wiretap/README.airmagnet

   1 AMC: Wireless Analyzer Captured Data (AirMagnet)
   2 ------------------------------------------------
   3 $Id$
   4
   5 This is just a braindump from looking at some Airmagnet capture files,
   6 in one case having a look at a decoded display in Airmagnet itself.
   7 Lots of things are still unknown.
   8 This is NOT the intention to write a file importer in the forseeable
   9 future.
  10
  11 Exact timestamp decoding still unkown:
  12 From a diffrent decoded examplefile:
  13 06 51 49 1b     Timestamp  (105990427)  =  03:30:27.497544
  14 06 51 4a cd     Timestamp  (105990861)  =  03:30:27.497978  (+434)
  15 06 51 4b ce     Timestamp  (105991118)  =  03:30:27.498235  (+257)
  16
  17 Timestamps this file:
  18 Frame1: 15a5 2fb4       363147188       -
  19 Frame2: 15a5 3a8e       363149966       + 1778
  20 Frame3: 15a5 3c50       363150416       +  550
  21 Frame4: 15a5 487d       363153533
  22 Frame5: 15a5 49d9       363153881
  23 Frame6: 15a5 4bcf       363154383
  24 Frame7: 15a5 53da       363156442
  25 Frame8: 15a5 59e4       363157988
  26 Frame9: 15cc 9da8       365731240
  27 FrameA: 15db dd60       366730592
  28 FrameB: 15dc 04f6       366740726
  29 FrameC: 15df 5d29       366959913
  30
  31 Unknown stuff:
  32 Header: 0000 0000 0002 | 3b93 d886
  33 Frame1: da9d | 0000 0000 0002
  34 Frame2: bf9c | 0000 0000 0002
  35 Frame3: d59c | 0000 0000 0002
  36 Frame4: c09c | 0000 0000 0002
  37 Frame5: c09c | 0000 0000 0002
  38 Frame6: d69c | 0000 0000 0002
  39 Frame7: d79c | 0000 0000 0002
  40 Frame8: c09c | 0000 0000 0002
  41 Frame9: d79c | 0000 0000 0002
  42 FrameA: d89c | 0000 0000 0002
  43 FrameB: d69d | 0000 0000 0002
  44 FrameC: d79c | 0000 0000 0002
  45
  46 Headerstructure:
  47  6 Bytes: 'N2GINC'
  48 44 Bytes: unknown (0x0)
  49  6 Bytes: 'N2GINC'
  50  2 Bytes: unknown (0x0)
  51  2 Bytes: #Frames (BE)
  52  2 Bytes: unknown (0x0)
  53  2 Bytes: unknown (0x0002)
  54  4 Bytes: Timestamp
  55  4 Bytes: unknown (Timestamp date part ?)
  56 28 Bytes: unknown (0x0)
  57 ==================
  58 Total: 100 Bytes
  59
  60 Recordstructure:
  61  2 Bytes: unknown
  62  2 Bytes: Bytes "on wire" (BE)
  63  2 Bytes: LL Bytes in capturefile (BE)
  64  4 Bytes: unknown (0x0) (02 00 00 00 = Frame displayed in RED)
  65  2 Bytes: unknown (0x0002)
  66  4 Bytes: Timestamp
  67  1 Byte:  DataRate ((AND 7f) / 2 in Mbit/s)
  68  1 Byte:  Channel (1-13: Chan 1-13, 15: Chan 36, 16: Chan 40, ..., 19: Chan 52, ...)
  69  1 Byte:  SignalStrength (%)
  70  1 Byte:  NoiseLevel (%)
  71 LL Bytes: Capturedata
  72  6 Bytes: unknown
  73  4 Bytes: 0x33333333
  74 (1 Byte:  0x33) in case LL is an odd number
  75
  76 Filelength: 0x57e Bytes
  77 12 Frames
  78 ============== Header ===================
  79 0000000: 4e32 4749 4e43 0000 0000 0000 0000 0000
  80 0000010: 0000 0000 0000 0000 0000 0000 0000 0000
  81 0000020: 0000 0000 0000 0000 0000 0000 0000 0000
  82 0000030: 0000 4e32 4749 4e43 0000 000c 0000 0002
  83 0000040: 1545 5198 3b93 d886 0000 0000 0000 0000
  84 0000050: 0000 0000 0000 0000 0000 0000 0000 0000
  85 0000060: 0000 0000
  86 ============== Frame 1 ==================
  87 Length: 0x36
  88 -------- ???
  89 0000064: da9d
  90 0000066: 0026 0026
  91 000006a: 0000 0000 0002
  92 0000070: 15a5 2fb4              Timestamp
  93 0000074: 02                     DataRate
  94 0000075: 06                     Channel
  95 0000076: 64                     SignalStrength (%)
  96 0000077: 01                     NoiseLevel (%)
  97 -------- ieee 802.11
  98 0000078: b000                   Type/Subtype/Frame Control
  99 000007a: 3a01                   Duration
 100 000007c: 0040 9647 71a3         Destaddr
 101 0000082: 0040 9631 d395         Sourceaddr
 102 0000088: 0040 9647 71a3         BSS Id
 103 000008e: b000                   Fragment nr/Seq nr
 104 -------- ???
