パケットキャプチャーちゃんねる

IEEE802.11ACパケットキャプチャ続報(米国ネバダ州DEFCON25にて)

2017/08/03 06:11 投稿

  • タグ:
  • IEEE802.11AC
  • パケットキャプチャ
  • パケキャプ
  • 無線LAN
  • AC

e922e5a16b01bd073408b605b7e8878da6662967DEFCON25 Wireless Villageにて

+IEEE802.11AC(3x3MIMO以上)のデータフレームのキャプチャについて

  米国ラスベガスのセキュリティカンファレンスDEFCON25現地にてOpen)WRT関係について、各種テストと検証を行いました。 2017年8月3日更新

※ルーターボード北條様 先日は機材お借りさせていただき、どうもありがとうございました。宣伝しますRouterBoard hAP ACは技術適合基準を取得しで正規販売されている多機能で素晴らしいソフトウエアベースルーター製品です。(TELEC取得国内販売)

 まずThomasさんのアドバイスのもと、米国で米国Ubiquiti AC Pro のアクセスポイントにてACのキャプチャは限定的ですが可能です。ファームウエアでmadwifi-ngを使っているため、Prismヘッダであり、物理層ヘッダ部分は情報が欠けてしまいますがAC3ストリームのキャプチャは行えます。
これをさらにOpenWRTに入れ替えることによって、Radiotapでのキャプチャができます。個人的にはACの場合より情報の多いPPIでのキャプチャがよいと思います。
私は試していないのですが、ArubaAPで可能という話がありました。弊社はこれらの確認は米国ネバダ州のDEFCON会場で確認を行いました。
まだまだLinuxやMacBookのACキャプチャはとても安定せずきちんと動かない、Windowsでも安定してキャプチャする方法がほぼないなか、今日時点ではAPを利用する方法が今後の可能性になるかと思います。

  注意 現在、日本国内で既存ルータのファームウエアをOPENWRTに入れ替えての利用は電波法違反になります。モジュールにTELECマークがついている機器を利用して自作機器での利用は問題がない場合があります(もちろん詳細についてはTELEC様総合通信局様総務省様に確認が必要です)

 評価目的で法的順守のもと、パケットキャプチャによる問題調査という目的のためにテストをしているものです。どうか弊社や竹下やいけりりに匿名で技適や、電波法についていたずらや批判メールを送ったりTwitterやSNSは控えていただければ幸いです。

現時点では受信専用として、弊社としては安定してWindows環境で手軽に利用できるAirPcapNX (IEEE802.11nまで)を推奨いたしますが、代理店販売を行っているAirPcapシリーズ、Acrylicwifiシリーズはもちろん、そのほかにもよい方法がでてきたら紹介できればと思います。

(いけりりネットワークサービス 竹下恵 2017/6/6)

残念ながらACのパケットキャプチャについてですがまだまだというところです。
新製品出ませんでした。まだまだ商用キャプチャ製品のAC対応は業界では時間がかかりそうです。

+Linuxでの方法
オープンソースでのACデータフレームキャプチャはAircrack-ng他各所で行われています。
https://ask.wireshark.org/questions/16980/80211ac-capture (Ask Wiresharkより)
http://wikidevi.com/wiki/List_of_82.11ac_Hardware (WikiDeviより)
現状のところLinuxで内蔵WLANカードでACキャプチャが無保証ではありますが可能です。
For the few USB adapters you can read: Linux driver none USB対応はまだ決定打なしという状況です

+MacBookでの方法
Macbookでモニターする方法も無保証ではありますが回避策として登場しています。
2013 or newer MacBook Pro (3x3 spatial streams)
を用意することで、モニターモード(通常のWLANカードとして利用できません)にできます

+他社の状況
他社ライバル製品ですとDITさんのsavvius OmniPeekですが、こちらはAC対応を銘打っています。
しかし、アダプタの写真を見ると、弊社のAcrylicWiFi Professionalと同じBroadcomのアダプタを使っているようです。※AcrylicWiFiもAC取得できると記述してはいるものの、弊社で対応しているNICを片っ端からテストしてみたのですがチャンネルが固定できず、(おそらくチップの振る舞い?)、ACのデータフレームを取得できてはいません。 http://www.ikeriri.ne.jp/develop/acrylicwifi/ 体験版あり。
そうなると大本命はAirPcapなのですが、USB3版がなかなか出てこないところです。

