# Profesionální monitorování Wi-Fi éteru: technická příručka pro síťové inženýry
Monitorování bezdrátového éteru je nedílnou součástí práce síťového inženýra. Tato praxe umožňuje diagnostikovat problémy, optimalizovat pokrytí a sbírat analytiku návštěvníků bez porušení zákonů. V článku rozebereme nastavení pasivního snifferu na bázi routeru TP-Link MR3020 s OpenWrt, nástroje pro sběr dat a metody analýzy provozu.
Praktické využití monitorování Wi-Fi
Pasivní analýza rádiového éteru řeší úkoly, které přesahují standardní diagnostiku sítě. Pro majitele komerčních prostor je to nástroj pro sběr dat o návštěvnících: router v monitorovacím režimu zaznamenává unikátní MAC-adresy zařízení v zóně pokrytí a vytváří statistiku průchodnosti bez použití kamer. Data se exportují do CSV pro tvorbu grafů špičkové zátěže a plánování personálu.
V panelácích analýza zatížení kanálů pomáhá vyhnout se interferencím. Standardní nástroje ukazují obsazené kanály, ale neodhalují intenzitu provozu. Dlouhodobé monitorování odhaluje neobvyklé rušení – například když sousední přístupový bod používá širokopásmové vysílání na pozadí slabého signálu. Pro inženýry je to klíčové při nastavování WDS mostů nebo mesh sítí.
Randomizace MAC adres v moderních OS (iOS 14+, Android 10+) metodu nečiní zbytečnou. I když identifikace konkrétních uživatelů není možná, počítání unikátních zařízení za období zůstává přesné – virtuální MAC se mění zřídka při aktivním používání sítě. Chybovost je méně než 5 % při intervalu sběru dat od 15 minut.
Nastavení zařízení a softwaru
Pro tyto úkoly je vhodný router TP-Link MR3020 s OpenWrt 22.03+. Zařízení funguje jako pasivní senzor: rádiový modul je přepnut do monitorovacího režimu, rozhraní se neúčastní přenosu dat. Klíčové komponenty:
- Jednodřívkový počítač s USB portem
- Externí úložiště (min. 4 GB) pro logy
- Napájení přes Power Bank pro mobilní použití
První krok je úprava konfigurace bezdrátového rozhraní. Editujeme /etc/config/wireless a přidáváme novou sekci:
config wifi-iface
option device 'radio0'
option mode 'monitor'
option ifname 'mon0'
option hidden '1'
Po spuštění wifi reload ověříme vytvoření rozhraní příkazem ifconfig mon0. Úspěšné nastavení potvrzuje výstup obsahující mon0: flags=40960<POINTOPOINT,MULTICAST> mtu 1500.
Nástroje pro sběr a analýzu provozu
Pro zachycení paketů používáme dva nástroje podle úkolu. Airodump-ng (balíček aircrack-ng) poskytuje real-time analytiku:
airodump-ng -w /mnt/usb/capture --output-format csv mon0
Nástroj generuje dva typy zpráv:
- CSV: strukturovaná data pro statistiku (BSSID, kanál, úroveň signálu, klienti)
- PCAP: surové rámy pro hlubokou analýzu ve Wireshark
Tcpdump je preferován pro dlouhodobé monitorování díky minimální režii:
tcpdump -i mon0 -s 0 -W 10 -G 3600 -C 100 -w /mnt/usb/capture_%Y%m%d_%H%M%S.pcap
Klíčové parametry:
-W 10: cyklický zápis (max. 10 souborů)-G 3600: rotace každých 60 minut-C 100: limit velikosti souboru 100 MB
Dekódování rámců 802.11:
- Beacon: majáky přístupových bodů (odhad počtu AP na kanálu)
- Probe Request: požadavky klientů na připojení (detekce skrytých SSID)
- Data/ACK: uživatelský provoz a potvrzení (indikátor aktivity)
- CTS/RTS: řídicí rámy (signál kolizí v éteru)
- BlockAck: agregovaná potvrzení (režim 802.11n/ac)
Analýza ukazatelů:
- Zatížení kanálu: poměr Data k ACK blízko 1:1 znamená efektivní přenos
- Skryté stanice: abnormálně vysoké CTS při nízkém Data provozu
- Rušení: náhlé skoky úrovně signálu bez změny BSSID
Automatizace a integrace
Pro nepřetržitý sběr dat nastavujeme autostart přes /etc/rc.local:
#!/bin/sh
sleep 60
MOUNT_POINT="/root"
OUTPUT_FILE="${MOUNT_POINT}/wifi_24_capture"
killall airodump-ng
airodump-ng mon0 -w "$OUTPUT_FILE" --output-format csv --write-interval 60
Důležité: zpoždění sleep 60 zaručuje inicializaci rádiového rozhraní. Pro zpracování CSV logů doporučujeme Python skript s knihovnou pandas – agreguje data po hodinách a detekuje anomálie přes Z-score.
Při práci s PCAP soubory používáme tshark pro filtrování:
tshark -r capture.pcap -Y "wlan.fc.type_subtype == 0x08" -T fields -e wlan.bssid
To extrahuje BSSID z Beacon rámců a vytváří seznam aktivních přístupových bodů.
Co je důležité
- Pasivní monitorování je legální za podmínky absence dešifrování provozu (stačí zachytit hlavičky)
- Pro analýzu průchodnosti musí být interval sběru delší než 15 minut kvůli randomizaci MAC
- V vícekanálových systémech (802.11ac/ax) je klíčové zohlednit šířku kanálu (20/40/80 MHz) při hodnocení zatížení
- Tcpdump je preferován pro zařízení s omezenými zdroji – spotřebovává o 40 % méně CPU než airodump-ng
- Při komerčním použití je povinné zveřejnit informace o sběru dat (transparenty v zóně pokrytí)
— Editorial Team
Zatím žádné komentáře.