 105 0000090: 0000 0100 0000 3333 3333
 106 ============== Frame 2===================
 107 Length: 0x36
 108 -------- ???
 109 000009a: bf9c 0026 0026
 110 00000a0: 0000 0000 0002 15a5 3a8e 1606 3c00
 111 -------- ieee 802.11
 112 00000ae: b000                   Type/Subtype/Frame Control
 113 00000b0: 7500
 114 00000b2: 0040 9631 d395
 115 00000b8: 0040 9647 71a3
 116 00000be: 0040 9647 71a3
 117 00000c4: 806d
 118 -------- ???
 119 00000c6: 0000 0200 0000 3333 3333
 120 ============== Frame 3 ==================
 121 Length: 0x62
 122 -------- ???
 123 00000d0: d59c 0051 0051
 124 00000d6: 0000 0000 0002 15a5 3c50 0206 6400
 125 -------- ieee 802.11
 126 00000e4: 0000
 127 00000e6: 3a01
 128 00000e8: 0040 9647 71a3
 129 00000ee: 0040 9631 d395
 130 00000f4: 0040 9647 71a3
 131 00000fa: c000
 132 -------- ???
 133 00000fc: 2100 c800
 134 0000100: 0005 616c 616d 6f01 0402 040b 1685 1e00
 135 0000110: 016d 0d1f 00ff 0318 0049 6e73 7472 7563
 136 0000120: 746f 7200 0000 00
 137 -------- ???
 138 0000127: 00 0000 0000 2133 3333 3333
 139 ================= Frame 4 ===============
 140 Length: 0x68
 141 -------- ???
 142 0000132: c09c 0058 0058
 143 0000138: 0000 0000 0002 15a5 487d 1606 3e00
 144 -------- ieee 802.11
 145 000014a: 1000
 146 000014c: 7500
 147 000014e: 0040 9631 d395
 148 0000154: 0040 9647 71a3
 149 000015a: 0040 9647 71a3
 150 000015c: 906d
 151 -------- ???
 152 000015e: 2100
 153 0000160: 0000 1d00 0104 8284 8b96 851c 0000 4c0d
 154 0000170: 0000 0000 0100 416c 616d 6f20 436c 6173
 155 0000180: 7372 6f6f 6d20 0002 880c 80f3 0300 8137
 156 -------- ???
 157 0000190: 0300 0000 0000 3333 3333
 158 =================== Frame 5 =============
 159 -------- ???
 160 000019a: c09c 005a 005a
 161 00001a0: 0000 0000 0002 15a5 49d9 1606 3e00
 162 -------- ieee 802.11
 163 00001ae: 0802
 164 00001b0: 7500 0040 9631 d395 0040 9647 71a3 0040
 165 00001c0: 9647 71a3 a06d aaaa 0300 4096 0000 0032
 166 00001d0: 4001 0040 9631 d395 0040 9647 71a3 0100
 167 00001e0: 0000 0000 0000 0000 0000 0000 0000 0000
 168 00001f0: 0000 0000 0000 0000 0000
 169 -------- ???
 170 00001fa: 0000 0000 0000 3333 3333
 171 =================== Frame 6 =============
 172 -------- ???
 173 0000204: d69c 0072 0072
 174 000020a: 0000 0000 0002 15a5 4bcf 0206 6400
 175 -------- ieee 802.11
 176 0000218: 0801 3a01 0040 9647
 177 0000220: 71a3 0040 9631 d395 0040 9647 71a3 d000
 178 0000230: aaaa 0300 4096 0000 004a 4081 0040 9647
 179 0000240: 71a3 0040 9631 d395 016d 0004 1900 0040
 180 0000250: 9647 71a3 0000 0000 0000 0000 0000 0000
 181 0000260: 0000 001e 496e 7374 7275 6374 6f72 0000
 182 0000270: 0000 0000 0000 0000 0000 0000
 183 -------- ???
 184 000027c: 0000 0000 0000 3333 3333
 185 =================== Frame 7 =============
 186 -------- ???
 187 0000286: d79c 0039 0039
 188 000028c: 0000 0000 0002 15a5 53da 0206 6400
 189 -------- ieee 802.11
 190 000029a: 0801 3a01 0040
 191 00002a0: 9647 71a3 0040 9631 d395 0040 9647 71a3
 192 00002b0: e000 aaaa 0300 4096 0000 0011 4001 0040
 193 00002c0: 9647 71a3 00
 194 00002c5: 40 9631 d395 0133 3333 3333
 195 ====================== Frame 8 ==========
 196 -------- ???
