使用无线AP设备抓包分析WiFi相关问题的思路.docx

使用无线AP设备抓包分析WiFi相关问题的思路.docx

《使用无线AP设备抓包分析WiFi相关问题的思路.docx》由会员分享，可在线阅读，更多相关《使用无线AP设备抓包分析WiFi相关问题的思路.docx（19页珍藏版）》请在冰豆网上搜索。

使用无线AP设备抓包分析WiFi相关问题的思路

使用无线AP设备抓包分析WiFi相关问题的思路

无线抓包的手段，可以记录下一定频段、时间、空间之内的WiFi通讯过程，将无线数据包记录保存，以供我们分析需要解决的问题，找到解决办法。

适用范围

∙所有计算终端产品、具备WiFi通讯能力的产品，包括但不限于：

手持计算终端、车载计算终端等

解决方案

Contents

一、WiFi无线网络抓包技术手段的主要应用场景

出现以下情况时，可以考虑使用无线抓包的手段帮助分析故障原因：

∙无法通过其它经验/测试手段判断问题出现在哪里（无线、网络、服务器、应用程序、手持终端），可以抓取数据进行分析，帮助问题定位；

∙帮助我们确认问题/责任归属（例如长城汽车的案例）；

∙当产品部门要求抓取日志的同时，抓取无线数据包，在处理Wi-Fi相关问题时，可以提供帮助（例如EDA60K在京东天津仓更改漫游机制时）；

∙当漫游切换效果总是不理想的时候，可以抓包分析漫游切换过程。

二、无线网络抓包方式简介：

主流的抓包手段主要有两种：

∙通过特定无线网卡和软件进行抓包

∙通过特定无线AP设备进行抓包

无论使用哪种抓包手段，WiFi无线抓包的基本限制条件如下：

∙只能够抓取在同一空间（距离太远，收不到的不行）范围内的数据包；

∙同一时间统一设备只能够抓取同一信道的数据包；

本文主要介绍利用无线AP设备进行WiFi无线抓包的方法，特定无线网卡抓包方法暂不作重点介绍。

1.抓包设备组成：

如上图所示，需要的具体设备如下表描述：

设备名称

设备品牌型号

简单描述

数量

无线AP

RuckusR500

双频802.11ac2stream无线AP

1

PoE供电模块

不限

为无线AP提供网线供电功能，与电源适配器二选一

1

无线AP电源适配器

不限

12v1A，外负内正，与POE模块二选一

1

网线

不限

网络跳线，长度根据现场情况选择

2

PC/Laptop

不限

具备千兆有线网卡即可

1

抓包软件

Wireshark

开源免费抓包工具软件，无版权问题

1

2.抓包操作步骤介绍：

1）准备工作：

根据你的需要，设计抓包的场景和时机：

简单来说，一定要保证发生问题的时候，AP与手持处于相近位置，并且正在抓取数据包；

如果问题发生在移动场景中，范围小时，可以将AP安装在中心位置，有点距离的数据包，也是可以监听到的；范围大时，采用移动电源的方式（小型APS），移动跟随抓包；

2）步骤1：

设置无线AP进入抓包工作状态：

启动无线AP：

将AP连接电源，并与PC通过网线连接，如下图所示：

使用PoE模块连接示意图

使用外借电源连接示意图

将PC/Laptop网卡ip地址设置为192.168.1.xx/24；

通过ping192.168.1.1（AP缺省IP地址），确认AP已经启动完毕；

3）步骤2：

设置无线AP进入抓包工作状态：

通过SSH连接到AP（用户名/密码：

super/sp-admin），然后输入以下命令，配置AP进入监听模式：

a.查看监听空口状态，WLAN100为2.4GHz空口，WLAN101为5GHz空口；

rkscli:

getwlanlist##用这个命令来确认WLAN100/WLAN101两个监听空口的状态

namestatustypewlanIDradioIDbssid

-----------------------------------------------------------------

svcpupAPwlan002c:

5d:

93:

30:

5b:

48

homeupAPwlan102c:

5d:

93:

70:

5b:

48

rcksupAPwlan202c:

5d:

93:

b0:

5b:

48

mdfxdownAPwlan3000:

00:

00:

00:

00:

00

wlan4downAPwlan4000:

00:

00:

00:

00:

00

wlan5downAPwlan5000:

00:

00:

00:

00:

00

wlan6downAPwlan6000:

00:

00:

00:

00:

00

wlan100downMONwlan100000:

00:

00:

00:

00:

00

wlan32upAPwlan3212c:

5d:

93:

30:

5b:

4c

wlan33upAPwlan3312c:

5d:

93:

70:

5b:

4c

wlan34upAPwlan3412c:

5d:

93:

b0:

5b:

4c

wlan35downAPwlan35100:

00:

00:

00:

00:

00

wlan36downAPwlan36100:

00:

00:

00:

00:

00

wlan57downAPwlan57100:

00:

00:

00:

00:

00

wlan58downAPwlan58100:

00:

00:

00:

00:

00

wlan101downMONwlan101100:

00:

00:

00:

00:

