Ja, ich weiß, dass Sie zum Aufzeichnen von drahtlosem Datenverkehr unbedingt den Monitormodus aktivieren müssen. Lenken Sie die Diskussion also bitte nicht in diese Richtung. Ich frage nach dem ungewöhnlichen Verhalten (zumindest bei mir), das beobachtet wurde, wenn Sie ohne aktivierten Monitormodus aufzeichnen.
Diese Fragestieß aufServerfehlerwo jemand nach fehlenden 802.3-Ethernet-Headern fragte, wenn drahtloser Datenverkehr im Monitormodus mit Wireshark erfasst wurde. Mit meinem Netzwerkhintergrund wusste ich, dass 802.11-Datenverkehr keine 802.3-Header enthalten sollte. Aber der Benutzer lieferte Screenshots von beiden, was mich neugierig machte.
Ich habe dies selbst getestet (Ubuntu 14.04LTS mit Intel Advanced-N 6200) und es scheint zu stimmen. Wenn ich ohne aktivierten Monitormodus aufzeichne, erhalte ich statt der erwarteten 802.11-Header 802.3-Header im Datenverkehr. Ich habe es nicht auf anderen Betriebssystemen getestet, um zu sehen, ob es dort zutrifft oder nicht, aber ich dachte, ich frage mal nach, ob jemand eine Erklärung hat.
Kann jemand erklären, warum das bei Ubuntu der Fall ist?
Überbrückt der Treiber oder die drahtlose Schnittstelle diesen Datenverkehr aus irgendeinem Grund mit 802.3-Datenverkehr, bevor er an den Kernel übergeben wird? Oder ist da etwas anderes im Gange?