Разница во времени между двумя пакетами с использованием заголовка Radiotap MAC timestamp

Question

Я пытаюсь разобрать поля временной метки MAC заголовков радиоисточников пакетов 802.11, захваченных в режиме монитора.

Поле TSFT заголовка радиоисточника имеет значение 64 бит в микросекундах. Необработанное шестнадцатеричное значение подсвечено ниже.

значение MAC-временная метка представлено в десятичной системе с помощью Wireshark

Это десятичное значение десятичного значения 2b1c20cb00000000.

То, что я пытаюсь сделать, это получить разницу во времени между двумя кадрами, используя шестнадцатеричное значение в поле метки метки радиосигнала MAC.

Например:

кадр # 2 имеет десятичное значение 3106049021945315329 (2b1ae72100000001) и

кадр # 3 имеет 3106066889009266689 (2b1af76100000001).

Вычитание этих значений дает 1AC47FFFFF5C1. Предполагая, что это в микросекундах, это значение равно 470900214.330817 секунд.

Что такой процесс следуя эти шаги, чтобы получить разницу во время 0.000071 секунд, используя значения в MAC-временных метки поля заголовка radiotap

Спасибо

Answer 1

«метка MAC» поле в заголовке radiotap является the value in microseconds of the MAC's 64-bit 802.11 Time Synchronization Function timer when the first bit of the MPDU arrived at the MAC. Это взято непосредственно из MAC-адреса с помощью драйвера устройства для вашей конкретной карты WiFi и может быть или не быть точным или правильным, в зависимости от реализации драйвера.

В столбце «Время» отображается прошедшее время с момента получения первого кадра. Это вычисляется libpcap, используя системные часы на хосте, и это время, когда кадр был впервые замечен libpcap.

Оба этих значения времени вычисляются с использованием разных часов, поэтому их нельзя сравнивать напрямую. Если поле временной метки MAC является правильным и точным (что кажется вашим не похоже - возможно, проблемой с драйвером), то оно должно использоваться как контрольное время, а время libpcap следует использовать только в качестве приблизительного руководства.