Wi-Fi: Capture de paquets ( Ekahau Sidekick et WLAN Pi)

Je suis souvent amené à réaliser des captures de paquets lorsque j’interviens sur des contextes Wi-Fi. Parfois afin de diagnostiquer des dysfonctionnements (déconnexions, problèmes d’associations à un SSID, temps de roaming élevés). D’autres fois pour mesurer les performances et capacités de terminaux avant leur mise en production, ou encore pour évaluer la sécurité d’un réseau Wi-Fi.

Pour cela, j’ai toujours avec moi deux outils: le Sidekick d’Ekahau et un Nano PC avec la distribution WLAN Pi. Voici un visuel des deux outils:

en haut, le WLAN Pi et en bas le Sidekick d’Ekahau

Le WLAN Pi est un vrai couteau suisse qui embarque une multitude d’outils réseaux (tcpdump, iPerf, Kismet, serveurs SCP, SFTP, etc.). Mais nous aurons l’occasion d’y revenir dans d’autres articles 🙂
Je l’utilise ici avec deux adaptateurs Wi-Fi Comcast CF-912AC qui me permettent de capturer sur deux canaux en 802.11ac (Wi-Fi 5) simultanément afin d’observer des phases de roaming par exemple. C’est ce que nous allons d’ailleurs faire ici. On ajoute au tout une batterie portable de 20000 mAh qui permet d’alimenter l’ensemble pendant environ 48 heures.

Le Sidekick d’Ekahau embarque également deux adaptateurs Wi-Fi, mais aussi deux analyseurs de spectres et une batterie avec une autonomie d’environ 8 heures. Je l’utilise principalement pour des études et validations de couverture, ainsi que pour mesurer les interférences sur les bandes de fréquences Wi-Fi. Grace au logiciel Ekahau Capture, on peut utiliser le Sidekick pour réaliser une capture de paquets également.

Environnement de test

En ce 30 mars 2020, en pleine période de confinement liée au COVID-19, l’environnement de test est simple. Il consiste en deux bornes Cisco fonctionnant en mode Mobility Express avec la version 8.10.112.0 et ne diffusant qu’en 5 GHz.

Le WLAN Pi et le Sidekick sont placés côte à côte, non loin de la première borne. La capture est lancée sur les deux équipements, sur les canaux 36 et 100 correspondant aux canaux des deux bornes. Un iPhone 6S est alors associé au SSID sur la première borne, puis déplacé à proximité de la deuxième borne puis ramener à son point de départ.

WLAN Pi

Afin de gagner du temps, et me faciliter la vie lors de mes interventions sur des sites clients, j’ai crée une petite interface Web permettant de lancer la capture sur le WLAN Pi. Elle est disponible sur Github avec les instructions d’installation. Voici comment elle se présente:

Lancement de la capture sur le WLAN Pi

La configuration de la date et de l’heure permet de nommer les fichiers avec un bon horodatage mais aussi d’avoir ces informations de façon exacte sous Wireshark. C’est indispensable lorsque l’on fusionne parfois de multiples fichiers pcap réalisés sur plusieurs journées. En arrière plan, le formulaire permet principalement de lancer quatre commandes tcpdump, qui sont dans notre cas:

iw dev wlan0 set channel 36 HT20
iw dev wlan1 set channel 100 HT20

tcpdump -i wlan0 -y IEEE802_11_RADIO -s 0 -w wlan0_ch36_20200330_10h05.pcap
tcpdump -i wlan1 -y IEEE802_11_RADIO -s 0 -w wlan1_ch100_20200330_10h05.pcap

Ci-dessous le détail de ces deux commandes, pour l’interface wlan0:

  • iw dev wlan0 set channel 36 HT20
    • configure l’interface wlan0 (premier adaptateur Wi-Fi) sur le canal 36, avec une largeur de canal de 20 MHz
  • tcpdump -i wlan0 -y IEEE802_11_RADIO -s 0 -w wlan0_ch36_20200330_10h05.pcap
    • lance la capture de paquet sur le premier adaptateur Wi-Fi (-i wlan0),
    • un en-tête radiotap 802.11 est présent (-y IEEE802_11_RADIO),
    • les trames sont capturées dans leur intégralité, pas d’échantillonnage (-s 0),
    • le résultat de la capture est enregistré dans le fichier spécifié (-w wlan0_ch36_20200330_10h05.pcap)

