Ранее я уже писал о важности использования анализатора трафика WiFi (или как его часто называют — анализатор протокола) для любого, кто стремится стать специалистом в области WiFi. Давайте теперь посмотрим, что это такое.
Что такое анализатор
Анализатор — это программный продукт, который позволяет перехватывать все фреймы из радиоинтерфейса и отображать их на экране ПК или сохранять в файл. Профессионалы в области WiFi используют один или несколько известных анализаторов — AirMagnet, OmniPeek, Wireshark и Commview for wifi.
Как работает анализатор
Со стороны все выглядит очень просто. Вы покупаете совместимый WiFi-адаптер, запускаете ПО и все! Фреймы начинают пролетать прямо на Ваших глазах по экрану монитора. Однако все не так просто. WiFi-адаптер, который используют для работы с анализатором, должен уметь переключаться в режим мониторинга.
Все WiFi-адаптеры работают в нескольких режимах:
- Normal (обычный)
- Promiscuous
- Monitor (мониторинга)
В обычном режиме WiFi-адаптер принимает все фреймы, но затем отбрасывает все лишние. Какие именно? Все фреймы, предназначенные для других станций. Разумеется для целей анализа протокола такой режим не подходит.
Второй режим работы позволяет адаптеру не отбрасывать чужие фреймы. Однако для работы в этом режиме адаптер должен быть подключен к какой-либо сети и подключение должно быть активно. Такой режим также осложняет анализ протокола.
Третий режим позволяет адаптеру вообще не отбрасывать никаких фреймов. Он перехватывает все фреймы на любом из каналов. При этом адаптер не может быть соединен с сетью. Либо вы перехватываете все фреймы и не имеете возможности подключиться к сети, либо подключаетесь к сети и не можете перехватывать фреймы.
Стоит отметить, что не каждый WiFi-адаптер может быть переведен в режим мониторинга. Для работы в этом режиме ему необходим специальный драйвер.
После того как адаптер переведен в режим мониторинга анализатор начинает перехватывать все фреймы из радиоинтерфейса, включая управляющие и служебные. Далее анализатор отображает перехваченные фреймы в своем главном окне или сохраняет их в файл.
Именно здесь и проявляются самые значительные различия между анализаторами. Именно здесь у каждого программного продукта появляются поклонники. Качество отображения информации, удобство работы с ПО, наличие фильтров, дополнительная статистическая информация, полезная для поиска и устранения неисправностей — вот те критерии, которые определяют пользователей каждого из программных продуктов.
Зачем нужен анализатор
Вы можете спросить, зачем мне видеть все фреймы из радиоинтерфейса?
Во-первых, для устранения неисправностей и тестирования беспроводных локальных сетей.
Например, Google выдает 264 тысячи страниц, где люди спрашивают, почему их ноутбук не подключается к точке доступа WiFi.
Можно ли точно ответить на этот вопрос, не воспользовавшись анализатором протокола? Можно! Но на это придется потратить гораздо больше времени. Открыв анализатор протокола и проанализировав процесс подключения вашей станции к сети, можно быстро понять, в чем именно заключается проблема.
Есть и более серьезные случаи, когда анализатор очень выручает. Например, когда WiFi-сеть большой компании сильно «тормозит». Порой очень сложно разобраться, почему скорость передачи в беспроводной сети такая низкая. Возможно из-за неправильных настроек точек доступа с неотключенными низкими скоростями передачи, а может — наличие скрытых узлов, а может и другие проблемы. Все эти проблемы можно обнаружить с помощью анализатора протокола.
И во-вторых, для изучения и понимания того, как именно работает WiFi. Перехваченные фреймы на практике показывают те основы, которые люди часто изучают только в теории.