Modo monitor y modo de captura nativa en Acrylic Suite
Tabla de contenidos
Captura en modo monitor vs nativa, diferencias:
El modo monitor (modo promiscuo o modo escucha) y el modo de captura nativa o normal son los dos modos de captura de datos soportados por las tarjetas wifi en Windows y a continuación veremos las diferencias de realizar una captura en modo monitor vs nativa.
Mientras que la captura en modo normal, se centra en identificar puntos de acceso wifi, en la captura en modo monitor, se pueden capturar todos los paquetes wifi, incluidos los de datos.
Dependiendo del tipo de captura, nativa o modo monitor, obtendremos un nivel diferente información sobre nuestra red WiFi y dispositivos alrededor, a continuación vemos las diferencias para cada uno de estos tipos de captura.
Modo captura nativa
Es la captura que soporta cualquier software estándar que use wifi. Cuando se realiza una monitorización en modo de captura nativa en Windows, la tarjeta WiFi se comporta como un adaptador WiFi estándar y hace uso de los controladores del fabrican que esta instalados el el ordenador.
La tarjeta, utilizando los mecanismos nativos de Windows, captura solo un tipo específico de paquetes, concretamente paquetes Management Beacon, que son los originados por los puntos de acceso. Estos paquetes son emitidos múltiples veces por segundo por los puntos de acceso para indicar qué red o redes están disponibles en ese momento.
Las herramientas de Acrylic Suite son compatibles con cualquier tarjeta WiFi del mercado en modo de captura nativa o modo normal, analizan e interpretan estos paquetes, mostrando la información que contienen y almacenándola en ficheros pcap o en el proyecto en curso.
Para realizar una captura de datos nativa, no se requiere de ningún hardware especial, basta con disponer de una tarjeta wifi integrada o usb.
Modo monitor
La captura de datos en modo monitor vs nativa es el modo que permite hacer uso de la tarjeta WiFi en modo escucha o modo promiscuo. En este modo la tarjeta es capaz de capturar todos los tipos de paquetes WiFi, Management (incluidos los Beacon), Data y Control. De esta manera, es posible visualizar no solo los puntos de acceso sino también los clientes que están emitiendo dentro de las bandas de frecuencia WiFi.
Cómo capturar en modo monitor en windows.
El modo de captura monitor en Windows se puede activar usando Acrylic Wi-Fi Sniffer (802.11a/b/g/n/ac) de manera que el resto de productos de Acrylic Suite se comunique con el para capturar en modo monitor además de proporcionar estas capacidades de captura a herramienta de terceros como Wireshark.
Acrylic Wi-Fi Sniffer permite la captura en modo monitor de una manera sencilla y debido a que fue diseñado para ser una alternativa fácil de usar y económica para la captura en modo monitor en Windows, puede recuperar todos los datos disponibles incluyendo información sobre los valores SNR (Signal-to-Noise Ratio).
El SNR es un buen parámetro para medir la calidad de una comunicación, puesto que tiene en cuenta la intensidad de señal recibida y el ruido presente en el medio inalámbrico. Su valor varía entre 0 (peor) y 100 (mejor) y e considera un buen valor por encima de 20.
Los valores de SNR está disponible tanto en Acrylic Wi-Fi Analyzer como Acrylic Wi-Fi Heatmaps a traves de Acrylic Wi-Fi Sniffer, es compatible con los últimos estándares 802.11ac con todos los anchos de canal (20, 40, 80 y 160 MHz).
En esta página puedes ver las tarjetas compatibles con Acrylic Wi-Fi Sniffer
Información disponible con Acrylic Wi-Fi Analyzer
Modo normal (nativo)
- SSID
- Direcciones MAC
- Intensidad de señal
- Canales
- Ancho de canal
- IEEE 802.11
- Tasa máxima de envío de paquetes
- Tipo de cifrado (WEP, WPA, WPA2, WPA3, WPS PIN)
- Fabricante
- Latitud y longitud (información está disponible cuando se conecta un dispositivo GPS)
Modo monitor
Realizando una captura de datos en modo monitor, Acrylic Wi-Fi Analyzer ofrece, además de toda la información disponible con la captura en modo normal, información sobre:
- En que canales monitorizar.
