Какой фрейм 802.11 мне следует использовать для определения, связан ли определенный MAC-адрес с точкой доступа. Кадры маяка, как они названы, могут использоваться для определения точек доступа, но как определить клиентов?
Я пытаюсь добиться чего-то вроде airodump-ng.
решение1
Точки доступа не могут отправлять кадры данных (включая QoS-Data и все другие варианты кадров данных) клиентам, которые не ассоциированы. Поэтому любой кадр FromDS Data на определенный одноадресный MAC-адрес является признаком того, что эта точка доступа считает этого клиента ассоциированным.
Обратите внимание, что в типичных сетях не все ассоциированные клиенты действительно находятся «в сети» и могут отправлять/получать реальный трафик. Это связано с тем, что клиенты ассоциируются до выполнения аутентификации WPA2, а аутентификация WPA2 выполняется с помощью кадров данных (в частности, кадров EAPOL-Key на уровне Ethernet). Клиенты не могут отправлять/получать ничего, кроме кадров EAPOL-Key (опять же, это кадры данных на уровне 802.11), пока рукопожатие WPA2 не завершится успешно. Клиенты, не прошедшие аутентификацию, немедленно отключаются (и деаутентифицируются на уровне 802.11).
Поэтому вам, возможно, стоит исключить кадры EAPOL-Key, если вы действительно ищете клиентов, которые являются полноправными участниками сети с хорошей репутацией.