ImIEEE 802.11Protokoll, im Link-Frame ist die zweite Adresse die Absender-MAC-Adresse und die erste Adresse die Empfänger-MAC-Adresse, also dieAPAdresse, wenn der Absender eine Station ist, und die Zielstation, wenn der Absender der AP ist.
In meinem Fall, da ich die Pakete mitWiresharkaus meiner Sicht, wenn ich sendeICMPBeispielsweise sollte ich meine MAC-Adresse als zweite Adresse und die AP-MAC-Adresse als erste Adresse sehen.
Aber:
Die Quelladresse ist mein Rechner. Die Zieladresse ist mein Telefon, also das Gerät, an das ich die ICMP-Pakete gesendet habe. Im Antwortpaket dasselbe in umgekehrter Reihenfolge.
Auch die Verbindungsschicht wird als "Ethernet" angezeigt, aber ich bin über WLAN verbunden, also sollte es IEEE 802.11 sein, aber ich habe gesehenHierdass Wi-Fi-Schnittstellen sich oft als Ethernet-Schnittstellen präsentieren und daher Ethernet-übersetzte Pakete präsentieren, um dem Betriebssystem die Verwaltung zu erleichtern, oder so etwas in der Art …
Antwort1
Sie sehen eineemuliertEthernet-Header, der vom Betriebssystem bereitgestellt wird (oder von der Firmware des WLAN-Adapters; ich bin nicht ganz sicher, von beidem).
Der echte 802.11-Header wird absichtlich vor Ihnen verborgen, und der Linktypstetssagt „Ethernet“ – es ist nicht das Betriebssystem, das versucht, die Verwaltung einfacher zu machen; es liegt daran, dass die Spezifikation es so vorsieht. Gemäß der 802.11-Spezifikation sollen Wi-Fi-Schnittstellen eine 802.3-kompatible Verbindungsschicht zu den oberen Schichten darstellen, damit sie direkt mit einem tatsächlichen Ethernet verbunden werden können, auch wenn sie im Hintergrund etwas Komplexeres verwenden. (Ich denke, es unterscheidet sich nicht sehr von der Verwendung eines „Medienkonverters“ für andere „Ethernet über XYZ“-Technologien wie HomePlug oder ADSL.)
Um den echten 802.11-Header zu sehen, der gesendet/empfangen wird, müssen Sie den „Monitormodus“ für Wireshark aktivieren. Darin würdedreiMAC-Adressen – Absender, Empfänger und AP.
(Die Station wird als Sender oder Empfänger angesehen. Es gibt jedoch einen „4-Adressen“-Modus für drahtloses Bridging, auch bekannt alsWDS, wo Sie Quelle, Ziel, AP haben,UndStations-MAC-Adressen alle im selben Frame.)
Im IEEE 802.11-Protokoll ist im Link-Frame die zweite Adresse die MAC-Adresse des Absenders und die erste Adresse die MAC-Adresse des Empfängers. Diese ist die AP-Adresse, wenn der Absender eine Station ist, und die Adresse der Zielstation, wenn der Absender der AP ist.
Nein, nicht ganz so.
Wi-Fi-Zugangspunkte sind Brücken und wie kabelgebundene Switches sollen sie auf der Verbindungsebene unsichtbar sein. Wenn der Absender eine Station ist, ist das Zielnichtder AP – es ist die tatsächliche MAC-Adresse des Zielhosts, denn woher sonst wüsste die Bridge, wohin sie das Paket liefern soll? Sie schaut sich nicht den IP-Header an; das machen Router.
(Es sei denn natürlich, das Ziel ist ein Router, der dasselbe Gerät ist wie der AP. In diesem Fall ist die Ziel-MAC-Adresse normalerweise sehr ähnlich der des APs.BSSID, manchmal sogar gleich oder unterscheiden sich nur in einem einzigen Bit. Dies kann der häufigste Fall sein, wenn über ein Heim-Gateway auf das Internet zugegriffen wird – ziehen Sie daraus jedoch keine Schlussfolgerungen.)
Der echte 802.11-Header enthält zwar auch die MAC-Adresse des APs, aber in einerdritteFeld getrennt vom ursprünglichen Absender und Empfänger. Wenn Sie den „Monitormodus“ aktivieren, um 802.11-Frames zu erfassen, sehen Sie, dass Frames von einer Station zwei Ziel-MAC-Adressen haben.
(Lassen Sie sich jedoch nicht vom Dissektor von Wireshark verwirren, der dieselben Felder zweimal unter zwei verschiedenen Namen anzeigt – einige davon entsprechen tatsächlich denselben Bytes.)