日本語フォーラム

 View Only

[WLAN] IAP で パケットキャプチャ

This thread has been viewed 37 times
  • 1.  [WLAN] IAP で パケットキャプチャ

    Posted Jan 05, 2023 08:00 PM
    6GHz Wi-Fi が少しずつ増えてきていますが、Macbookがまだなのと、Linuxおそらくまだ日本の技適に対応したDriverがなくて使えません。(使い方ご存知の方がいれば教えてください)
    そうすると、パケットキャプチャを取りたくても簡単に取る環境がありません。
    (2.4/5GHz のキャプチャをMacbook/Linuxで簡単にする方法はこちら

    そんなときは、Wi-Fi 6E対応のAruba APがあればキャプチャすることができます。
    環境は以下のようになります。
    必要なものは、キャプチャ用のIAPと、キャプチャしたパケットを受信するPCです。
    IAP自身にキャプチャパケットを保存するのではなく、
    キャプチャした無線パケットを外部に転送する方式を取っています。

    キャプチャ手順は以下の通りです。

    1. キャプチャするチャネルにIAPのチャネルを手動で合わせる
    アクセスポイントのラジオ設定で、チャネル設定を手動で設定します。
    もしくは、この時にモードをアクセスからモニターに変更し、後のpcapコマンドでチャネルを指定することもできます。


    2. "show ap monitor status" で base BSSID を確認
    キャプチャしたいラジオのbase BSSIDを確認します。
    Capture-AP# show ap monitor status | begin "WLAN Interface"
    WLAN Interface
    ---------------
    bssid              scan    monitor  probe-type  band/chan/ch-width/ht-type  task   pkts    max-ap-cl-delay  max-sta-cl-delay  reinit-cnt  last-reinit-time  is_mz
    -----              ----    -------  ----------  --------------------------  ----   ----    ---------------  ----------------  ----------  ----------------  -----
    34:8a:12:xx:xx:xx  enable  enable   sap         5GHz/116E/80MHz/HE          tuned  648098  supp             -                 2           29                N
    34:8a:12:yy:yy:yy  enable  enable   sap         6GHz/37/20MHz/HE            tuned  118913  supp             -                 3           29                N​


    3. キャプチャをスタートする
    以下のコマンドでキャプチャをスタートします。

    pcap start <bssid> <ip> <port> <format> <maxlen> <channel>

    bssid : #2で確認したBSSIDを指定します
    ip : キャプチャPCのIPアドレス
    port : 任意ですが、5555を使う事が多いです。
    format : 以下の中から選択します。Wiresharkの場合、1のPEEKREMOTEがお手頃です。
        <format> 0 pcap 1 peek 2 airmagnet 3 pcap radio 4 ppi 5 peek with 11n/11ac header 6 radiotap
    maxlen : キャプチャ対象にする802.11フレームの最大長を指定します。大きめに設定しておけば問題ありません。
    channel : モニターモードの時は、ここでチャネルを指定することができます

    例:
    Capture-AP# pcap start 34:8a:12:yy:yy:yy 192.168.1.14 5555 1 2000
    
    Packet capture has started for pcap-id:1


    キャプチャを停止する場合は、以下のようにBSSIDとpcap-idを指定して停止します。

    stop <bssid> <id>


    4. キャプチャPCでWiresharkを起動+デコードする
    最後に、キャプチャPCでWiresharkを起動し、#3で指定したIPを持つインタフェースをキャプチャします。
    キャプチャしたフレーム、上記例だとPort 5555 のフレームを右クリック、Decode As を選択します。
    5555はデフォルトではSIGCOMPとなっているので、PEEKREMOTEを選択し、保存します。
    そうすると、Port 5555のフレームを解析し、Wireless フレームとして表示してくれます。


    6GHz に限らずWirelessキャプチャ機器が無い時はIAPもご活用下さい。


    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------