用omnipeek抓取配网组包

一、背景介绍
IOT行业的各位都知道，业内有两种常见的配网方式，smartconfig配网和ap配网，这两种配网方式各个厂家的具体实现各不相同，但是原理大同小异。具体原理网上有很多详细说明，可自行搜索，这里不再具体的讲述。
最近办公室经常有同事反馈，手里的wifi设备处于smartconfig配网模式时频繁被人配走，影响了大家正常测试。设备配网时被别人配走很正常，因为同一个办公室可能有很多人在同时配网，但是了解了几个同事的情况之后，发现情况不是这么简单，从描述的表象提取了以下几个关键词：

• 高频率，几乎设备只要切到smartconfig配网模式就马上会被配走

• 持续时间久，这种情况一般都持续很长时间，每次都超过12h。

  综合以上表象，大概率不是碰巧被别人配走，推测可能是某种工具或自动化脚本在发送配网广播包或组播包，然后通过路由器将广播包或组播包发出去，导致路由器有效覆盖范围的Wi-Fi设备受到影响，示意图如下：
  
  发送配网包的源头（可能是WIFi模组、手机、脚本、等等）通过广播包或者组播包将ssid 和 pwd 编码后发出，经路由器转发后，路由器的整个覆盖范围的设备都会受到影响。要消除整个这个影响就要把源头找出来干掉。

二、环境准备

2.1 工具准备
抓包网卡， #ciso 那款停产了，很难买到，我用的是 D-Link DWA-160B2G双频无线网卡
omnipeek 抓包软件，#链接：https://pan.baidu.com/s/1Ga3Zxqm5_nqaYiO8DcnMog 提取码：epdl
PC机，我的是win10系统

2.2 omnipeek 和wireshark 有什么区别？
常用的抓包工具就那么几种，我用过的主要是这两款：wireshark, omnipeek,对它们的介绍以及区别有一篇文章写的比较清楚：Wireshark, Sniffer and Omnipeek 三款网络分析工具的比较

2.3 omnipeek使用注意事项
1.网卡选型时要看是否支持omnipeek抓包，
2.网卡驱动要选对

三、分析过程

3.1 抓包工具使用
参考下面这篇文章，写的比较详细
跟着omnipeek学802.11之Omnipeek无线空中抓包入门

3.2 如何查找源设备
我们知道，配网的组播包或广播包由源设备发出来后会通过路由器转发出去，通过被配上网设备的串口日志可以看到连上哪个路由器了，然后通过ap的ssid可以知道组播包在哪个信道上，可以只抓取这个信道的数据包，目的是过滤掉其他信道的数据减少抓到的数据数量加快排查速度。
已知条件：1. 转发广播/组播包的路由器 ssid ，由ssid 可以知道路由器的mac,所处信道，
推理：我们只需要找到通过该路由器的广播包或者组播包的报文即可在报文中找到源设备的mac，由于设备的mac具有唯一性，理论上来讲，找到了mac即可确定这个设备。

3.3 数据过滤
排查抓到的数据包，如下图package 4262 所在的 Mcast IP 就是配网组播包，souce 所在那一列是源设备的mac，BSSID所在列是路由器的mac。拿到设备的mac即可找到唯一设备，当然这是理论上的，要通过mac找到真实设备可能会比比较曲折，诸位各显神通。

四、写在最后
本人水平有限，精力有限，仅用于个人消化记录知识，各位同行先进，牛人大佬如有指导或纠错可联系本人。
邮箱：[email protected]