в собственных приложениях для обработки log-файлов, созданных CommView for WiFi. Этот формат также можно использовать для прямого обмена данными между CommView for WiFi и пользовательским приложением (это метод описан ниже).
Формат NCFX
Этот новый формат используется в CommView for WiFi начиная с версии 7.3. Предыдущие версии CommView for WiFi, а также текущие версии CommView (анализатор проводных сетей) используют формат NCF, который также описан в этой главе, в следующем разделе.
Пакеты идут последовательно. Перед каждым пакетом идут два и более заголовка, структура которых описана ниже. Все поля заголовка, размер которых превышает 1 байт, не подписаны и используют формат с прямым порядком байтов.
Основной заголовок - обязательный. Длина = 20 байтов.
| Название поля | Длина (байты) |
Описание |
| Длина данных | 4 | Длина тела пакета, включая длину этого и последующих заголовков, а также длину данных в пакете (тело пакета). |
| Год | 2 | Дата создания пакета (год) |
| Месяц | 1 | Дата создания пакета (месяц) |
| День | 1 | Дата создания пакета (день) |
| Часы | 1 | Время создания пакета (часы) |
| Минуты | 1 | Время создания пакета (минуты) |
| Секунды | 1 | Время создания пакета (секунды) |
| Микросекунды | 4 | Время создания пакета (микросекунды) |
| Тип среды | 1 | Тип среды пакета. 0x01 для пакетов Wi-Fi, 0x00 для проводных пакетов. |
| Флаг расшифровки | 1 | 0x01, если пакет был расшифрован CommView for WiFi и сохранен в расшифрованном виде. В противном случае указывается значение 0x00. |
| Направление | 1 | Для проводных пакетов - направление пакета. 0x00 для транзитных, 0x01 для входящих, 0x02 для исходящих. Для пакетов Wi-Fi всегда указывается значение 0x00. |
| Зарезервировано1 | 1 | В настоящее время не используется. |
| Зарезервировано2 | 1 | В настоящее время не используется. |
Заголовок RF – обязательный. Длина = 20 байтов.
| Название поля | Длина (байты) |
Описание |
| Длина RF-заголовка | 2 | Длина этого заголовка, включая длину всех дополнительных расширений (если такие имеются). |
| Статус пакета и модуляции | 2 | Битовая маска, где установлены один или несколько из следующих битов: Bit 0 – пакет поврежден (некорректный FCS) Bit 1 – пакет, передаваемый с PHY-рейтом HT (802.11n) Bit 2 – пакет, передаваемый с PHY-рейтом VHT (802.11ac) Bit 3 – пакет, передаваемый с PHY-рейтом HE (802.11ax) Bit 4 – модуляция HE, 0 – OFDM, 1 – OFDMA, действительно только, если установлено значение для Bit 3. |
| Диапазон | 2 | 0x40 для 5 ГГц, 0x80 для 2,4 ГГц, 0x100 для 6 ГГц |
| Канал | 2 | Канал Wi-Fi |
| Уровень шума, dBm | 1 | Уровень шума, измеряемый в дБм. Указывается как положительное значение. Например, уровень -90 дБм указывается как 90. |
| Уровень сигнала, dBm | 1 | Уровень сигнала, измеряемый в дБм. Указывается как положительное значение. Например, уровень -30 дБм указывается как 30. |
| Уровень сигнала в процентах | 1 | Уровень сигнала в процентах. |
| Зарезервировано | 1 | В настоящее время не используется. |
| PHY-рейт | 4 | Скорость передачи данных в Мбит/с, умноженная на 10. |
| Дополнительные расширения | 4 | Битовая маска, указывающая на наличие дополнительных расширений, которые следуют за заголовком RF. Например, если установлены биты 3, 2 и 0, тогда за этим заголовком RF следует расширение типа 0, затем расширение типа 2, и после этого расширение типа 3. |
Поддерживаемые в настоящее время расширения
MCS Header Type 0 – опциональный. Длина = 4 байта.
Обратите внимание, что MCS Header Type 0 не добавляется, если вы захватываете пакеты адаптером, поддерживающим стандарт старее 802.11ac. Расширение добавляется, только если вы выполняете захват адаптером стандарта 802.11ac или более новых стандартов.
