Ci-dessous la procédure à suivre pour capturer le trafic d'un SSID directement sur votre poste via Wireshark.
Vous devez disposer des éléments suivants :
Un poste de travail sur lequel est installé l’utilitaire « Wireshark »,
Les flux UDP-5555 doivent être ouvert entre la borne Wifi et votre poste.
Procédure réalisée sur une IAP 315 en 8.10.02.
Récupérer le "bssid" de l'interface que vous souhaitez capturer via la commande suivante :
show ap bss-table
Exécuter la commande suivante pour lancer la capture :
pcap start @BSSID @IPREMOTE 5555 3 5000
@IPREMOTE = IP de votre PC
exemple : pcap start 00:4e:35:9a:28:31 10.118.19.5 5555 3 5000
Vérifier que la capture est bien en cours via la commande suivante :
show pcap status
Lancer Wireshark sur votre PC et aller dans "Capture" puis "Option" :
Vérifier que vous êtes bien sur la bonne interface d'écoute et ajouter le filtre suivant dans le champ "Capture Filter" puis cliquer sur "Start" :
udp port 5555
Des trames vont commencer à apparaitre, mais elles ne sont pas encore exploitables, aller dans "Analyze" puis "Decode As...":
Sélectionner "PEEKREMOTE", cliquer sur "Apply" puis "OK" :
La procédure est terminée, vous recevez en temps réel les trames.
Pour annuler la capture, retourner sur la borne wifi et exécuter la commande suivante :
show pcap status
Récupérer le "pcap-id" et le "intf" et lancer la commande suivante :
pcap stop @intf @pcap-id
Exemple : pcap stop 00:4e:35:9a:28:30 5
Pour plus d'informations : https://community.arubanetworks.com/blogs/archive-user1/2020/10/19/iap-using-remote-pcap-with-wireshark