 197 00002d0: c09c 0072 0072
 198 00002d6: 0000 0000 0002 15a5 59e4 1606 3e00
 199 -------- ieee 802.11
 200 00002e4: 0802 7500 0040 9631 d395 0040
 201 00002f0: 9647 71a3 0040 9647 71a3 b06d aaaa 0300
 202 0000300: 4096 0000 004a 4081 0040 9631 d395 0040
 203 0000310: 9647 71a3 014c 030b 1500 0000 0000 0000
 204 0000320: 0000 0000 0000 0002 0000 0a00 0001 0000
 205 0000330: 416c 616d 6f20 436c 6173 7372 6f6f 6d00
 206 0000340: 0000 0000 0000 0000
 207 0000348: 0000 0000 2200 3333 3333
 208 =================== Frame 9 =============
 209 -------- ???
 210 0000352: d79c 0170 00a0
 211 0000358: 0020 0000 0002 15cc 9da8 1606 6400
 212 -------- ieee 802.11
 213 0000366: 0801 7500 0040 9647 71a3
 214 0000370: 0040 9631 d395 ffff ffff ffff f000 aaaa
 215 0000380: 0300 0000 0800 4500 0148 42a1 0000 8011
 216 0000390: f704 0000 0000 ffff ffff 0044 0043 0134
 217 00003a0: d991 0101 0600 7728 b62a 0000 0000 0000
 218 00003b0: 0000 0000 0000 0000 0000 0000 0000 0040
 219 00003c0: 9631 d395 0000 0000 0000 0000 0000 0000
 220 00003d0: 0000 0000 0000 0000 0000 0000 0000 0000
 221 00003e0: 0000 0000 0000 0000 0000 0000 0000 0000
 222 00003f0: 0000 0000 0000 0000
 223 -------- ???
 224 00003f8: 0000 0000 0000 3333 3333
 225 =================== Frame A =============
 226 -------- ???
 227 0000402: d89c 0182 00a0
 228 0000408: 0020 0000 0002 15db dd60 1606 6400
 229 -------- ieee 802.11
 230 0000416: 0801 7500
 231 000041a: 0040 9647 71a3
 232 0000420: 0040 9631 d395
 233 0000426: ffff ffff ffff
 234 000042c: 0001
 235 -------- LLC
 236 000042e: aaaa 0300 0000 0800
 237 -------- IP
 238 0000436: 4500 015a 42a3 0000 8011 f6f0 0000 0000 ffff ffff
 239 -------- UDP
 240 000044a: 0044 0043 0146 57bc
 241 -------- DHCP
 242 0000452: 0101 0600 7728 b62a 0000 0000 0000
 243 0000460: 0000 0000 0000 0000 0000 0000 0000 0040
 244 0000470: 9631 d395 0000 0000 0000 0000 0000 0000
 245 0000480: 0000 0000 0000 0000 0000 0000 0000 0000
 246 0000490: 0000 0000 0000 0000 0000 0000 0000 0000
 247 00004a0: 0000 0000 0000 0000
 248 -------- ???
 249 00004a8: 0000 0000 0000 3333 3333
 250 =================== Frame B =============
 251 -------- ???
 252 00004b2: d69d 0056 0056
 253 00004b8: 0000 0000 0002 15dc 04f6 1606 6401
 254 -------- ieee 802.11
 255 00004c6: 0801
 256 00004c8: 7500
 257 00004ca: 0040 9647 71a3
 258 00004d0: 0040 9631 d395
 259 00004d6: ffff ffff ffff
 260 0000edc: 1001
 261 -------- LLC
 262 00004de: aaaa 0300 0000 0806
 263 -------- ARP
 264 00004e6: 0001 0800 0604 0001
 265 00004ee: 0040 9631 d395 0a00 0065
 266 00004f8: 0000 0000 0000 0a00 0065
 267 -------- ???
 268 0000502: 7b00 e097 7b00 e097 7b00 e097
 269 000050e: 7b00 e097 7b00 3333 3333
 270 =================== Frame C =============
 271 -------- ???
 272 0000518: d79c 0056 0056
 273 000051e: 0000 0000 0002 15df 5d29 1606 6400
 274 -------- ieee 802.11
 275 000052c: 0801
 276 000052e: 7500
 277 0000530: 0040 9647 71a3
 278 0000536: 0040 9631 d395
 279 000053a: ffff ffff ffff
 280 0000540: 2001
 281 -------- LLC
 282 0000542: aaaa 0300 0000 0806
 283 -------- ARP
 284 000054a: 0001                   Hw
 285 000054c: 0800                   Protocol
 286 0000550: 06                     Hw-Size
 287 0000551: 04                     Protocolsize
 288 0000552: 0001                   Opcode
 289 0000554: 0040 9631 d395         Sender MAC
 290 000055a: 0a00 0065              Sender IP
 291 000055e: 0000 0000 0000         Destination MAC
 292 0000564: 0a00 0065              Destination IP
 293 -------- ???
 294 0000568: 0000 8602 0000 ffff ffff 0cc3
 295 0000574: 4b82 58a1 1d82 3333 3333
 296 =========================================
 297 000057e: EOF