+AirPcapNXでもマネジメントフレームは取得できます!
しかし、現状のAirPcapNXであっても、プルーブ要求・プルーブ応答・認証・アソシエーション要求・アソシエーション応答は取得できます。また多くのEAPOLの4ウェイハンドシェークは取得することができます。(データフレームが取得できない以外はOK) 参考 https://supportforums.cisco.com/blog/12526926/80211ac-data-traffic-over-air-capture-using-80211ac-and-80211n-devices

+将来のAirPcap製品にご期待ください

竹下の書籍およびJoe Bardwellさん(Chief Scientist, Connect802 Corporation)の資料
でも紹介しておりますが4xMIMOをすべてキャプチャして、漏れのない分析というのはかなり難しいと思います。うまく電波が重なるクラスタ部分にいないといけない。送信者や受信者と異なりキャプチャーするものはどのような符号化で送られるかわからない。IEEE802.11AC では上りと下りの符号化が異なるためです。復号化も難しいMCSになります。加えて、速度そのものが上がるため有線のパケットキャプチャで問題になっていたパケットキャプチャのキャプチャ率、ドロップ率、CPU 利用率も考慮しなければいけません。確かに他にもモニターモードドライバを提供している会社や他のアナライザーなどもありますが、特にIEEE802.11a/nについては安定感と信頼性は AirPcap がずば抜けていると思います。ぜひご検討ください。また、将来のAirPcap製品にご期待ください。

wireshark-image
WiresharkにてIEEE802.11フレームを表示した例

主な活動

Wireshark 開発者会議 Sharkfest'08 にてWireshark開発者のGelard Comb氏および
Wireshark UniversityのLaura Chapel氏といけりり★ネットワークサービス竹下恵
http://www.cacetech.com/SHARKFEST.08/
Sharkfest 2008 (米国マウンテンビュー フットヒル大学 2008年)

sharkfest09sharkfest09
Wireshark開発者会議 Sharkfest'09にて
http://www.cacetech.com/sharkfest.09/
Sharkfest 2009 (米国パロアルト スタンフォード大学 2009年)

以後10年以上 Wireshark開発者会議にて講演を行っています。
また、日本語化の実施などをはじめとしてWiresharkのコントリビューターの一人です。

2017年7月にいけりりネットワークサービス竹下は7月末に米国ラスベガスにて開催されるサイバーセキュリティ カンファレンスの DEFCON 25において Packet Hacking Villageでの無線LANの解析ワークショップを2枠実施しました 米国ラスベガスにて7月27日から30日までシーザーパレスにて開催されました。→DEFCON25特設ページ →DEFCON公式 →Packet Hacking Village

PHV
デフコンとはサイバーセキュリティに関する世界最大のカンファレンスで、今回のデフコンはデフコン25として→ DEFCON公式ページ → DEFCON25公式ページ

竹下はパケットキャプチャビレッジにて実習形式のワークショップを2日間実施しました。
土曜日 2:30  - 4:00PM  - Megumi Takeshita - Introduction to 802.11 Packet Dissection
日曜日 1:00  - 2:30PM  - Megumi Takeshita - Introduction to 802.11 Packet Dissection

主な著書 AirPcapはもちろん、Wi-SpyやWiresharkの保守やサポートもやってます!どうかよろしくお願いします。
★ Wiresharkに関する主な著書
Wireshark入門Wireshark応用Wireshark入門改訂版無線LANパケキャプ
パケットキャプチャ入門 ― LANアナライザ Wireshark 活用術 ― 竹下 恵 著
B5判 344ページ 定価:2,940円(税込)本体2,800円+税 ISBN:978-4-89797-678-5
パケットキャプチャ実践技術 -- Wiresharkによるパケット解析応用編 -- 竹下 恵 著
B5判 432ページ 定価:3,570円(税込)(本体:3,400円+税) ISBN:978-4-89797-796-6
パケットキャプチャ入門 改訂版― LANアナライザ Wireshark 活用術 ― 竹下 恵 著
B5判 408ページ 定価:2,940円(税込)本体2,800円+税 ISBN:978-4-89797-875-8
パケットキャプチャ無線LAN編 ― Wiresharkによる解析 ― 竹下 恵 著
BB5判 400ページ 定価:3,600円+税 ISBN:978-4-86594-029-9

コメント

コメントはまだありません
コメントを書き込むにはログインしてください。

いまブロマガで人気の記事

パケキャプ

パケキャプ

このチャンネルの詳細