jump to navigation

Sniffer le wifi, quelques règles de bases 25 juin 2012

Posted by frnetworker in Diagnostic Réseau, OmniPeek, Wireless.
Tags: , , , , , , , , , , , , , ,
add a comment

Analyse et capture des trames sur les réseaux sans fil

Réaliser une capture de bonne qualité du signal des réseaux wireless à des fins d’analyse et de diagnostic peut être une opération complexe et longue.

Vous devez conserver à l’esprit quelques points clés qui rendrons cette opération plus simple et surtout vous feront gagner du temps.

En fait vous devez capturer l’ensemble des données qui transitent sans fil dans votre environnement. Voici 7 règles basiques pour parvenir à vos fins.

7 points essentiels à mémoriser pour une capture rapide et efficace

Positionner le sniffer correctement

Dans la mesure ou l’analyseur réseau, OmniPeek par exemple, doit capturer les signaux radio générés par l’Access Point (AP ou Borne Wifi) et par le poste utilisateur, il vous sera utile de vous positionner aussi près que possible du poste utilisateur. Cela permettra à OmniPeek de vous donner un aperçu aussi réaliste que possible de ce que reçoit et émet le poste utilisateur. (= le sniffer et le poste utilisateur vont recevoir un signal radio identique, incluant les mêmes perturbations)

Le sniffer doit sniffer

Il faut éviter d’installer le logiciel de capture wifi sur le poste qui réalise les manipulations de test (le poste utilisateur dont vous essayez de capturer une trace) car la capture sera altérée. (Au pire utilisez OmniPeek mais avec un second adaptateur wifi)

Identifiez le canal et la fréquence du poste utilisateur avant la capture

Pensez à verrouiller OmniPeek sur la fréquence qu’utilise le poste utilisateur lorsque vous paramètrez votre capture. N’utilisez surtout pas le mode « Scan Channels ». (En mode scanner, le sniffer va continuellement passé d’un canal à un autre ce qui peut être très utilise pour par exemple identifier des connexions pirates mais ne sera d’aucune utilité pour le diagnostic).

Rappelez-vous également que le poste utilisateur peut se déplacer et utilisera alors les fonctions de roaming ( itinérance ). Dans ce cas, vous serez plus efficace en utilisant plusieurs adaptateurs wifi sur OmniPeek et en attribuant un canal à chaque adaptateur : Vous pourrez suivre les transmissions de l’utilisateur, y compris les paquets de liées au changement d’AP et de canal. Typiquement, dans un environnement 802.11b/g (2,4Ghz), vous pourrez être  amenés à analyser 3 canaux différents (NDLR : donc avec 3 adaptateurs wifi différents) en positionnant chacun d’eux sur les canaux 1, 6 et 11 qui sont les plus souvent utilisés en entreprise. (Les clés Wifi USB vous seront d’un grand secours pour ce type de configuration).

Limitez le nombre de canaux analysés si vous utilisez la fréquence 5Ghz

Si vous réalisez vos diagnostics sur un réseau sans fil utilisant la fréquence 5Ghz, le nombre de canaux possibles est beaucoup plus important et vous risquez fort de ne pas disposer du nombre d’adaptateurs wifi suffisants. Une bonne pratique consiste à se limiter à 4 canaux.

En cas d’itinérance ( roaming )

Si vous arrivez à reproduire le problème que rencontre l’utilisateur lors du roaming, alors l’analyse de 2 canaux seront suffisant (celui de départ et celui d’arrivée).

Si vous ne disposiez que d’un seul adapteur wifi (=vous ne pouvez capturer qu’un seul canal) placez-vous de préférence sur le second (celui d’arrivée), car il est probable que c’est sur ce dernier que surviennent les soucis.

Si vous utilisez plusieurs Sniffers dictincts

Si vous utilisez plusieurs postes sniffer, pensez à synchroniser les horloges de ces ordinateurs (et celui de l’utilisateur) avec le même serveur NTP.

Cela facilitera la corrélation des traces. Évidement si vous utilisez OmniPeek avec de multiples adaptateurs wifi, l’horodatage sera identique sur toutes les captures. (OmniPeek permet de fusionner les captures de différents canaux dans une seule trace).

Pour les captures de longue durée

Si vous deviez capturer des données sur de longues périodes, pensez à configurer votre sniffer pour lancer une nouvelle capture (NDLR : et enregistrer l’ancienne) périodiquement afin de disposer de fichier trace de taille raisonnable pour la post-analyse. OmniPeek peut utiliser des Triggers Events pour démarrer et arrêter la capture, par exemple début de la capture quand le protocole SIP est utilisé par l’IP 192.168.1.1 ce qui permet de capturer moins de données et surtout d’être sur de ne pas rater la capture de l’essentiel

•  •

Librement inspiré de l’article Fondamentals of Wireless Sniffig

Publicités
%d blogueurs aiment cette page :