How can we help?
Для начала было бы не плохо для наглядности раскрасить пакеты в интерфейсе Wireshark в разные цвета, материал взят отсюда. Скачиваем файл:
Распаковываем его в папку C:\Users\User1\AppData\Roaming\Wireshark\profiles\MetaGeek Profile. После в правом нижнем углу выбираем соответствующий профиль
Получаем такой вид:
Фильтрование по адресу:
МАС адресу
wlan.addr == 00:11:22:33:44:55
MAC адресу передатчика
wlan.ta == 00:11:22:33:44:55
MAC адресу приемника
wlan.ra == 00:11:22:33:44:55
MAC адресу источника
wlan.sa == 00:11:22:33:44:55
MAC адресу назначения
wlan.da == 00:11:22:33:44:55
Фильтр по Wi-Fi сетям:
BSSID — это MAC-адрес идентифицирующий точку доступа.
wlan.bssid == 00:11:22:33:44:55
SSID — это имя сети Wi-Fi, может использоваться несколькими точками доступа.
wlan_mgt.ssid == “HomeNet”
Фильтр по management frames:
Management Frames 802.11 (тип = 0) используются станциями для подключения и отключения от BSS. Всего имеется 12 различных типов Management Frames 802.11, для фильтрации любого из типов Management Frames:
wlan.fc.type == 0
по запросам на ассоциацию, Association Requests:
wlan.fc.type_subtype == 0
по ответам на запросы ассоциации, Association Responses:
wlan.fc.type_subtype == 1
по запросам на реассоциацию, Reassociation Requests:
wlan.fc.type_subtype == 2
по ответам на запросы реассоциации, Resssociation Responses:
wlan.fc.type_subtype == 3
по Probe Requests:
wlan.fc.type_subtype == 4
по Probe Responses:
wlan.fc.type_subtype == 5
по Beacons:
wlan.fc.type_subtype == 8
по ATIM:
wlan.fc.type_subtype == 9
по кадрам диассоциации, Disassociations:
wlan.fc.type_subtype == 10
по кадрам аутентификации, Authentications:
wlan.fc.type_subtype == 11
по кадрам деаутентификации, Deauthentications:
wlan.fc.type_subtype == 12
по Actions:
wlan.fc.type_subtype == 13
Фильтр по Control Frames:
Control Frames 802.11 (тип = 1) помогают доставлять Data Frames. Всего имеется 8 типов Control Frames 802.11, для фильтрации по любому из типов Control Frames:
wlan.fc.type == 1
по Block ACK Requests:
wlan.fc.type_subtype == 24
по Block ACKs:
wlan.fc.type_subtype == 25
по PS-Polls:
wlan.fc.type_subtype == 26
по Ready To Sends:
wlan.fc.type_subtype == 27
по Clear To Sends:
wlan.fc.type_subtype == 28
по ACKs:
wlan.fc.type_subtype == 29
по CF-Ends:
wlan.fc.type_subtype == 30
по CF-Ends/CF-Acks:
wlan.fc.type_subtype == 31
Фильтр по Data Frames:
Data Frames 802.11 (тип = 2) в основном используются для передачи Data Frames.
Всего имеется 15 различных типов Data Frames 802.11, для фильтрации по любому из типов:
wlan.fc.type == 2
по Data:
wlan.fc.type_subtype == 32
по Data+CF-Ack:
wlan.fc.type_subtype == 33
по Data+CF-Poll:
wlan.fc.type_subtype == 34
по Data+CF-Ack+CF-Poll:
wlan.fc.type_subtype == 35
по Null:
wlan.fc.type_subtype == 36
по CF-Ack:
wlan.fc.type_subtype == 37
по CF-Poll:
wlan.fc.type_subtype == 38
по CF-Ack+CF-Poll:
wlan.fc.type_subtype == 39
по QoS Data:
wlan.fc.type_subtype == 40
по QoS Data+CF-Ack:
wlan.fc.type_subtype == 41
по QoS Data+CF-Poll:
wlan.fc.type_subtype == 42
по QoS Data+CF-Ack+CF-Poll:
wlan.fc.type_subtype == 43
по QoS Null:
wlan.fc.type_subtype == 44
по QoS CF-Poll:
wlan.fc.type_subtype == 46
по QoS CF-Ack+CF-Poll:
wlan.fc.type_subtype == 47<br>
Фильтрация по заголовкам RadioTap:
Заголовки RadioTap предоставляют дополнительную информацию по каналу (channel), скорости передачи данных (data rate), мощность сигнала (signal strength) и т.д.
по частоте:
radiotap.channel.freq == 5240
по скорости передачи, наример менее 6 Мбит/сек:
radiotap.datarate <= 6
по уровню сингнала, например больее чем -60 дБм:
radiotap.dbm_antsignal >= -60
Фильтрация по Management Frame Protected (MFP или PMF)
wlan.rsn.capabilities.mfpr
False — означает что PMF не включен