Utilización de Ethereal para el análisis 802.11

Reducción de datos
Las capturas al natural pueden ser largas y se pueden encontrar paquetes ext ranos entre tanta captura. Una de las claves para utilizar correctamente el analizador de red es reducir la cantidad de paquetes a tan sólo algunos de ellos. Ethereal proporciona tres formas de reducir la cantidad de datos capturados a una cantidad manejable: filtros de captura, filtros de presentación y marcas de paquetes.
Filtros de captura
Los filtros de captura son un método muy eficiente de reducir la cantidad de datos procesados por Ethereal ya que se introducen en la interfaz de la escucha de paquetes. Si la interfaz de captura de paquetes descarta el paquete, éste no tiene que hacer nada en Ethereal para un procesamiento posterior. Lamentablemente, los filtros de captura no son muy útiles con 802.11. Si se añade el encabezado de supervisión Prism, no se pueden ajplicar los filtros de captura.
Ethereal utiliza libpcap, por lo que el lenguaje del filtro de captura es exactamente igual que el de tcpdump. Se encuentran disponibles diversos primitivos, que se pueden agrupar en expresiones arbitrariamente largas. Estos primitivos permiten el filtrado en direcciones Ethernet e IR puertos TCP y UDP y números de protocolo IP o Ethernet. Muchos se pueden aplicar a números de origen o de destino. Lamentablemente, la mayoría de los números de protocolo a los que se aplican se cifran en muchas redes 802.11 y, por consiguiente, no son útiles.

Nota: Las tramas 802.11 transportan el número de protocolo Ethernet en el encabezado LLC, por lo que no se puede filtrar fácilmente si la red está cifrada.

Filtros de presentación
Los filtros de presentación se pueden utilizar en cualquier campo que identifique Ethereal, lo que les hace más poderosos que los filtros de captura. Los filtros de presentación eran el conocimiento de todos los disectores compilados en Ethereal, por lo que es posible filtrar sobre cualquiera de los campos en cualquiera los protocolos para los que esté programado Ethereal reconocer. Los administradores de LAN inalámbricas pueden filtrar tramas basándose en cualquier elemento de 802.11 o de los encabezados LLC. Más adelante en el capítulo presentaremos ejemplos específicos para 802.11.

Existen diversas opciones en Ethereal que son útiles cuando se aplican a redes
802.11. Esta sección proporciona una lista de diversos trucos y consejos para
utilizar Ethereal sin ningún orden en concreto.
Filtros de presentación
Ethereal permite el filtrado en todos los campos del encabezado 802.1 I. Los campos de la trama se estructuran jerárquicamente. Todos los campos 802 I I empiezan conwlan. Dos subcategorías contienen la información del campo ( on trol de trama (wlan. fe) y la información del campo WEP (wlan.wep). La figura
24.2 muestra los nombres de variable para los componentes del encabezado 802.1 I; en la figura, cada campo está etiquetado con un tipo de datos. Los cam pos booleanos se etiquetan con una B, las direcciones MAC como MA y los en Ir ros sin signo con U más el número de bits. La tabla 24.1 recoge la misma información, omitiendo los campos de presentación de Ethereal que no es proba ble que sean útiles para el filtrado.
Tabla 24.1. Campos Ethereal para componentes del encabezado 802.11.
 

Campo del encabezado 802.22    Campo Ethereal
wlan.addr wlan. ta wlan.sa wlan. ra wlan. da wlan.bssid
wlan.fe.type wlan. fe. subtype wlan. fe. tods
wlan. fe. retry wlan.fc.wep
wlan.wep.iv wlan.tkip.extiv wlan. cemp. extiv wlan. wep. key
Campos de encabezado
Dirección de origen o dirección de destino Dirección del transmisor Dirección de origen Dirección del receptor Dirección de destino BSSID
Subcampos de control de trama
Tipo de trama Subtipo de trama Indicador ToDS
Indicador FromDS flagwlan.fc.fromds Indicador de reintento Indicador de trama protegida (WEP) Campos de protección Vector de inicialización WEP IV TKIP IV CCMP
Identificador de clave

Los campos se pueden combinar utilizando operadores. Ethereal admite un conjunto estándar de operadores de comparación: == para igualdad, ! = para no igualdad, > para mayor que, >= para mayor o igual que, < para menor que y <= para mejor o igual que. Un ejemplo de filtro de ^presentación sería wlan. fe . type= = l para hacer coincidir todas las tramas de control.
Se admiten los operadores lógicos and (y) y or (o); igual que sucede en otros lenguajes de programación, el signo de exclamación se utiliza para una negación lógica. Se puede probar la existencia de los campos booleanos pueden probarse apara que las tramas de Control con WEP habilitado coincidan para el filtro de presentación (wlan. fe . type==l and wlan. fc .wep). llc.dsap,llc.control,llc.type,llc.ssap I    llc.oui