Uma solicitação de análise pode ser respondida em um canal diferente?

Estou monitorando o tráfego 802.11 na minha rede e, especialmente, a detecção ativa do meu smartphone. Estou enviando solicitações de investigação para determinados SSIDs ocultos, mas também uma solicitação de investigação indireta, que deve revelar redes correspondentes aos recursos anunciados pelo meu dispositivo.

Estou na Europa, então podemos usar mais canais do que nos EUA, acho (certo?) E, portanto, eles se sobrepõem.

Como esperado, a varredura ocorre em diferentes canais, por sua vez, mas o que me surpreende é esse comportamento:

Uma solicitação de sonda não direcionada enviada no canal 5 é respondida por um AP no canal 6. Esse comportamento é completamente normal, isto é, definido em algum lugar nas especificações oficiais?

EDIT: Aqui está o conteúdo da solicitação e resposta do probe, baseando minha suposição no DS Parameter Set: Current Channel.

A diferença de tempo entre os dois quadros é de 4ms, e eu não observei nenhuma outra atividade nas ondas durante esse período.

EDIT: Aqui está o comando que eu corro com airodump-ng 1.0 airodump-ng -c 6 mon0

e a ferramenta de captura mostra beacons vindos dos APs no canal 2 a 9. Para mim, isso significa que o airodump aceita todos os pacotes visíveis em uma faixa de frequência, sem descartá-los de acordo com o Parâmetro do canal atual, faz sentido por razões de desempenho.

Se o roteador tiver o mesmo comportamento para responder a solicitações de análise ... talvez seja por isso. (Começando a questionar a seletividade dos filtros de frequência usados ​​em nossos amados roteadores.)

EDIT 1:

Esse comportamento 1) é repetitivo? Alguém com um dispositivo em funcionamento pode tentar observar isso? 2) especificado em algum lugar nas referências 802.11? Não foi possível encontrar o meu eu.

EDIT 2:

Obrigado a todos até agora que tentaram repetir esta configuração. Aqui está minha última tentativa de obter uma explicação para isso. Eu preciso seguir em frente: P Aqui está a ordem exata em que eu fiz as coisas.

root@mymachine:~# iwconfig :: no mon interface, wlan0 is managed, not associated, and on channel 6: 2.437GHz
root@mymachine:~# airmon-ng start wlan0 6 :: mon0 created, set on channel 6: 2.437GHz

Isso é confirmado mais tarde por outro iwconfig. (em uma nota lateral, eu posso mudar o canal de wlan0 e mon0 permanece independente.)

root@mymachine:~# airodump-ng mon0 --channel 6 -w out --output-format pcap :: start a capture on channel 6, write to a file. 

Observação: o airodump-ng não exibe nenhuma alteração no canal, o canto superior esquerdo está fixo no número 6. No entanto, os beacons observados nos canais 2 a 11 ... -> Aparentemente, não há seletividade e passam os argumentos para o airmon-ng e airodump-ng parecem inúteis.

Observado com:
CHIPSET Driver Intel 4965 iwlwifi
CHIPSET Driver Atheros AR 9271 ath9k

Captura de tela:

O que acontece é que seu dispositivo sem fio, mesmo quando sintonizado no canal 6 (2437), também tem uma pequena probabilidade de receber quadros de canais vizinhos, como os canais 5 e 7. e ainda mais (com menos probabilidade).

Isso depende muito da interface sem fio usada. O pior rádio que encontrei foi um adaptador USB baseado em AR9170, capaz de captar tráfego no canal 1 quando ativado no canal 6. Algumas outras interfaces (por exemplo, AR9280) não apresentam esse problema ou são bastante reduzidas.

PS: AR9271 não é suportado pelo driver ath9k, mas pelo driver ath9k_htc. Como este cartão parece ser o sucessor natural do AR9170, não estou surpreso que você tenha o mesmo problema.

As capturas sem fio não são iguais a uma captura com fio. Em uma captura com fio, basta escolher sua interface e começar a capturar quadros.

Com uma captura sem fio, você seleciona seu adaptador, mas também precisa escolher se deseja monitorar um canal ou procurar em vários (ou todos) canais. Existem vantagens para ambos e é preciso entender quando usar cada um.

No seu exemplo, como você está capturando em dois canais diferentes, você está usando dois dispositivos de captura diferentes ou está capturando enquanto está pesquisando canais, mas presumo que você esteja pesquisando. O que isso significa é que ele pára em um canal por um período de tempo, captura o tráfego e depois passa para o próximo.

Então, aqui está como eu vejo isso provavelmente acontecendo:

1. O dispositivo de captura inicia o monitoramento no canal 5.
2. O dispositivo cliente envia a solicitação de análise no canal 5.
3. O dispositivo cliente move-se para o canal 6 e envia a solicitação de análise.
4. O dispositivo de captura se move para o canal 6 e inicia o monitoramento.
5. O AP envia a resposta da sonda no canal 6.

No final, sua captura captura a solicitação de sonda no canal 5, mas a resposta da sonda no canal 6.

Toda ferramenta de captura sem fio que eu usei permitirá que você selecione um único canal para monitorar. Eu suspeito que, se você definir isso no canal 5, receberá as solicitações do probe sem respostas. Se você definir isso no canal 6, verá as solicitações e as respostas do probe.