| Название поля | Длина (байты) | Описание |
| Индекс MCS | 1 | Индекс MCS |
| Число потоков | 1 | Число пространственных потоков MIMO минус 1, то есть параметр 0x00 обозначает один поток. |
| Ширина канала | 1 | Ширина канала Если значение bit 4 в поле Статус пакета и модуляции равно 0 (модуляция OFDM): 0x00 – 20 МГц, 0x01 – 40 МГц, 0x02 – 80 МГц, 0x03 – 160 МГц, 0x05 – 320 МГц. Если значение bit 4 в поле Статус пакета и модуляции равно 1 (модуляция OFDMA): 0x00 - 26-tone RU, 0x01 – 52-tone RU, 0x02 – 106-tone RU, 0x03 – 242-tone RU, 0x04 – 484-tone RU, 0x05 – 996-tone RU, 0x06 – 1992-tone RU (996x2-tone RU) |
| GI | 1 | Защитный интервал (Guard Interval): 0x00 - 0.8μs, 0x01 - 0.4μs, 0x02 - 1.6μs, 0x03 - 3.2μs |
Пример 1. Пакет длиной 350 байт, пересылаемый с legacy PHY-рейтом 6 Мбит/с, сохраняется в следующем виде:
[20 байтов для основного заголовка, где поле Длина данных имеет значение 390] + [20 байтов для заголовка RF, где поле Длина данных RF имеет значение 20, а поле Дополнительные расширения содержит значение 0x00000000] + [350 байтов тела пакета]
Пример 2. Пакет длиной 1002 байта, пересылаемый с PHY-рейтом VHT 72,2 Мбит/с, сохраняется в следующем виде:
[20 байтов для основного заголовка, где поле Длина данных имеет значение 1046] + [20 байтов для заголовка RF, где поле Длина данных RF имеет значение 24, а поле Дополнительные расширения содержит значение 0x00000001] + [4 байта для заголовка MCS] + [1002 байта тела пакета]
Формат NCF
Формат используется CommView (любая версия), а также CommView for WiFi (версии до 7.2 включительно). Новые версии CommView for WiFi (7.3 и далее) используют формат NCFX, который описан в соответствующем разделе выше.
Пакеты записываются последовательно. Перед каждым пакетом идет 24-байтовый заголовок, структура которого описана ниже. Все поля заголовка, размер которых превышает 1 байт, используют формат с прямым порядком байтов.
| Название поля | Длина (байты) |
Описание | |||||||||||||||
| Длина данных | 2 | Длина тела пакета, который идет следом за заголовком. | |||||||||||||||
| Длина исходных данных | 2 | Исходная длина тела пакета, который идет следом за заголовком (без компрессии). Если компрессия не применялась, то это поле равно предыдущему. | |||||||||||||||
| Версия | 1 | Версия формата пакета (текущая – 0) | |||||||||||||||
| Год | 2 | Дата создания пакета (год) | |||||||||||||||
| Месяц | 1 | Дата создания пакета (месяц) | |||||||||||||||
| День | 1 | Дата создания пакета (день) | |||||||||||||||
| Часы | 1 | Время создания пакета (часы) | |||||||||||||||
| Минуты | 1 | Время создания пакета (минуты) | |||||||||||||||
| Секунды | 1 | Время создания пакета (секунды) | |||||||||||||||
| Микросекунды | 4 | Время создания пакета (микросекунды) | |||||||||||||||
| Флаги | 1 | Битовые флаги:
|
|||||||||||||||
| Уровень сигнала | 1 | Уровень сигнала в процентах (только для пакетов Wi-Fi). | |||||||||||||||
| PHY-рейт | 1 | Скорость передачи данных в Мбит/с, умноженная на 2 (только для пакетов Wi-Fi). | |||||||||||||||
| Диапазон | 1 | Диапазон передачи. 0x01 для 802.11a, 0x02 для 802.11b, 0x04 для 802.11g, 0x08 для 802.11a-turbo, 0x10 для 802.11 SuperG, 0x20 для 4.9 ГГц Public Safety, 0x40 для 5 ГГц 802.11n/ас, 0x80 для 2,4 ГГц 802.11n/ас (только для пакетов Wi-Fi). | |||||||||||||||
| Канал | 1 | Номер канала (только для пакетов Wi-Fi). | |||||||||||||||
| Направление | 1 | Для проводных пакетов - направление пакета. 0x00 для транзитных, 0x01 для входящих, 0x02 для исходящих. Для пакетов WiFi – старший байт для поля PHY-рейт, для тех случаев, когда однобайтное поле PHY-рейт недостаточно для хранения значения переменной (т.е. если значение превышает 255). | |||||||||||||||
| Уровень сигнала (dBm) | 1 | Уровень сигнала в дБм (для пакетов Wi-Fi). | |||||||||||||||
| Уровень шума (dBm) | 1 | Уровень шума в дБм (для пакетов Wi-Fi). | |||||||||||||||
| Данные | Переменная | Тело пакета (без изменений, в исходном виде). Если установлен флаг компрессии, данные сжимаются с помощью свободно распространяемой библиотеки Zlib 1.1.4. Длина записывается в поле Длина данных. |
Общая длина заголовка составляет 24 байта.
Если пакеты сохраняются в сжатом виде, поле Длина данных показывает длину данных после сжатия, в то время как поле Длина исходных данных показывает исходную длину. Если пакет сохраняется без сжатия, оба поля содержат одинаковое значения.