本页主题: Airpcap NX 抓包率的疑惑 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

dibotiger
级别: *


精华: *
发帖: *
威望: * 点
金钱: * RMB
贡献值: * 点
注册时间:*
最后登录:*

 Airpcap NX 抓包率的疑惑

同样的两台笔记本+Airpcap NX.
笔记本A+Airpcap NX 监听笔记本B的80211通讯.

1. 环境1.
自家的WIFI路由, 设置为OPEN模式, 两台笔记本摆在一个桌面上, 基本上, A可以得到B的所有通讯报文, 丢包率非常低.


2. 环境2
很多城市商业中合体,也提供开放的WIFI, 同样的硬件+同样的摆法, 可是居然只能听到非常少部分的数据报文. 大部分的都没有抓到.


和电磁环境复杂性有关? 如果改善这种环境下的抓包成功率,

能否从理论上解释, 并提供相应的建议.
顶端 Posted: 2014-04-17 18:38 | 福建省 [楼 主]
admin
级别: 管理员


精华: 0
发帖: 233
威望: 233 点
金钱: 2330 RMB
贡献值: 0 点
注册时间:2008-03-03
最后登录:2020-08-13

 

第一种情况,相当于实验室环境,在家里,干扰源比较少,因此很少丢包。
第二种情况,使用环境中应当wifi的热点很多、信道占用率比较高,干扰也比较厉害。
这样的情况下,你如果使用wireshark抓包的话(在线回显),你会发现,目标api的明文数据包比较少,这是因为,你用airpcap抓的是整个信道的包,如果信道占用率比较高的话,你会抓到大量的加密数据帧和控制帧和管理帧,然后经过在线回显的时候,还会丢掉很多包,这样你看到的目标ap的明文数据帧所占的比率就很少了。
如果你遇到的情况与上述情况相符的话,请插上airpcap nx的天线(两个),调整天线的方向,然后在抓包的时候,不要用wireshark回显和滚动,直接保存成文件,然后打开离线文件进行分析。


By Unibrains
顶端 Posted: 2014-04-18 09:18 | 1 楼
dibotiger
级别: *


精华: *
发帖: *
威望: * 点
金钱: * RMB
贡献值: * 点
注册时间:*
最后登录:*

 

Quote:
引用第1楼admin于2014-04-18 09:18发表的  :
第一种情况,相当于实验室环境,在家里,干扰源比较少,因此很少丢包。
第二种情况,使用环境中应当wifi的热点很多、信道占用率比较高,干扰也比较厉害。
这样的情况下,你如果使用wireshark抓包的话(在线回显),你会发现,目标api的明文数据包比较少,这是因为,你用airpcap抓的是整个信道的包,如果信道占用率比较高的话,你会抓到大量的加密数据帧和控制帧和管理帧,然后经过在线回显的时候,还会丢掉很多包,这样你看到的目标ap的明文数据帧所占的比率就很少了。
如果你遇到的情况与上述情况相符的话,请插上airpcap nx的天线(两个),调整天线的方向,然后在抓包的时候,不要用wireshark回显和滚动,直接保存成文件,然后打开离线文件进行分析。

.......



非常感谢回复.共同讨论一下:

我也考虑到繁密的802.11信道里, 大量加密数据帧、控制帧、管理帧对捕包性能的影响,

所以设置对airpcap设备设置了过滤, 只捕获IP报文, 理论上, 它在驱动就直接过滤了上面3种报文, 而只获取明文的IP报文.
从实际的捕获来看,这个过滤是有效的, 虽然格式上还需要你做进一步的处理才能得到最终的明文的以太格式的报文, 但我的确通过过滤实现了只得到了明文的IP报文.