00

OK

rkscli:

b.以2.4GHz监听为例，设置WLAN100空口工作在监听状态；使用getwlan命令检查符合配置是否成功；

rkscli:

setcapturewlan100stream

Capturingin20MHzchannelBW

OK

rkscli:

getwlanlist

namestatustypewlanIDradioIDbssid

-----------------------------------------------------------------

svcpupAPwlan002c:

5d:

93:

30:

5b:

48

homeupAPwlan102c:

5d:

93:

70:

5b:

48

rcksupAPwlan202c:

5d:

93:

b0:

5b:

48

mdfxdownAPwlan3000:

00:

00:

00:

00:

00

wlan4downAPwlan4000:

00:

00:

00:

00:

00

wlan5downAPwlan5000:

00:

00:

00:

00:

00

wlan6downAPwlan6000:

00:

00:

00:

00:

00

wlan26downAPwlan26000:

00:

00:

00:

00:

00

wlan100upMONwlan100000:

00:

00:

00:

00:

00

wlan32upAPwlan3212c:

5d:

93:

30:

5b:

4c

wlan33upAPwlan3312c:

5d:

93:

70:

5b:

4c

wlan34upAPwlan3412c:

5d:

93:

b0:

5b:

4c

wlan35downAPwlan35100:

00:

00:

00:

00:

00

wlan57downAPwlan57100:

00:

00:

00:

00:

00

wlan58downAPwlan58100:

00:

00:

00:

00:

00

wlan101downMONwlan101100:

00:

00:

00:

00:

00

OK

rkscli:

c.设置监听信道，以2.4GHz信道1为例；

rkscli:

setchannelwlan1001

OK

4）步骤3：

通过PC/Laptop执行抓包：

a.在PC上打开Wireshark软件，选择Capture—Options；

b.点击ManageInterface

c.进入RemoteInterface选项卡，点击Add添加远程监听空口

d.输入无线AP的ip地址；

e.确认添加成功；

f.选择wlan100作为本次抓包的监听空口，选择保存抓包文件位置，点击开始start

g.查看结果，同时将抓包数据保存为Wiresharkcapturefile（.pcapng）文件

三、抓包文件的分析

无线数据抓包完成后，你能够在Wireshark中看到很多数据：

抓包的过程会将无线AP能够接手到的特定信道的所有无线数据包都记录下来，但是与我们需要处理问题相关的数据却没有这么多，因此我们的第一件事就是：

1.找到你需要的数据

最常用的找到数据的方法就是过滤。

Wireshark提供丰富的过滤器功能，帮助我们找出我们关心的数据包。

1）WLAN地址过滤

所谓wlan地址过滤，过滤是无线设备的MAC地址。

无线数据包与有线以太网数据包的帧格式不同，在过滤指令上与有线网的MAC不同，因而在此单独列出。

我们经常用wlan地址过滤来筛选出我们关心的无线客户端的相关数据，简单举例如下：

例如我们要过滤出某个手持终端发出的所有数据，可以使用下列命令（假设该终端无线网卡MAC地址是：

00:

10:

40:

bf:

6e:

98。

wlan.sa==00:

10:

40:

bf:

6e:

98

其中wlan.sa表示过滤的目标是无线数据包中，源地址（sa表示sourceaddress）是00:

10:

40:

bf:

6e:

98的数据包

过滤中的等于号用==表示

把上述命令输入过滤命令栏，回车后wireshark会对数据进行过滤，如下图所示：

wlan.da表示对目的地址的过滤（da=destinationaddress）

wlan.addr表示对目的或源地址同时过滤，等于wlan.sa和wlan.da两个条件或联合过滤效果

2）MAC地址过滤

与wlan.da/sa/addr类似，以eth开头，替换wlan；

例如eth.sa==00:

10:

40:

bf:

6e:

98

3）IP地址过滤

以ip开头，例如ip.addr==192.168.0.1；同样sa表示源地址，da表示目的地址；

4）控制帧类型过滤

基本上网络数据包可以分为两大类：

应用数据和协议控制。

在处理一些比如断网、掉线等明显的协议控制类的现象时，我们可以根据一些特定的控制帧类型来做过滤。

比如，发现PDA总是掉线，那个我们就可以用下面这个语句查找AP设备踢PDA下线的数据包：

wlan.fc.type_subtype==0x0c

wlan表示无线，fc表示控制帧，type_subtype表示控制帧的类型，0x0c是deauthenticaiton包的特定类型编码。

过滤效果如下：

5）协议过滤

如果面对的问题是某个应用程序通讯问题，而不是WiFi掉线、漫游慢等问题，我们可以通过协议过滤来找出某个应用相关的数据包。

例如telenet应用一般使用tcp23端口作为通讯端口，我们可以通过下面的命令来过滤：

tcp.port==23

6）多条件查询过滤

我们可以通过多个过滤语句的联合查询来过滤出我们需要的数据。

联合的方式主要是：

“||”——或联合

“&&”——并联合

“（）”——括号可以用来规定过滤执行顺序

举例来说，想过滤出A和B之间所有无线数据包中某个应用的数据包：

假设A是PDA，B是服务器；

首先确定A的无线网卡地址为00:

11:

22:

