我在用斯卡皮收集给定的 wifi 流量统计信息苹果。我使用 scapy 记录在监控模式下捕获的数据包的日期、类型、子类型和 rssi。
我看到数据帧数量非常少(类型 2,亚型 0)。为什么?
例如,我启动了下载8MB文件,计数增加一或二。
由于数据帧约为。2千在大小上,我期望此类下载能看到相当数量的数据帧。
wifi 连接采用 802.11n,信道 1 为 WPA2,由 TP-Link 捕获TL-WN722N在rpi3运行 archlinux-arm。
编辑:我尝试将信道带宽设置为 HT40+(iw dev wlan1mon set channel 1 HT40+)但我没有看到更多数据框任何一个。
这和天线的数量有关吗?TL-WN722N 只有一根天线,而 AP 有 2 根,我猜 latpop 也有。
但为什么我会看到其他帧呢?
編輯2:因此使用tshark -i wlan1mon -Y 'wlan.fc.type_subtype == 0x20' -n -t a -T tabs,我发现我只看到数据包到播送或者多播mac 之类ff:ff:ff:ff:ff:ff的33:33:00:00:00:0101:00:5e:7f:ff:fa
即使我将接口设置为混杂模式,情况仍然是一样的......
答案1
802.11n 和 802.11ac 都需要 QOS(WMM、802.11e),因此现在所有数据都以数据/QOS-数据(类型 2 子类型 8)帧的形式发送。
数据/数据 (类型 2 子类型 0) 是过去的 a/b/g 时代正在消失的遗迹。