Wi-Fi rouming analyze

How can we help?

Создано
Последнее обновление
отzamiloff
Print
Навигация

Оригинальная статья здесь.

Чтобы быстро найти события роуминга в файле захвата, отфильтруйте список пакетов по кадрам запроса ассоциации 802.11 или кадрам запроса повторной ассоциации 802.11 с помощью следующего фильтра (логика ИЛИ обозначается двумя символами «||»):

(wlan.fc.type_subtype == 0x00) || (wlan.fc.type_subtype == 0x02)

фильтрация пакетов на одной беспроводной клиентской станции для анализа производительности роуминга одного устройства (или для фокусировки анализа на одном клиенте за раз)

wlan.addr == 02:22:a2:ba:b1:02

можете объединить два фильтра, чтобы просматривать только события роуминга, связанные с конкретным клиентом. Это очень полезно при записи в режиме реального времени с несколькими клиентами в зоне действия. Фильтр отображения объединит два компонента с логикой И, обозначенной двумя амперсандами ‘&&’ следующим образом:

(wlan.addr == 0c:77:1a:c1:24:a2) && ((wlan.fc.type_subtype == 0x00) || (wlan.fc.type_subtype == 0x02))

Больше информации по фильтрам здесь

802.11k

Если в дампах в IE (информационном элементе) отсутствует функция RM, то 802.11k НЕ включен для этого SSID. Если он есть, можно с уверенностью предположить, что 802.11k поддерживается. Для того чтобы убедиться, включена ли функция Neighbor Reports в первом октете функций RM смотрим дамп в Wireshark:

Пример Wireshark с включёнными возможностями RM и элементами Neighbor Report в кадре маяка

802.11v

Наличие поддержки 802.11v можно посмотреть в кадре Beacon, в элементе информации Extended Capabilities (127) и посмотреть на 4-й бит 3-го октета, этот бит называют «BSS Transition bit».

802.11r

Индикатором наличия 802.11r является beacon под названием Mobility Domain, если в дампах отсутствует Mobility Domain IE, то SSID НЕ поддерживает 802.11r. Если он есть, то вам нужно развернуть подэлемент «FT Capability and Policy», чтобы определить, использует ли SSID «Over The Air» или «Over The DS». Вот как это выглядит в Wireshark, включая подэлемент, определяющий, что SSID использует FT «Over The DS».


Вот как это выглядит в Wireshark, включая подэлемент, определяющий, что SSID использует FT «Over The Air» (поскольку Over The DS отключён).