33:

44:

55:

66

其次B是有线网络上的某服务器，没有wlan地址，但我们知道IP地址是：

10.0.0.1

最后应用程序采用webservice通讯方式，使用8080端口

可以采用的过滤语句为：

（wlan.addr==00:

11:

22:

33:

44:

55:

66&&ipaddr==10.0.0.1）&&tcp.port==8080

2.在数据包中发现信息

在找到我们感兴趣的数据包之后，下一步是找到我们感兴趣的数据包信息。

有几个常用的手段来发现数据包中的异常情况。

1）查看无线基本连接信息

每个无线数据包中都包含基础的无线网络信息，这些基本信息可以给我们一些WiFi通讯的基本情况。

如下图所示，选中任何一个数据包记录后，在下方的数据包详细信息面板中，你可以看到展开的数据包具体信息。

在802.11radioinformation下，我们能够读到很多基本信息，这些信息包括：

∙连接协议（PHYtype）：

通讯时使用的802.11协议是abgn的哪一个？

∙连接速率（datarate）：

当前的连接速率是多少？

∙信道（channel）：

使用的信道是哪个频段、编号、20MHz还是40MGz（ac和n协议才会使用40MHz）？

∙信号强度（signalstrength）：

表示这个数据包接收时的信号强度是多少（监听设备接受到的，不表示客户端接受到的）

利用好这些基础信息，在后面找到问题数据包后分析问题会有一定帮助。

2）利用Wireshark颜色提示功能

Wireshark会在现实数据时，对不同类型的数据包显示出不同的颜色，颜色分类原则上是问题越大、越可疑的数据包颜色越深，如下图：

这个黑色显示的数据包查看具体内容时，会发现错误提示：

校验错误！

也就是说，这个数据包的校验值是不对的！

但为什么会发这这个问题，我们再查看更多的基本信息，发现：

这个数据包的信号接收强度已经无法记录（dBmantennasignal:

0），因此可以初步判断，这个数据包的发射源距离抓包AP很远或阻挡物多，信号太差导致数据接收的错误。

Wireshark对于颜色显示的定义也是可以自己做设置的，如下图：

在菜单viewer---coloringrules中，我们可以修改或查看当前的定义内容：

3.案例举例

对于无线数据包的分析，有很多技巧和基本知识需要掌握，错综复杂，本文无法全面涉及，写几本书也是可以的。

但实际操作中，其实也没有看上去的那么难。

下面以在长城汽车自动变速器车间发生的实际问题为例，做一个案例介绍，希望能对大家有所帮助。

1）长城汽车CK75-Extreme无线-H3C交换机故障分析

问题背景：

CK75连接Extreme的无线（AP7522）时，长时间连接不上无线网络，或者连接上之后网络不通。

Extreme说，你们终端有问题，因为其他设备能正常连接；

我们说，我们的终端没有问题，因为一期车间用H3C的AP，一切正常；

客户说……不管，快给我解决；

怎么办？

开始抓包：

我们提前准备好抓包工具，搭建好环境，将CK75放在AP边上，然后开始连接CK75到客户的无线网络中：

过程中发生了之前的故障，CK75总是在不断连接无线网，或者连接之后无法通讯。

抓到数据后，我们开始着手寻找通讯过程中的问题。

首先，过滤出CK75与AP之间的所有通讯数据：

过滤公式：

源地址是CK75的MAC或目的地址是CK75，这个过滤将最大化的包含所有CK75发生关系的数据，不会遗漏：

Wlan.sa==00:

10:

40:

bf:

6e:

98||wlan.sa==00:

10:

40:

bf:

6e:

98

或wlan.addr==00:

10:

40:

bf:

6e:

98

过滤出的数据如下：

在查看这些数据包的时候，首先发现的是这样的问题数据包：

Deauthentication数据包是Wi-Fi通讯过程中的下线通知，这个数据包的出现意味着断网或离开网络，正常情况下，不应该连续出现（这一点我们可以通过数据包的编号看到）

再继续查看这些deauthentication的具体信息：

首先可以确认的是，这些数据包都是Extreme发送给CK75的：

然后我们找到了发送这个数据包的reasoncode：

Reasoncode3，描述说明是因为没有关联到这个AP的客户端发送了数据帧（所有数据帧都应该是客户端关联到AP之后才开始发送，关联之前应该只有控制帧，没有数据帧。

进一步查看数据

利用以下公式进行进一步过滤：

（wlan.sa==00:

10:

40:

bf:

6e:

98）||（wlan.da==00:

10:

40:

bf:

6e:

98&&wlan.sa==b8:

50:

01:

97:

1f:

30）

所有CK75发出的数据和ExtremeAP响应CK75的数据：

可以看到，在过滤出的数据中，CK75发出的数据在extreme回复关联成功前，没有数据帧，都是控制帧：

编号9503的数据包是ExtremeAP发送给CK75的关联成功回应（Associationresponse）：

在这之前，CK75没有发出不应该发送的数据帧，发出的都是连接AP的控制帧。

至此，我们已经可以向用户说明实际问题的发生状况，并要求Extreme技术人员给出进一步的分析和解释。

.