J'essaie de déterminer la différence entre la capture des trames 802.11 de la manière suivante sous OSX (10.8.5). C'est un peu ésotérique, mais j'utilise "l'option 2" pour capturer les trames pour une analyse ultérieure, et je me demande si je ne manque pas quelque chose.
Option 1 : utiliser "airportd" :
$sudo /usr/libexec/airportd en0 sniff
Option 2 : utilisez "airport" suivi de tcpdump :
sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport --channel= sudo tcpdump -I -P -i en0 -w /tmp/capture.pcap (ou alternativement éliminer le -w et regarder les paquets en temps réel).
De ce que je peux dire :
- Les deux commandes, selon l'icône wifi sur OSX, mettent l'interface en mode "moniteur".
- Les deux commandes produisent un fichier pcap qui est lisible à la fois dans wireshark/tcpdump et Eye PA.
- Les deux commandes semblent capturer les trames de gestion, de contrôle et de données.
Le hic : L'option 1 vous déconnecte du réseau. C'est ce qui est attendu lorsqu'on met une interface en mode "surveillance".
Option 2 ne vous déconnecte pas Si vous avez réglé le canal sur le même canal que celui auquel vous êtes actuellement connecté. Cela présente l'avantage de maintenir votre connexion pendant la capture en mode moniteur.
Ma question : L'option 2 ne semble pas devoir fonctionner, ou plus précisément, il ne semble pas que je puisse rester connecté tout en capturant des images en mode moniteur. Sur une carte réseau câblée, vous pouvez être " promiscuous " et continuer à envoyer des trames, mais je ne pensais pas que c'était le cas pour les cartes réseau sans fil. Je m'interroge sur la validité de la capture de trames avec l'option 2 ?
