tcpdump не отображает RSSI

Question

[Обновлено со всеми выводами по устранению неполадок.
Благодарим выдающегося разработчика tcpdump/libpcap/Wireshark Гая Харриса.]

tcpdumpпонимает только формат заголовка радиометаданных "Radiotap" (он же LINKTYPE_IEEE802_11_RADIOTAP, он же ) типа канала передачи данных для режима мониторинга 802.11.DLT_IEEE802_11_RADIO

DLT IEEE802_11_RADIOсообщает карте/драйверу о необходимости добавлять к каждому полученному кадру дополнительный «поддельный» заголовок, полный метаданных радио. Это то, что не передавалось в виде битов в эфире, а вместо этого считывалось из состояния радио в момент получения кадра. Эта информация включает RSSI, канал, на который было настроено радио, скорость передачи данных/MCS пакета и, возможно, многое другое.

Если ваша карта и драйвер поддерживают Radiotap, вы можете указать, что хотите захватывать в этом режиме, добавив -y IEEE802_11_RADIOк своим tcpdumpаргументам. Вы можете получить список поддерживаемых типов каналов передачи данных для вашего ra0интерфейса с помощью tcpdump -i ra0 -ILили, возможно, с помощью tcpdump -i ra0 -D. Обратите внимание, что DLT режима мониторинга могут не отображаться, если вы не включите , -Iчтобы указать режим мониторинга. Обратите внимание также, что добавление -Iдля перевода интерфейса в режим мониторинга может работать не во всех системах, поэтому вам может потребоваться использовать скрипт airmon-ngв aircrack-ngпакете программного обеспечения с открытым исходным кодом, чтобы включить режим мониторинга.

Похоже, что драйвер/чипсет Ralink на нерабочей машине не поддерживает заголовки Radiotap. По-видимому, он поддерживает только устаревший формат заголовков Prism и менее известный вариант заголовков Prism.

Вы можете подтвердить эту теорию, проверив DLT интерфейса на рабочей машине (в режиме монитора) с помощью команд, указанных выше, и убедившись, что это IEEE802_11_RADIO.

Если это подтвердится, то ваши варианты сводятся к следующему:

Обновите драйвер на нерабочей машине, чтобы он соответствовал драйверу на рабочей машине. По-видимому, драйвер на рабочей машине поддерживает заголовки Radiotap. Поскольку вы говорите, что обе машины имеют одинаковую модель USB Wi-Fi-адаптера, надеюсь, что оба адаптера действительно имеют одинаковый набор микросхем Wi-Fi внутри, поэтому лучший драйвер будет работать.
Используйте Wireshark (или включенный инструмент командной строки tshark) для захвата пакетов в режиме монитора на машине с проблемой. Wireshark и tshark должны знать, как анализировать варианты заголовков Prism, которые поддерживает «плохой» драйвер.
Захватите заголовки канального уровня tcpdumpи проанализируйте RSSI варианта заголовка Prism самостоятельно. Скорее всего, это будет little-endian SInt32 со смещением 0x44 (десятичное 68). Было бы надежнее найти последовательность 4400 0400 0000 0400, а затем взять следующие 4 байта и считать их SInt32. В вашем примере захваченного заголовка значение RSSI выглядит так: b1ff ffff. Это будет 0xffffffb1, что является 32-битным представлением целого числа со знаком в формате дополнения до двух -79, что является допустимым RSSI для слабого, но все еще работоспособного уровня сигнала.
Используйте tcpdumpдля записи данных в файл на проблемном компьютере, а затем проанализируйте их с помощью Wireshark или tsharkна другом компьютере.
и т. д.

Answer 1

[Обновлено со всеми выводами по устранению неполадок.
Благодарим выдающегося разработчика tcpdump/libpcap/Wireshark Гая Харриса.]

tcpdumpпонимает только формат заголовка радиометаданных "Radiotap" (он же LINKTYPE_IEEE802_11_RADIOTAP, он же ) типа канала передачи данных для режима мониторинга 802.11.DLT_IEEE802_11_RADIO

DLT IEEE802_11_RADIOсообщает карте/драйверу о необходимости добавлять к каждому полученному кадру дополнительный «поддельный» заголовок, полный метаданных радио. Это то, что не передавалось в виде битов в эфире, а вместо этого считывалось из состояния радио в момент получения кадра. Эта информация включает RSSI, канал, на который было настроено радио, скорость передачи данных/MCS пакета и, возможно, многое другое.

Если ваша карта и драйвер поддерживают Radiotap, вы можете указать, что хотите захватывать в этом режиме, добавив -y IEEE802_11_RADIOк своим tcpdumpаргументам. Вы можете получить список поддерживаемых типов каналов передачи данных для вашего ra0интерфейса с помощью tcpdump -i ra0 -ILили, возможно, с помощью tcpdump -i ra0 -D. Обратите внимание, что DLT режима мониторинга могут не отображаться, если вы не включите , -Iчтобы указать режим мониторинга. Обратите внимание также, что добавление -Iдля перевода интерфейса в режим мониторинга может работать не во всех системах, поэтому вам может потребоваться использовать скрипт airmon-ngв aircrack-ngпакете программного обеспечения с открытым исходным кодом, чтобы включить режим мониторинга.

Похоже, что драйвер/чипсет Ralink на нерабочей машине не поддерживает заголовки Radiotap. По-видимому, он поддерживает только устаревший формат заголовков Prism и менее известный вариант заголовков Prism.

Вы можете подтвердить эту теорию, проверив DLT интерфейса на рабочей машине (в режиме монитора) с помощью команд, указанных выше, и убедившись, что это IEEE802_11_RADIO.

Если это подтвердится, то ваши варианты сводятся к следующему:

Обновите драйвер на нерабочей машине, чтобы он соответствовал драйверу на рабочей машине. По-видимому, драйвер на рабочей машине поддерживает заголовки Radiotap. Поскольку вы говорите, что обе машины имеют одинаковую модель USB Wi-Fi-адаптера, надеюсь, что оба адаптера действительно имеют одинаковый набор микросхем Wi-Fi внутри, поэтому лучший драйвер будет работать.
Используйте Wireshark (или включенный инструмент командной строки tshark) для захвата пакетов в режиме монитора на машине с проблемой. Wireshark и tshark должны знать, как анализировать варианты заголовков Prism, которые поддерживает «плохой» драйвер.
Захватите заголовки канального уровня tcpdumpи проанализируйте RSSI варианта заголовка Prism самостоятельно. Скорее всего, это будет little-endian SInt32 со смещением 0x44 (десятичное 68). Было бы надежнее найти последовательность 4400 0400 0000 0400, а затем взять следующие 4 байта и считать их SInt32. В вашем примере захваченного заголовка значение RSSI выглядит так: b1ff ffff. Это будет 0xffffffb1, что является 32-битным представлением целого числа со знаком в формате дополнения до двух -79, что является допустимым RSSI для слабого, но все еще работоспособного уровня сигнала.
Используйте tcpdumpдля записи данных в файл на проблемном компьютере, а затем проанализируйте их с помощью Wireshark или tsharkна другом компьютере.
и т. д.

tcpdump не отображает RSSI

решение1

Связанный контент