- Identificación del nombre de SSID wifi ocultos.
- Dispositivos clientes conectados a los diferentes puntos de acceso
- Reintento de envío de paquetes (Retries)
- Paquetes de datos enviados (Data)
- Paquetes tipo Management enviados (Management).
- Número de paquetes enviados por ese dispositivo.
- Número de paquetes recibidos por ese dispositivo.
Comparativa: Modo monitor vs nativa
Gráficas disponibles con Acrylic Wi-Fi Heatmaps
Acrylic Wi-Fi Heatmaps además de hacer uso de Acrylic Wi-Fi Sniffer, tiene integrado de serie el soporte de dos métodos adicionales para hacer uso del modo monitor, uno, al igual que lo implementa Acrylic Wi-Fi Sniffer, es la captura mediante un driver de Windows de tipo NDIS, y la otra es el uso de hardware especializado Airpcap, ahora mismo tanto el driver NDIS y estas tarjetas se encuentran obsoletos y Acrylic Wifi Sniffer es la alternativa a Airpcap recomendada. Estos dos métodos se mantienen por compatibilidad, pero no se garantiza que sigan disponibles en futuras actualizaciones.
Driver NDIS wifi
El driver NDIS además de estar incluido en Acrylic Wi-Fi Sniffer se encuentra disponible en Acrylic Wi-Fi Heatmaps y permite la captura en modo monitor para 802.11a/b/g/n y anchos de canal de 20MHz, siempre dependiendo de la tarjeta, para activar el modo de captura monitor es necesario disponer de una tarjeta compatible e instalar el driver, lo cual se puede hacer desde la propia aplicación.
Tarjeta AirPCAP
También podemos realizar una captura en modo monitor utilizando un hardware específico de análisis Wi-Fi, tales como las tarjetas AirPcap, desarrolladas por Riverbed. Este tipo de tarjetas actualmente se encuentran descatalogadas y no soportan los nuevos estándares 802.11ac/ax. Únicamente soportan captura en modo monitor, no son validas para ser usadas como tarjetas wifi convencionales. Si realizamos una captura en modo monitor con una tarjeta AirPcap, podremos visualizar, además de todos los datos disponibles con una captura en modo monitor empleando una tarjeta compatible con el driver de NDIS, información sobre los valores SNR (Signal-to-Noise Ratio).
En Acrylic Wi-Fi Heatmaps, el modo de captura nativa, compatible con todas las tarjetas wifi del mercado, nos permite generar las siguientes gráficas y diagramas (plots):
- Mapa de calor Wifi de RSSI (Intensidad de señal)
- Cobertura por AP
- Cobertura por Canal
- Tasas de transferencias máximas soportadas
- Número de APs
- Solapamiento de canal
- Datos agrupados por celda
- Ancho de banda*
- Latencia*
- Pérdida de paquetes*
- Roaming*
*Plots disponibles cuando se ha realizado un site survey activo.
Modo Nativo
Las gráficas disponibles al realizar una captura en modo nativo son las siguientes:
Modo Monitor
Si realizamos la captura de datos en modo monitor, además de los plots disponibles con una captura en modo normal, podremos visualizar:
- Gráfica de Cell Density (la densidad de dispositivos wifi conectados a los puntos de acceso)
- Retries rate (Tasa de reenvío de paquetes).
- Mapa wifi SNR*
* Disponible usando Acrylic Wi-Fi Sniffer o una tarjeta AirPcap.
Acrylic Wi-Fi Sniffer permite capturar tráfico enviado usando los últimos estándares de 802.11ac con anchos de canal 20, 40, 80 y 160Mhz. Esta mejora aplica a todas las gráficas del software.
Como se puede ver en la imagen la gráfica de RF Spectrum no está disponible en ninguno de los modos, esto es porque es necesario un dispositivo específico con capacidades de analizador de espectro, si quieres más información sobre para qué sirve esta grafica, como activarla y como utilizarla échale un vistazo al artículo “Análisis del espectro WiFi, cómo realizarlo y qué información proporciona”.