Une fois la capture terminée, et stoppée via la page Web (bouton Stop capture voir plus haut), deux fichiers pcap sont obtenus. Un par adaptateur Wi-Fi. Il existe plusieurs outils permettant de les fusionner (Wireshark, mergecap, Tracewrangler, etc.). Ici nous n’avons que deux fichiers donc nous utiliserons Wireshark qui permet de le faire simplement en ouvrant le premier fichier, puis en se rendant sous le menu Fichier, puis en cliquant sur Fusionner. Sélectionner ensuite le deuxième fichier pcap et cliquer sur Ouvrir. Voici un aperçu de la manipulation (cliquer sur l’image pour voir en entier):

Voila pour le WLAN Pi ! Regardons maintenant comment faire la même chose avec le Sidekick d’Ekahau.

Ekahau Sidekick

Du coté du Sidekick, il est possible de réaliser des captures de trames Wi-Fi directement sous Windows via le logiciel Ekahau Capture. Ce logiciel est disponible avec la licence Ekahau Connect. Ekahau Capture est très simple d’utilisation, mais il nécessite que le Sidekick reste connecté à l’ordinateur pendant toute la durée de la capture, contrairement au WLAN Pi. Ci-dessous quelques captures du logiciel qui se passe d’explications, on sélectionne ces canaux et on clique sur Capture pour démarrer. Une fois terminé, on clique sur Stop (et surtout pas Close sous peine de devoir recommencer :$). On récupère ici le résultat de la capture directement dans un seul fichier pcap, prêt à être analysé.

Remarque

A première vue le résultat obtenu avec les deux solutions est identique… mais à première vue uniquement !
Je vous laisse observer un extrait des captures réalisées avec à gauche le Sidekick et à droite le WLAN Pi:

Oui oui ! c’est bien le même paquet !

Vous devez vous demander pourquoi le Sidekick ne fait pas apparaître tous les détails du paquet, contrairement au WLAN Pi. La réponse est dans l’encadré rouge, je zoom pour vous:

Le Sidekick ne permet pas de réaliser une capture des paquets dans leur intégralité. Un échantillonnage est réalisé et seul une portion de chaque trame est capturée. Attention donc aux contraintes de l’outil qui le rendent plutôt limité en termes d’analyse poussée. Et, après demande d’information auprès d’Ekahau, il ne s’agit pas de quelque chose qui devrait arriver prochainement:

Le WLAN Pi est donc un outil abordable, multi fonctions et facilement transportable permettant de réaliser facilement des captures de paquets sur plusieurs canaux (attention de ne pas dépasser les limites de son bus USB quand même !).

Le Sidekick d’Ekahau est un très bel outil ayant révolutionné les études et validations de couverture grâce à son application iPad / iPhone. Mais je trouve, pour ma part, son emploi plus limité pour la capture de paquets.

J’espère que vous avez apprécié cet article qui est le premier d’une série sur les captures et analyses de paquets. En attendant leurs publications, vous pouvez me joindre via mes pages LinkedIn ou Twitter (voir section A propos de moi en haut de la page).

Alors rendez-vous au prochain article pour analyser le fichier de capture pris avec le WLAN Pi et voir comment se comporte notre iPhone 6S de test 🙂

2 commentaires sur “Wi-Fi: Capture de paquets ( Ekahau Sidekick et WLAN Pi)

    1. On the Wlan Pi I had some duplicate packets. The second adapter on channel 100 captured packets on channel 36. In my case, these duplicate packets are easily spotted based on the attenuation but on a mote heavily used network it can make the analysis of the pcap a nightmare I guess…

      J'aime

Répondre à nspoirier Annuler la réponse.

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s