Cette section a pour but de présenter l'utilisation de l'analyseur réseau Wireshark dans le contexte spécifique des réseau sans-fils IEEE 802.11. Une première présentation de cet analyseur et de son usage pour les protocoles de couche réseau et plus est disponible avec le support Introduction à l'analyse réseau avec Wireshark.
La singularité de l'analyse des réseaux sans-fils tient au fait qu'une interface ne peut pas être utilisée en mode infrastructure (managed) et en mode d'analyse radio (monitor) simultanément.
L'analyse en mode infrastructure ne peut capturer que des trames Ethernet «classiques». Ce contexte est strictement identique à l'analyse sur des réseaux filaires.
L'analyse radio sert à capturer des trames de gestion échangées entre stations et points d'accès. C'est le mode d'analyse qui est principalement utilisé dans le contexte de ce document.
Les opérations de configuration d'interface pour passer en mode analyse radio sont identiques à celles présentées dans la Section 4, « Utilisation de kismet ». Les commandes diffèrent suivant le modèle d'interface.
Voici quelques indications sur l'utilisation de wireshark en mode analyse radio.
- Type d'encapsulation,
IEEE 802.11 plus radiotap WLAN header -
Si cette option de capture de trame n'apparaît pas dans les options, c'est que l'interface réseau n'est pas correctement configurée pour une analyse radio. Il faut alors reprendre les opérations de configuration avec la commande iwconfig.
-
Filtrage des trames de type Beacon,
!(wlan.fc.type_subtype == 0x08) -
Suivant la densité des points d'accès, il est très probable que la phase de capture de trame soit noyée dans un flot continu de trame de type beacon. Bien souvent, les points d'accès sont très mal paramétrés et émettent ces trames à une fréquence trop élevée relativement au fonctionnement optimal de l'infrastructure sans-fil. De plus, ces trames ont pour conséquence d'activer les interfaces sans-fil des stations présentes dans la zone de couverture radio. Ces activations répétées entraînent une consommation plus importante pour les stations fonctionnant sur batteries. Il est donc conseillé d'augmenter la période d'émission des trames Beacon pour optimiser le temps de fonctionnement des équipements mobiles sur batteries.
Pour filtrer ces trames non désirées et isoler plus facilement les échanges intéressants, on sélectionne une trame de type Beacon et on applique la règle suivante :
