Retour à l'accueil

Surveillance de l'air Wi-Fi : Guide pour les ingénieurs | 2026

L'article décrit une méthode pour la surveillance professionnelle de l'air sans fil à l'aide du routeur TP-Link MR3020 et OpenWrt. Des scénarios d'application pratique, la configuration de l'équipement, l'analyse du trafic et l'automatisation des processus sont fournis. Les solutions sont pertinentes pour les diagnostics réseau et la collecte d'analyses.

Comment surveiller professionnellement l'air Wi-Fi : Guide technique complet
Advertisement 728x90

Surveillance professionnelle du spectre Wi-Fi : Un guide technique pour les ingénieurs réseau

La surveillance du spectre sans fil est une partie essentielle du travail d'un ingénieur réseau. Cette pratique permet de diagnostiquer les problèmes, d'optimiser la couverture et de collecter des analyses des visiteurs sans enfreindre la loi. Dans cet article, nous aborderons la configuration d'un sniffer passif basé sur le routeur TP-Link MR3020 avec OpenWrt, les outils de collecte de données et les méthodes d'analyse du trafic.

Applications pratiques de la surveillance Wi-Fi

L'analyse passive du spectre radio résout des tâches au-delà des diagnostics réseau standard. Pour les propriétaires d'espaces commerciaux, c'est un outil pour collecter des données sur les visiteurs : le routeur en mode moniteur capture les adresses MAC uniques des appareils dans la zone de couverture, formant des statistiques d'affluence sans utiliser de caméras. Les données sont exportées vers CSV pour créer des graphiques de pics de charge et planifier le personnel.

Dans les immeubles d'habitation, l'analyse de l'utilisation des canaux aide à éviter les interférences. Les utilitaires standard montrent les canaux occupés mais ne révèlent pas l'intensité du trafic. La surveillance à long terme met en évidence les interférences subtiles — par exemple, quand le point d'accès d'un voisin utilise une diffusion sur canal large au milieu de signaux faibles. Pour les ingénieurs, cela est critique lors de la configuration de ponts WDS ou de réseaux maillés.

Google AdInline article slot

La randomisation des adresses MAC dans les OS modernes (iOS 14+, Android 10+) ne rend pas la méthode inutile. Bien que l'identification d'utilisateurs spécifiques soit impossible, le comptage d'appareils uniques sur une période reste précis — les MAC virtuelles changent rarement pendant une utilisation réseau active. La marge d'erreur est inférieure à 5 % avec des intervalles de collecte de données de 15 minutes ou plus.

Configuration du matériel et des logiciels

Le routeur TP-Link MR3020 avec OpenWrt 22.03+ convient à ces tâches. L'appareil agit comme un capteur passif : le module radio est commuté en mode moniteur, et l'interface ne participe pas à la transmission de données. Composants clés :

  • Ordinateur monocarte avec port USB
  • Stockage externe (minimum 4 Go) pour les journaux
  • Alimentation via batterie externe pour une utilisation mobile

Première étape — modifier la configuration de l'interface sans fil. Éditer /etc/config/wireless, en ajoutant une nouvelle section :

Google AdInline article slot
config wifi-iface
    option device 'radio0'
    option mode 'monitor'
    option ifname 'mon0'
    option hidden '1'

Après application de wifi reload, vérifier l'interface avec ifconfig mon0. La configuration réussie est confirmée par une sortie contenant mon0: flags=40960<POINTOPOINT,MULTICAST> mtu 1500.

Outils de capture et d'analyse du trafic

Nous utilisons deux outils pour la capture de paquets selon la tâche. Airodump-ng (du paquet aircrack-ng) fournit des analyses en temps réel :

airodump-ng -w /mnt/usb/capture --output-format csv mon0

L'utilitaire génère deux types de rapports :

Google AdInline article slot
  • CSV : données structurées pour les statistiques (BSSID, canal, niveau de signal, clients)
  • PCAP : trames brutes pour une analyse approfondie dans Wireshark

Tcpdump est préféré pour la surveillance à long terme en raison de sa faible surcharge :

tcpdump -i mon0 -s 0 -W 10 -G 3600 -C 100 -w /mnt/usb/capture_%Y%m%d_%H%M%S.pcap

Paramètres clés :

  • -W 10 : enregistrement cyclique (maximum 10 fichiers)
  • -G 3600 : rotation toutes les 60 minutes
  • -C 100 : limite de taille de fichier 100 Mo

Décomposition des trames 802.11 :

  • Beacon : balises des points d'accès (estimation du nombre de PA sur le canal)
  • Probe Request : demandes de connexion des clients (détection des SSID cachés)
  • Data/ACK : trafic utilisateur et accusés de réception (indicateur d'activité)
  • CTS/RTS : trames de contrôle (signaux de collision dans l'air)
  • BlockAck : accusés de réception agrégés (mode 802.11n/ac)

Analyse des métriques :

  • Utilisation du canal : rapport Data à ACK proche de 1:1 indique une transmission efficace
  • Stations cachées : CTS anormalement élevé avec faible trafic Data
  • Interférences : pics brusques de niveau de signal sans changements de BSSID

Automatisation et intégration

Pour une collecte de données continue, configurez le démarrage automatique via /etc/rc.local :

#!/bin/sh
sleep 60
MOUNT_POINT="/root"
OUTPUT_FILE="${MOUNT_POINT}/wifi_24_capture"
killall airodump-ng
airodump-ng mon0 -w "$OUTPUT_FILE" --output-format csv --write-interval 60

Important : le délai sleep 60 assure l'initialisation de l'interface radio. Pour le traitement des journaux CSV, un script Python avec la bibliothèque pandas est recommandé — il agrège les données par heure et détecte les anomalies en utilisant les scores Z.

Lors du travail avec des fichiers PCAP, utilisez tshark pour le filtrage :

tshark -r capture.pcap -Y "wlan.fc.type_subtype == 0x08" -T fields -e wlan.bssid

Cela extrait le BSSID des trames Beacon, formant une liste des points d'accès actifs.

Points clés

  • La surveillance passive est légale tant qu'il n'y a pas de déchiffrement du trafic (seule la capture d'en-têtes est requise)
  • Pour l'analyse d'affluence, les intervalles de collecte de données doivent dépasser 15 minutes en raison de la randomisation MAC
  • Dans les systèmes multi-canaux (802.11ac/ax), la largeur de canal (20/40/80 MHz) est critique lors de l'évaluation de l'utilisation
  • Tcpdump est préféré pour les appareils à ressources limitées — utilise 40 % de CPU en moins qu'airodump-ng
  • Pour un usage commercial, des informations sur la collecte de données doivent être affichées (panneaux dans la zone de couverture)

— Editorial Team

Advertisement 728x90

Lire ensuite