Home
Contents

WLAN Analysator und Decoder - CommView for WiFi

Prev Page Next Page
 
Einführung
Über CommView for WiFi
Was ist neu
Programmbenutzung
Installation der Treiber
Übersicht
Hauptmenü
Knoten
Fenster über Details zum AP und zur Station
Kanäle
Aktuelle IP-Verbindungen
Pakete
Logging
Logbetrachter
Regeln
Erweiterte Regeln
Alarme
WEP/WPA Schlüssel
Rekonstruktion von TCP-Sitzungen
UDP-Ströme rekonstruieren
Pakete suchen
Statistiken und Berichte
Die Verwendung von Kennnamen
Paketgenerator
Optischer Paketersteller
NIC Vendor (Hersteller) Identifier (Identifiziertool)
Scheduler
Knotenzuordnung wiederherstellen
Der Einsatz des Remote Agent
RPCAP anwenden
Aruba Remote Capture anwenden
Port Referenz
Einstellungen
Häufig gestellte Fragen
VoIP-Analyse
Einleitung
Arbeiten mit dem VoIP-Analyser
SIP- und H.323-Sitzungen
RTP-Ströme
Registrierungen, Endpunkte, Fehler
Anrufprotokoll und Berichte
Anrufswiedergabe
VoIP-Protokollbetrachter
Arbeiten mit Auflistungen im VoIP-Analyser
NVF-Dateien
Weiterführende Themen
802.11n- und 802.11 ac-Netzwerke überwachen
Hintergründe von CRC- und ICV-Fehlern
Hintergründe der WPA-Entschlüsselung
Signalstärke
A-MPDU- und A-MSDU-Pakete erfassen
CommView for WiFi innerhalb virtueller Maschine benutzen
Mehrkanalerfassung
Spektralanalyse
Erfassung von intensivem Verkehr
CommView im nichtsichtbaren Modus
Kommandozeilen Parameter
Datenaustausch mit Ihrer Anwendung
Maßgeschneidertes Decoding
CommView Logdateien Format
Information
Wie kann man CommView kaufen

Hintergründe von CRC- und ICV-Fehlern

CRC-Fehler

Jeder WLAN-Frame besteht aus den folgenden Basiskomponenten:

· Einem MAC-Header, der Informationen zur Framekontrolle, Dauer, Adresse und Sequenzsteuerung enthält.
· Einen unterschiedlich langen Framekörper, der Information über den Frametyp enthält.
· Eine Frame-Checksequenz (FCS), die einen zyklischen 4-Byte-Wiederholungscode (CRC) enthält.

Die letzte Komponente (FCS) wird für den Integritätstest des Paketes auf der Empfängerseite benötigt. Der empfangende Teil berechnet den CRC-Wert aus dem erhaltenen Frame und vergleicht den berechneten Wert mit den aktuellen 4 Byte am Ende des Paketes. Wenn diese Werte differieren wird das Paket als beschädigt angesehen.

Wie CommView for WiFi mit solchen beschädigten Frames umgeht hängt von den durch den Anwender durchgeführten Einstellungen ab. Standardmässig werden solche Frames ignoriert, außer:

· Wenn sie die Gesamtzahl der Pakete und den Bytecounter erhöhen.
· Wenn sie den CRC Fehlerzähler im Register Kanäle erhöhen.
· Wenn sie im Register Statistik in der Paketgrößentabelle enthalten sind.

Aus folgendem Grund werden beschädigte Frames in anderen Listen und Tabellen nicht gezählt. Kein Frameteil mit einer falschen CRC-Summe ist vertrauenswürdig. Der Frame kann eine völlig falsche IP-Adresse, falschen Dateninhalt etc. beinhalten, wobei in der Realität solche Frames doch den Originalen ähneln. Aus diesem Grund können CRC-Fehler auch nicht einem WLAN-Accesspoint bzw. einer Station zugeordnet werden, da man auch nicht die MAC-Adresse des echten Absenders bestimmen kann.

Dennoch kann der Benutzer die Checkbox Beschädigte Frames erfassen in den Optionen aktivieren; in diesem Fall werden die beschädigten Frames auch in der Paketliste angezeigt. Standardmässig werden solche Frames rot markiert und haben den CRC-Marker in der Spalte Fehler im Register Pakete angezeigt:

crc

Es ist wichtig zu verstehen, dass ein von CommView for WiFi empfangenes Frame mit CRC-Fehler am Zielknoten ohne Fehler ankam. Es ist wichtig zu verstehen, dass ein von CommView for WiFi empfangenes Frame mit CRC-Fehler am Zielknoten ohne Fehler ankam.

Nicht alle WLAN-Adapter können beschädigte Frames an den Applicationlevel weitergeben. Dies ist nur für die empfohlenen Adapter sichergestellt, die von CommView for WiFi unterstützt werden.

ICV-Fehler

Der sogenannte "Integrity Check Value" (ICV) ist eine 4-Byte-Checksumme, die von WEP- und WPA-verschlüsselten Frames zur Überprüfung des Vershlüsselungsergebnisses verwendet wird. Die Empfängerseite berechnet den ICV-Wert aus dem Datenteil des erhaltenen Frames und vergleicht diesen berechneten Wert mit den aktuellen 4 Bytes am Ende des Paketdatenteils. Wenn diese Werte differieren wird die Entschlüsselung als fehlerhaft definiert.

CommView for WiFi kann, sofern die richtigen WEP-/WPA-Schlüssel eingegeben worden sind, on-the-fly WEP-und WPA-Entschlüsselung durchführen. Das Programm zeigt die ICV-bezogenen Informationen in drei Orten an: In den Registern Knoten und Kanäle sowie in der Spalte Fehler im Register Pakete. Wie ICV-Fehler angezeigt und vom Programm gezählt werden hängt davon ab, ob ein Schlüssel eingegeben wurde und inwieweit d Schlüssel korrekt ist. Es gibt dabei drei Möglichkeiten:

1. Ein Schlüssel wurde eingegeben und er ist der Richtige für das WLAN.
2. Ein Schlüssel wurde eingegeben, ist aber falsch.
3. Es wurde kein Schlüssel eingegeben.

Im ersten Fall sollten nur wenige ICV-Fehler vom Programm gemeldet werden. Im zweiten Fall bekommen die gesammelten Datenframes ein ICV-Error-Flag, da die berechneten und gemessenen ICV-Werte nicht übereinstimmen, da ein falscher Schlüssel verwendet wurde. Im dritten Fall haben die Frames keine ICV-Fehler, da keine Entschlüsselungsversuche durchgeführt wurden.

Wie weiter oben erklärt wurde, sind ICV-Fehler im Gegensatz zu den "harten" CRC-Fehlern eher sogenannte Softfehler, die vom Entschlüsselungsschlüssel abhängig sind. Ihr WLAN kann vollfunktionsfähig sein, wenn Sie aber den falschen WEP-Schlüssel in CommView for WiFi eingegeben haben, werden Sie viele ICV-Fehler beobachten. Aufgrund dieser "Softness" werden die Pakete standardmässig in derselben Farbe, wie die anderen Pakete angezeigt. Mittels des Dialoges Einstellungen können Sie dies verändern.

Wenn ein Frame einen CRC-Fehler hat, macht das Erkennen von ICV-Fehlern keinen Sinn. Daher zeigt CommView for WiFi niemals ICV-Fehler für Frames mit CRC-Fehlern an.