同时, 你说的回显和解码问题, 由于程序是自己编写控制的, 我可以让其不回显也不解码. 所以也不存在CPU占用过高的问题.
但即便做了这两个工作, 我仍然发现,airpcapNX在这种环境下, 丢失了绝大部分的数据报文. 只获取到了其中非常小的一部分报文,即便你要监听的对象就在你身边,照样没用。

所以, 我最终的推测都指向了一个, 无线信道的物理特性问题, 可这方面我又基本一窍不通了.
你所指的定向天线是指向AP还是目标呢?

感谢赐教, 不胜感激.
[ 此帖被dibotiger在2014-04-18 14:11重新编辑 ]
顶端 Posted: 2014-04-18 14:05 | 美国 2 楼
admin
级别: 管理员


精华: 0
发帖: 233
威望: 233 点
金钱: 2330 RMB
贡献值: 0 点
注册时间:2008-03-03
最后登录:2020-08-13

 

在信道占用率比较高的写字楼区,或者办公室集中的地方,抓包的时候最好不要过滤,因为信道占用率高,意味着信道中很大的通信流,通讯流越大,系统处理的延迟也就大,你的过滤效果会更差(相反在低信道占用率情况下,过滤效果倒很好),丢包率则越高(估计你是调用winpcap的过滤规则winpcap的过滤效率是很低的,除非有底层硬件的直接运算支持)。所以在高信道占用率情况下最好,全抓全存,然后离线过滤,这样会好一些
另外,使用airpcap nx的两个全向天线,效果会好一些,方向性,是指airpcap的天线 最好与ap的天线平行
airpcap nx是个比较小的usb设备,对于wifi信号处理方面,因为不可能加入复杂的信号调制电路,所以信号的甄别能力,有一定限制,在高噪音环境下(高noise floor ),表现比实验环境要差一些。

By Unibrains
顶端 Posted: 2014-04-18 15:49 | 3 楼
dibotiger
级别: *


精华: *
发帖: *
威望: * 点
金钱: * RMB
贡献值: * 点
注册时间:*
最后登录:*

 

Quote:
引用第3楼admin于2014-04-18 15:49发表的  :
在信道占用率比较高的写字楼区,或者办公室集中的地方,抓包的时候最好不要过滤,因为信道占用率高,意味着信道中很大的通信流,通讯流越大,系统处理的延迟也就大,你的过滤效果会更差(相反在低信道占用率情况下,过滤效果倒很好),丢包率则越高(估计你是调用winpcap的过滤规则winpcap的过滤效率是很低的,除非有底层硬件的直接运算支持)。所以在高信道占用率情况下最好,全抓全存,然后离线过滤,这样会好一些
另外,使用airpcap nx的两个全向天线,效果会好一些,方向性,是指airpcap的天线 最好与ap的天线平行
airpcap nx是个比较小的usb设备,对于wifi信号处理方面,因为不可能加入复杂的信号调制电路,所以信号的甄别能力,有一定限制,在高噪音环境下(高noise floor ),表现比实验环境要差一些。

By Unibrains



非常感谢回复, 我一直以为WINPCAP的驱动级别过滤是高效的,但是经过你的提示,
反复测试后, 的确在信道高占用率的地方, 过滤反而大大降低了抓包率!  

另外,是否有本身具有一定抗干扰的天线?
顶端 Posted: 2014-04-21 21:08 | 美国 4 楼
admin
级别: 管理员


精华: 0
发帖: 233
威望: 233 点
金钱: 2330 RMB
贡献值: 0 点
注册时间:2008-03-03
最后登录:2020-08-13

 

有些定向天线对airpcap nx的抓包是有一定帮助,但是价格较贵。
如有需求,请与公司联系,电话:0311-86823117

By Unibrains
顶端 Posted: 2014-04-24 15:26 | 5 楼
帖子浏览记录 版块浏览记录
中科瑞通 » AirPcap无线网络分析技术(802.11A/B/G/N)

Total 0.100011(s) query 4, Time now is:12-02 14:57, Gzip enabled 京公网安备 11010102002019号
© 冀ICP备09001162号