tcptrace desde la captura 802.11 de wireshark

-2

Tengo la misma pregunta que Lukas hizo el 1 de abril ... ¿Cómo puedo usar tcptrace para generar el gráfico tcptrace a partir de capturas en Wireshark? Guy respondió preguntando si solo alimentar la salida de Wireshark a tcptrace funcionó, pero no vi ningún seguimiento. Mi tipo físico es IEEE802_11_RADIO. Comencé alimentando la salida de Wireshark a tcptrace, pero obtuve un segfault. Exporté el archivo como pcap (Wireshark / tcpdump) en lugar de pcapng, filtré la salida solo al tráfico TCP (aunque todavía son tramas 802.11) y trunqué el archivo solo a la secuencia de interés, pero tcptrace rechaza todos los paquetes porque no están IP ("pread_tcpdump: no es un paquete IP").

wireshark

— Raymond Hayes
fuente

¿Quién es Lukas y de qué pregunta estás hablando?

— Ƭᴇcʜιᴇ007

El 1 de abril, Lukas Irides publicó una pregunta muy similar con el título, "tcptrace from wireshark capture".

— Raymond Hayes

Mi tipo físico es IEEE802_11_RADIO.

Entonces estás jodido, porque la versión actual de tcptrace no maneja DLT_IEEE802_11_RADIO correctamente: se supone que el encabezado de radiotap tiene 64 bytes de largo, en lugar de mirar el campo de longitud del encabezado de radiotap para ver cuánto dura realmente el encabezado .

Gracias. Pensé que podría ser algo así cuando vi las constantes en el cálculo del desplazamiento. ¿Cambió el encabezado de radiotap cuando se agregó soporte VHT? No parece que tcptrace se haya actualizado ...

— Raymond Hayes

El encabezado de radiotap nunca se especificó como 64 bytes de longitud, y no hay garantía de que sea de 64 bytes para cualquier tipo de PHY. Qué campos particulares se proporcionan depende del controlador. Todo lo que hizo el soporte de VHT fue agregar un nuevo campo, que estaría presente para los cuadros de VHT, al igual que el soporte de HT agregó los campos de estado MCS y A-MPDU, el último de los cuales también podría usarse para cuadros de VHT.

Lamentablemente, parece que tcptrace ya no se mantiene mucho; un decano asociado y un profesor asociado ya no tienen tiempo para ello. No pude encontrar a nadie que se haya hecho cargo oficialmente.