6GHz Wi-Fi が少しずつ増えてきていますが、Macbookがまだなのと、Linuxおそらくまだ日本の技適に対応したDriverがなくて使えません。(使い方ご存知の方がいれば教えてください)
そうすると、パケットキャプチャを取りたくても簡単に取る環境がありません。
(2.4/5GHz のキャプチャをMacbook/Linuxで簡単にする方法は
こちら)
そんなときは、Wi-Fi 6E対応のAruba APがあればキャプチャすることができます。
環境は以下のようになります。
必要なものは、キャプチャ用のIAPと、キャプチャしたパケットを受信するPCです。
IAP自身にキャプチャパケットを保存するのではなく、
キャプチャした無線パケットを外部に転送する方式を取っています。
キャプチャ手順は以下の通りです。
1. キャプチャするチャネルにIAPのチャネルを手動で合わせるアクセスポイントのラジオ設定で、チャネル設定を手動で設定します。
もしくは、この時にモードをアクセスからモニターに変更し、後のpcapコマンドでチャネルを指定することもできます。
2. "show ap monitor status" で base BSSID を確認キャプチャしたいラジオのbase BSSIDを確認します。
Capture-AP# show ap monitor status | begin "WLAN Interface"
WLAN Interface
---------------
bssid scan monitor probe-type band/chan/ch-width/ht-type task pkts max-ap-cl-delay max-sta-cl-delay reinit-cnt last-reinit-time is_mz
----- ---- ------- ---------- -------------------------- ---- ---- --------------- ---------------- ---------- ---------------- -----
34:8a:12:xx:xx:xx enable enable sap 5GHz/116E/80MHz/HE tuned 648098 supp - 2 29 N
34:8a:12:yy:yy:yy enable enable sap 6GHz/37/20MHz/HE tuned 118913 supp - 3 29 N
3. キャプチャをスタートする
以下のコマンドでキャプチャをスタートします。
pcap start <bssid> <ip> <port> <format> <maxlen> <channel>
bssid : #2で確認したBSSIDを指定します
ip : キャプチャPCのIPアドレス
port : 任意ですが、5555を使う事が多いです。
format : 以下の中から選択します。Wiresharkの場合、1のPEEKREMOTEがお手頃です。
<format> 0 pcap 1 peek 2 airmagnet 3 pcap radio 4 ppi 5 peek with 11n/11ac header 6 radiotap
maxlen : キャプチャ対象にする802.11フレームの最大長を指定します。大きめに設定しておけば問題ありません。
channel : モニターモードの時は、ここでチャネルを指定することができます
例:
Capture-AP# pcap start 34:8a:12:yy:yy:yy 192.168.1.14 5555 1 2000
Packet capture has started for pcap-id:1
キャプチャを停止する場合は、以下のようにBSSIDとpcap-idを指定して停止します。
stop <bssid> <id>
4. キャプチャPCでWiresharkを起動+デコードする
最後に、キャプチャPCでWiresharkを起動し、#3で指定したIPを持つインタフェースをキャプチャします。
キャプチャしたフレーム、上記例だとPort 5555 のフレームを右クリック、Decode As を選択します。
5555はデフォルトではSIGCOMPとなっているので、PEEKREMOTEを選択し、保存します。
そうすると、Port 5555のフレームを解析し、Wireless フレームとして表示してくれます。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------