No protocolo IEEE 802.11 , no link frame, o segundo endereço é o endereço MAC do remetente e o primeiro endereço é o endereço MAC do receptor, que é o endereço AP se o remetente for uma estação, e a estação de destino se o remetente for o AP.
Então, no meu caso, como estou farejando os pacotes com o Wireshark da minha perspectiva, se eu enviar ICMP , por exemplo, devo ver meu endereço MAC como o segundo endereço e o endereço MAC do AP como o primeiro endereço.
Mas:
O endereço de origem é minha máquina. O endereço de destino é meu telefone, que é o dispositivo para o qual eu estava fornecendo os pacotes ICMP. A mesma coisa ao contrário no pacote de resposta.
Também a camada de link mostra como "Ethernet", mas estou conectado via Wi-Fi, então deve aparecer IEEE 802.11, mas vi aqui que as interfaces Wi-Fi geralmente se apresentam como interfaces Ethernet, portanto, apresentam pacotes traduzidos Ethernet, para tornar mais fácil para o sistema operacional gerenciá-los, ou algo assim ...
Você está vendo um cabeçalho Ethernet emulado fornecido pelo sistema operacional (ou pelo firmware do adaptador Wi-Fi; não tenho certeza qual).
O cabeçalho 802.11 real está deliberadamente escondido de você, e o tipo de link sempre diz "Ethernet" – não é o sistema operacional tentando simplificar o gerenciamento; é porque a especificação diz isso. De acordo com a especificação 802.11, as interfaces Wi-Fi devem apresentar uma camada de link compatível com 802.3 para as camadas superiores, para permitir que ela seja conectada diretamente a uma Ethernet real, mesmo que usem algo mais complexo sob o capô. (Acho que não é muito diferente de usar um "conversor de mídia" para outras tecnologias "Ethernet sobre XYZ", como HomePlug ou ADSL.)
Para ver o cabeçalho 802.11 real que está sendo enviado/recebido, você terá que habilitar o "modo monitor" para o Wireshark. Nele haveria três endereços MAC – remetente, receptor e AP.
(Supõe-se que a estação seja o remetente ou o receptor. No entanto, existe um modo de "4 endereços" para ponte sem fio, também conhecido como WDS , onde você tem endereços MAC de origem, destino, AP e estação, todos no mesmo quadro. )
Não, não bem assim.
Os pontos de acesso Wi-Fi são pontes e, como os switches com fio, devem ser invisíveis na camada de link. Se o remetente for uma estação, o destino não é o AP – é o endereço MAC do host de destino real, porque de que outra forma a ponte saberia para onde entregar o pacote? Ele não olha para o cabeçalho IP; é isso que os roteadores fazem.
(A menos, é claro, que o destino seja um roteador que seja o mesmo dispositivo que o AP, caso em que o endereço MAC de destino será normalmente muito semelhante ao BSSID do AP , às vezes até o mesmo, ou diferindo apenas em um único bit. pode ser o caso comum ao acessar a Internet por meio de um gateway doméstico - mas não faça suposições a partir dele.)
O cabeçalho 802.11 real também carrega o endereço MAC do AP, mas em um terceiro campo separado do remetente e do destinatário originais. Se você habilitar o "modo monitor" para capturar quadros 802.11, verá que os quadros de uma estação têm dois endereços MAC de destino.
(Embora não se confunda com o dissector do Wireshark, que mostra os mesmos campos duas vezes sob dois nomes diferentes – alguns deles correspondem aos mesmos bytes.)