Che cosa significa il segnale SSI nei pacchetti catturati in wireshark?

2

Nel pacchetto catturato qui sotto, catturato da wireshark

il SSI Signal in dBm rappresenta la potenza alla quale la scheda di rete sniffing (ad esempio l'adattatore di rete USB wlan1 su Raspberry Pi3) ha ricevuto il pacchetto o rappresenta la potenza a cui un AP Wi-Fi nelle vicinanze (punto di accesso ) ha ricevuto questo pacchetto? (Scusa se questa domanda è troppo facile per voi ragazzi).

    
posta haccks 23.02.2017 - 23:48
fonte

1 risposta

3

Un punto simile è stato risposto su SO / SE di Wireshark in Come interpretare il segnale forza . Eppure possiamo aggiungere ulteriori dettagli qui. E aggiungi alcuni link aggiornati poiché quelli su quella risposta sono morti.

Il segnale SSI è il segnale antena del radiotap (e il rumore SSI è il rumore dell'antenna) e vediamo lì dentro:

RF signal power at the antenna. This field contains a single signed 8-bit value, which indicates the RF signal power at the antenna, in decibels difference from 1mW.

* (enfasi mia)

Prendendo in prestito dalla risposta su SO di wireshark abbiamo:

10((dBm-30)/10) Watts

Quindi, sì, questo è praticamente il potere del segnale. Ma nota che questo è:

  1. Ciò che la tua carta ti sta dicendo, la radiotap è un incapsulamento, non qualcosa che ha effettivamente attraversato l'aria. Pertanto:

    the sniffing network adapter received the packet or it represents the power at which a nearby AP (access point) received this packet?

    È l'adattatore / scheda / antenna di sniffing .

  2. La forza del segnale per il pacchetto non è la forza del segnale nel momento in cui il pacchetto è stato ricevuto. Ora, come abbiamo visto nella citazione radiotap sopra, è la potenza dell'antenna . Ma nota che c'è anche rumore (rumore SSI). Non sono particolarmente sicuro che:

    SSI Signal - SSI Noise = Actual power that the *packet* was received
    

    Questo perché hai Signal to Noise Ratio , e alcuni dei rumori potrebbero essere stati interpretati come parte del segnale. SNR è al di là di me però.

In sintesi, radiotap è l'incapsulamento dello stato della scheda di rete e dell'antenna nel momento in cui il pacchetto è stato ricevuto. È discutibile se ciò possa essere usato come stima della forza del segnale AP. Poiché la potenza del segnale è il segnale della rete che la carta recupera i pacchetti e il resto è (più o meno) il rumore, puoi utilizzarlo come stima.

In condizioni di laboratorio, direi che la potenza del segnale presentata nella radiotap è una abbastanza buona stima della forza del segnale AP scontata della distanza dall'AP. Tuttavia, nel mondo reale, ad es. in un'area urbana con molti AP e interferenze, l'intensità del segnale del radiotap è nettamente inutile per dirti qualcosa su un AP.

Extra

Si noti inoltre che l'incapsulamento del radiotap è parte di IEEE 802.11 ed è lo standard defacto per i pacchetti wireless catturati . Chiamarlo come intestazione è una semplificazione eccessiva. C'è un'intestazione che definisce diversi campi che possono essere presenti o meno e poi c'è un elenco di campi che una determinata carta può o non può fornire (ma dovrebbe dirti quali sono forniti attraverso l'intestazione ). Questo può essere analogo alle opzioni TCP e TCP.

Ad esempio, nel codice del kernel di Linux è possibile trovare la definizione dell'intestazione in include/net/ieee80211_radiotap.h . E poi la struttura che viene costruita dopo l'intestazione in net/wireless/radiotap.c .

Alcune letture utili:

risposta data 24.02.2017 - 02:56
fonte

Leggi altre domande sui tag