題 wlan.sa,wlan.ra,wlan.ta和wlan.da有什麼區別?


Tshark / wireshark(CLI)有幾個要顯示WLAN的字段,包括這四個字段(+手冊中的描述):

  • wlan.sa:來源地址
  • wlan.ra:收件人地址
  • wlan.ta:發射器地址
  • wlan.da:目的地地址

手冊中的描述對我來說並沒有多大意義。我認為會有 - 就像一個以太網幀 - 只是一個源MAC地址和一個目的MAC地址。在捕獲一些數據包並檢查它們之後,顯然有時不會使用所有這些字段。

誰能讓我更清楚地解釋這四個地址之間的區別?而且,最好的相當於什麼 eth.src 和 eth.dst (以太網幀)?哪個字段代表無線客戶端的MAC地址?


5
2017-11-18 22:10


起源




答案:


手冊中的描述對我來說並沒有多大意義。我認為會有 - 就像一個以太網幀 - 只是一個源MAC地址和一個目的MAC地址。

對不起,這不是IEEE Std 802.11的工作原理。這不是一種簡單的網絡技術,主機總是將數據包直接發送到另一台主機;許多802.11網絡都涉及一個在網絡上的機器之間轉發數據包的接入點。

例如,如果MAC地址為00:02:04:06:08:0a的主機將數據包發送到MAC地址為0a:08:06:04:02:00的另一台主機,則它們都打開使用MAC地址為10:12:14:16:18:1a的接入點的網絡,源地址, wlan.sa,是00:02:04:06:08:0a,目的地址, wlan.da,是0a:08:06:04:02:00,接收者地址, wlan.ra,是10:12:14:16:18:1a,因為數據包將進入接入點。

當接入點將該數據包發送到目標主機時,對於該數據包的源地址, wlan.sa,又是00:02:04:06:08:0a,目的地址, wlan.da,又是0a:08:06:04:02:00,以及發射機地址, wlan.ta,是10:12:14:16:18:1a,因為數據包來自接入點。

在具有多個接入點(“擴展服務集”)的更複雜的網絡中,接入點可以相互轉發分組,在這種情況下,可以設置所有四個地址, wlan.ta 是發送接入點的MAC地址 wlan.ra 是接收接入點的MAC地址。

所以:

而且,最好的相當於什麼 eth.src 和 eth.dst (以太網幀)?

wlan.sa 和 wlan.da

哪個字段代表無線客戶端的MAC地址?

wlan.sa

如果您在Web上搜索“802.11教程”,它顯示的一些教程可能會有用。

如果你願意“從火炬中喝一杯”,總會有 802.11標準本身


4
2017-11-19 00:05



謝謝你的回答,這讓它更加清晰。但你能告訴我為什麼嗎? wlan.sa 和 wlan.da 有時候是空的? wlan.da 大多數時候顯然是空的。 - user2862333
控制幀不是通過接入點“橋接”的,它們只有一個發射機地址(wlan.ta)和接收者地址(wlan.ra),他們沒有來源或目的地地址(wlan.sa 要么 wlan.da)。至於 wlan.da 在大多數時間都是空的,我只是在我們的網絡上進行了監控模式捕獲,而且都沒有 wlan.sa 也不 wlan.da 在大多數數據包上都是空的。 (做 不 假設Source和Destination列是 wlan.sa 和 wlan.da,分別 - 他們不是!)


在對此事進行了更多實驗後,我注意到了以下情況。

我正在使用tshark 1.7.x(來自我的發行版存儲庫)捕獲/分析。 wlan.ra 和 wlan.ta 確實很少。手動升級到tshark 1.10.x後, wlan.ra 和 wlan.ta突然“開始表現正常”。 雖然 顯示過濾器參考頁面 索賠 wlan.ra 和 wlan.ta 從版本1.0.0開始可用,顯然它們無法正常工作。

我以為我會分享它,因為其他人可能覺得它很有用。


2
2017-11-26 17:15





來自https://supportforums.cisco.com/document/52391/80211-frames-starter-guide-learn-wireless-sniffer-traces:
“目標地址(DA):幀的最終收件人
源地址(SA):幀的原始來源
接收器地址(RA):幀的直接接收器
發送器地址(TA):幀的立即發送者“

它們的值與To DS,From DS(To / From - distribution system)的值組合解釋:

至DS = 0,從DS = 0
在兩個站之間發送的幀不是BSS或IBSS中的AP。所有管理和控制幀也是如此(直接發送到AP而不是DS)

至DS = 0,從DS = 1
由站發送給AP的幀(發往DS)

至DS = 1,從DS = 0
退出DS的幀。

至DS = 1,從DS = 1
僅使用所有四個地址字段的幀。在無線DS(網狀網,中繼器,......)中看到AP將幀發送到另一個AP,它正在退出DS並在該情況下同時發往DS。


2
2018-02-11 15:38