Un argomento da GEEK Informatico.

Ogni tanto mi piace dare un’occhiata al traffico della mia rete Wi-Fi .
Non per “spiare”, ma solo per studiare e capire meglio come funziona.
Per farlo uso Wireshark, con le schede di rete messe in monitor mode e qualche filtro mirato.

Attivare il monitor mode

(i nomi delle schede sono solo un esempio, cambiano da PC a PC: controlla i tuoi con iwconfig o ip link)

Scheda 2.4 GHz (esempio: wlp3s0)

sudo ip link set wlp3s0 down
sudo iw dev wlp3s0 set type monitor
sudo ip link set wlp3s0 up

Scheda 5 GHz (esempio: wlx7c10c964c442)

sudo ip link set wlx7c10c964c442 down
sudo iw dev wlx7c10c964c442 set type monitor
sudo ip link set wlx7c10c964c442 up
sudo iw dev wlx7c10c964c442 set channel 36

Dopo questi comandi, con iwconfig puoi verificare che entrambe siano davvero in monitor.

Filtri Wireshark utili

Ecco alcuni filtri che uso più spesso quando analizzo il traffico:

wlan.fc.type_subtype == 8 → Beacon frames (vedi AP vicini e SSID)

wlan.ssid == "NOME_TUA_RETE" → Solo traffico relativo al tuo Wi-Fi

wlan.addr == XX:XX:XX:XX:XX:XX → Traffico di un client specifico

wlan.fc.type == 2 → Data frames (pacchetti reali cifrati)

wlan.fc.type == 0 → Management frames (Probe, Auth, Assoc)

wlan.fc.type_subtype == 4 → Probe Request (chi cerca reti)

wlan.fc.type_subtype == 5 → Probe Response (risposte degli AP)

wlan.fc.type_subtype == 11 → Authentication (inizio handshake)
eapol → WPA2 Handshake (i 4 pacchetti di autenticazione)

Tabella estesa dei pacchetti Wi-Fi

Tipo | Descrizione | Filtro Wireshark | Note pratiche

Beacon | L’AP annuncia la rete (SSID, canale, cifratura) | wlan.fc.type_subtype == 8 | Li vedrai sempre, anche senza client connessi

Probe Request | Un client cerca reti disponibili | wlan.fc.type_subtype == 4 | Utile per vedere quali SSID “cerca” un dispositivo

Probe Response | Risposta dell’AP a una Probe Request | wlan.fc.type_subtype == 5 | Mostra le info della rete

Authentication | Inizio procedura di autenticazione | wlan.fc.type_subtype == 11 | Solo nelle fasi iniziali di connessione

Association Request | Un client chiede di unirsi a una rete | wlan.fc.type_subtype == 0 | Momento in cui il device “entra”

Association Response | Risposta dell’AP alla richiesta | wlan.fc.type_subtype == 1 | Se positiva, parte l’handshake WPA

RTS / CTS | Request / Clear to Send (controllo accesso) | wlan.fc.type_subtype == 20 / 21 | Tipico in reti affollate

ACK | Conferma di ricezione | wlan.fc.type_subtype == 24 | Ne vedrai moltissimi

Dati | Pacchetti cifrati contenenti traffico reale | wlan.fc.type == 2 | Non puoi leggerne il contenuto senza chiave WPA

QoS Data | Variante dei pacchetti dati con priorità | wlan.fc.type_subtype == 28 | Usato da streaming/VoIP

ARP | Risoluzione indirizzi IP ⇔ MAC | arp | Ti mostra quando un device entra in rete

DHCP / BOOTP | Assegnazione IP dal router | bootp | Fondamentale per vedere chi chiede un IP

Combinazioni utili

• wlan.fc.type == 0 → solo pacchetti di gestione (beacon, probe, auth, assoc)

• wlan.addr == XX:XX:XX:XX:XX:XX → filtra un client specifico

• (arp or bootp) → ottimo per vedere quando un nuovo dispositivo si collega

Con queste piccole accortezze posso studiare meglio come si comportano i miei dispositivi, distinguere i frame e capire la differenza tra 2.4 GHz e 5 GHz.

Un modo divertente per imparare sempre qualcosa di nuovo!