mengapa saya tidak melihat lalu lintas menggunakan TCPDUMP saat mengendus antarmuka nirkabel dengan stasiun dalam mode WDS

4

Saya memiliki 2 antarmuka nirkabel yang satu memiliki tipe AP dan yang lainnya memiliki tipe monitor.

AP terpasang ke jembatan br-lan.

Ketika saya menjalankan misalnya:

tcpdump port 5201 -s 0 -ni wlan0

TCPdump tidak dapat menangkap lalu lintas apa pun, sementara jika saya menjalankannya tanpa filter "port 5201" ia menangkap semuanya. Situasi yang sama jika saya memfilter hanya pada "udp", itu tidak dapat menangkap satu paket pun.

dan ketika saya menjalankannya di antarmuka br-lan menggunakan filter yang tepat:

tcpdump port 5201 -s 0 -ni br-lan

ini berfungsi dengan sempurna seperti yang saya inginkan, tetapi masalahnya saya tidak bisa mendapatkan header radiotap dalam hal ini karena menganggap jembatan sebagai antarmuka Ethernet.

Apa solusinya dalam kasus ini? Apakah ada format untuk menentukan untuk menyaring dalam jenis tautan: IEEE802_11_Radio ?? Apakah ada alat khusus untuk melakukan itu dengan adaptor nirkabel?

Terima kasih sebelumnya.

Memperbarui

Apa yang menyebabkan masalah ini adalah WDS (Wireless Distributed System) yang diaktifkan pada perangkat stasiun (Skenario saya adalah: dua perangkat dengan openwrt dalam mode infrastruktur). Segera setelah saya mengkonfigurasi ulang perangkat stasiun saya untuk tidak menggunakan WDS, tcpdump bekerja dengan benar seperti yang saya inginkan. Namun penjelasan sebenarnya mengapa ini terjadi tidak diketahui.

jika seseorang mengetahui alasannya atau mengetahui cara memfilter lalu lintas dalam mode WDS, harap sebutkan dalam jawaban karena saya kehilangan fitur karena menonaktifkan WDS.

Alberto
sumber
"TCPdump tidak dapat menangkap lalu lintas apa pun sementara jika saya menjalankannya tanpa filter" udp "ia menangkap semuanya". Pada contoh yang Anda berikan, di mana Anda mengatakan "tidak dapat menangkap lalu lintas apa pun", Anda tidak menjalankannya dengan "udp" sebagai filter; maksud Anda "jalankan tanpa filter", yaitu tcpdump -s 0 -ni wlan0?
ya maksudku tanpa port atau filter udp. yaitu persis seperti yang Anda tulis: tcpdump -s 0 -ni wlan0 Saya menulis ini karena bahkan jika saya filter pada "udp" itu tidak akan menangkap lalu lintas apa pun. Saya akan mengedit pertanyaan. Terima kasih
Alberto
Jadi apa yang terjadi jika Anda menggunakan filter "ketik data"? Apa yang dicetak? Apakah itu mencetak sesuatu yang dikenali sebagai lalu lintas IP, atau hanya sekelompok "Data IV: xxx Pad yyy KeyID zzz" untuk berbagai nilai xxx, yyy, dan zzz?
Saya pikir saya bisa mendapatkan traffic ip yang mudah dikenali. misalnya inilah yang saya dapatkan ketika melakukan ping perangkat yang mengendus dengan filter "type data": 23: 58: 13.016176 36.0 Mb / s [bit 15] CF + QoS IP 192.168.1.1> 192.168.1.100: Balasan gema ICMP, id 42500, seq 9, panjang 64
Alberto
Jadi, apakah Anda melihat lalu lintas UDP dengan "ketik data" pada saat Anda tahu pasti bahwa ada lalu lintas UDP di jaringan Anda?

Jawaban:

0

Saya berpikir bahwa lalu lintas Anda tidak memiliki lalu lintas pada port 5201 atau lalu lintas UDP. Adapun header, tcpdump memang memiliki saklar "--monitor-mode". Coba itu. Seharusnya mengarahkan antarmuka nirkabel ke mode monitor, yang mana Anda ingin "melihat" info nirkabel.

Apakah -monitor-mode akan berfungsi tergantung pada sejumlah hal: NIC nirkabel Anda akan perlu mendukung mode monitor, tcpdump harus dari versi terbaru, dan driver kernel Anda harus mendukung NIC dengan benar (yaitu, kadang-kadang Anda perlu membangun driver khusus yang bukan bagian dari instalasi standar).

Juga, tergantung pada versi tcpdump, Anda mungkin dapat menjatuhkan bagian "-s 0" dari perintah Anda. Jika Anda membiarkannya, default tcpdump ke panjang snap 262144 byte (oke, saya harus melihat ke atas). Mengatur snaplength ke "0" menghasilkan hal yang sama.

joat
sumber