我有一个Wi-Fi捕获文件(.pcap),正在进行分析,发现在802.11规范和Wireshark对数据的解释之间存在不一致。具体而言,我试图分离的是2字节的802.11帧控制字段。该帧控制字段的子字段格式如下(取自http://www4.ncsu.edu/~aliu3/802.bmp):
0x08
如何与Wireshark对帧的描述相匹配。 0x08
= 0000 1000b
,我认为这将转换为版本= 00
,类型= 00
(我认为这意味着管理而不是数据帧),子类型= 1000
(我认为这将是信标帧)。因此,我期望这个帧是一个管理帧,更具体地说,是一个信标帧。然而,Wireshark将其报告为数据帧。让我困惑的第二件事是Wireshark在Type/Subtype:Data(0x20)
行中从哪里提取 0x20
。是否有人可以为我澄清802.11规范/Wireshark捕获的解释以及这两者为什么不一致?
0000b
,类型 =10b
/0x2
,版本 =00b
,表示类型和子类型的一个合理方法是type << 4&subtype
,即在这种情况下为0x20
。我很乐意由有知识的人确认或否认这一点。 - legoscia