Странный MAC-адрес на экране Wireshark

1

Я пытался увидеть пакеты Wi-Fi (802.11) через Wireshark.

Вот информация о моем беспроводном интерфейсе:

$ ifconfig
wlan1    Link encap:Ethernet HWaddr c0:f8:da:21:ce:68
         # and so on blahblah

$ iwconfig
wlan1    IEEE 802.11abgn  ESSID:"myAccessPoint"
         Mode:Managed  Frequency:2.432 GHz  Access Point: 00:26:66:C4:80:FC
         #and so on blahblah

Когда я выполняю Wireshark и меняю режим wlan1на «монитор», чтобы использовать «заголовок радиопленки 802.11 плюс», ifconfigи iwconfigпоказываю разные вещи:

$ ifconfig
wlan1    Link encap:UNSPEC HWaddr C0-F8-DA-21-CE-68-00-00-00-00-00-00-00-00-00-00
         # and so on blahblah

$ iwconfig
wlan1    IEEE 802.11abgn  Mode:Monitor  Frequency:2.432 GHz  Tx-Power=16 dBm
         # and so on blahblah

(То есть к аппаратному адресу 00добавлено десять октетов. И, как ни странно, теперь оно отображается заглавными буквами, а не строчными.) Я вставил несколько нулевых фреймов данных aireplay-ngи захватил их с помощью Wireshark (EfmNetwo _... is точка доступа):

Захват экрана Wireshark

Я совершенно уверен, что e0:99:71:57:9b:3aэто MAC-адрес беспроводного интерфейса на моей машине, так как содержимое пакетов похоже на то, что я ввел.

Странно то, что я никогда не видел такой MAC-адрес в ifconfigи iwconfig. Я думаю, что генерируется что-то вроде виртуального интерфейса, и этот интерфейс имеет такой MAC-адрес.

Правильно ли то, что я сказал? Если да, есть ли другой способ увидеть этот MAC-адрес за пределами Wireshark?

Если то, что я сказал, неверно, может кто-нибудь объяснить такой странный MAC-адрес?

wireless-networking wireless-access-point wireshark mac-address Джеон
источник
В соответствии с поиском и поиском MAC-адреса поставщика / Ethernet / Bluetooth, производителем этого MAC-адреса c0:f8:da:21:ce:68является «Hon Hai Precision Industry Co., Ltd., торговая компания Foxconn Technology Group». Foxconn производит материнские платы со встроенными сетевыми адаптерами. Это помогает?
Дэвид Постилл

Ответы:

0

И, как ни странно, теперь он отображается заглавными буквами, а не строчными.

Это совершенно не имеет значения. Люди могут выбрать в своих приложениях отображение шестнадцатеричных цифр с заглавными буквами или строчными буквами, а также использование двоеточия или тире в качестве разделителя между октетами; все зависит от личного вкуса разработчика или от соглашений, установленных для программного обеспечения. (Обратите внимание, что две команды Linux, ifconfigи iwconfigимеют разные соглашения - ifconfigиспользуют строчные буквы для MAC-адреса интерфейса, а iwconfigзаглавные буквы - для MAC-адреса точки доступа.)

Когда я запускаю Wireshark и меняю режим wlan1 на «монитор», чтобы использовать «заголовок радиолента 802.11 плюс», ifconfig и iwconfig показывают разные вещи:

Я считаю, что либо ошибка в ядре Linux или в ifconfig. Либо ядро ​​не сообщает MAC-адрес как 6-октетный MAC-адрес в стиле IEEE просто потому, что интерфейс находится в режиме мониторинга, что является совершенно глупым, или оно сообщает что-то, что имеет смысл, но это вводит ifconfigв заблуждение, что это не так MAC-адрес в стиле IEEE и просто обрабатывает его как аппаратный адрес максимальной длины неизвестного типа.

Обратите внимание, что первые 6 октетов совпадают с тем, когда вы не находитесь в режиме монитора, и что еще 10 октетов дают в общей сложности 16 октетов, что является степенью 2 (общий выбор для максимальных размеров полей), так ifconfigчто, вероятно, каким-то образом (будь то из-за ошибки в ядре Linux или из-за ifconfigошибки) убедился, что адрес имеет длину 16 октетов и печатает 10 дополнительных октетов заполнения с нулевой нумерацией.

Так что не волнуйтесь, будьте счастливы - в режиме монитора MAC-адрес адаптера по-прежнему составляет c0: f8: da: 21: ce: 68 или C0-F8-DA-21-CE-68 или другие программы могут представлять Это.


источник