Analyse protocole

🗓️ 17 avril 2023

Par défaut, un WNIC (Wireless Network Interface Controller) décode uniquement les trames qui lui sont adressées (unicast, multicast, broadcast).

Une carte réseau Wi-Fi peut être dans plusieurs modes :

  1. Master (mode AP) : utilisé par un point d'accès pour fournir une connectivité aux appareils clients.
  2. Managed (mode client, station) : utilisé par un périphérique client pour se connecter à un point d'accès.
  3. Ad hoc : utilisé pour former un réseau entre plusieurs appareils Wi-Fi sans point d'accès.
  4. Repeater : utilisé pour étendre la portée d'un réseau Wi-Fi existant en répétant les signaux.
  5. Mesh : utilisé dans les réseaux maillés pour une couverture étendue et une meilleure redondance.
  6. Wi-Fi Direct : permet la communication directe entre deux appareils compatibles Wi-Fi sans point d'accès.
  7. TDLS (Tunneled Direct Link Setup) : permet une connexion directe entre deux appareils sans passer par le point d'accès.
  8. Monitor mode : le mode monitor est celui qui permet à une carte radio de décoder toutes les trames reçues par cette dernière.

 

Lors d'une analyse de protocole, la carte Wi-fi est configurée en mode monitor.

 

Sélection du canal

Canal spécifique : La carte réseau est bloquée sur cette fréquence, la capture de trame se fait uniquement sur ce canal.

Scan des canaux : En mode scan, la carte réseau va changer de fréquence afin de capturer des trames sur plusieurs canaux. La WNIC (Wireless Network Interface Card) va rester un certain temps sur chaque fréquence, ce temps est appelé dwell time.

Choix du canal 2.4GHz : Le canal sélectionné pour la capture ne correspond pas au canal de diffusion de la trame, mais au canal d'écoute. En 2.4GHz, en raison du chevauchement, il est donc possible de capturer une trame émise sur le canal 2 alors que la trame a été émise sur le canal 1.

 

Filtres

Filtres de capture : permettent de filtrer les trames reçues avant qu'elles n'aient été ajoutées au fichier .pcap.

→ Avantages : Limitent la taille du fichier .pcap.

→ Inconvénients : Une fois que la trame est drop (supprimée), il n'est plus possible de la récupérer.

 

Filtres d'affichage : permettent de filtrer les trames après qu'elles aient été ajoutées au fichier .pcap.

→ Avantages : La trame peut être cachée/affichée selon les besoins.

→ Inconvénients : Fichiers .pcap plus volumineux / temps de traitement dans Wireshark plus longs.