| blob | 084ad24f7908b1df662d28d04d4cb604dfba883e |
1 AMC: Wireless Analyzer Captured Data (AirMagnet)
2 ------------------------------------------------
3 This is just a braindump from looking at some Airmagnet capture files,
4 in one case having a look at a decoded display in Airmagnet itself.
5 Lots of things are still unknown.
6 This is NOT the intention to write a file importer in the foreseeable
7 future.
9 Exact timestamp decoding still unknown:
10 From a different decoded example file:
11 06 51 49 1b Timestamp (105990427) = 03:30:27.497544
12 06 51 4a cd Timestamp (105990861) = 03:30:27.497978 (+434)
13 06 51 4b ce Timestamp (105991118) = 03:30:27.498235 (+257)
15 Timestamps this file:
16 Frame1: 15a5 2fb4 363147188 -
17 Frame2: 15a5 3a8e 363149966 + 1778
18 Frame3: 15a5 3c50 363150416 + 550
19 Frame4: 15a5 487d 363153533
20 Frame5: 15a5 49d9 363153881
21 Frame6: 15a5 4bcf 363154383
22 Frame7: 15a5 53da 363156442
23 Frame8: 15a5 59e4 363157988
24 Frame9: 15cc 9da8 365731240
25 FrameA: 15db dd60 366730592
26 FrameB: 15dc 04f6 366740726
27 FrameC: 15df 5d29 366959913
29 Unknown stuff:
30 Header: 0000 0000 0002 | 3b93 d886
31 Frame1: da9d | 0000 0000 0002
32 Frame2: bf9c | 0000 0000 0002
33 Frame3: d59c | 0000 0000 0002
34 Frame4: c09c | 0000 0000 0002
35 Frame5: c09c | 0000 0000 0002
36 Frame6: d69c | 0000 0000 0002
37 Frame7: d79c | 0000 0000 0002
38 Frame8: c09c | 0000 0000 0002
39 Frame9: d79c | 0000 0000 0002
40 FrameA: d89c | 0000 0000 0002
41 FrameB: d69d | 0000 0000 0002
42 FrameC: d79c | 0000 0000 0002
44 Headerstructure:
45 6 Bytes: 'N2GINC'
46 44 Bytes: unknown (0x0)
47 6 Bytes: 'N2GINC'
48 2 Bytes: unknown (0x0)
49 2 Bytes: #Frames (BE)
50 2 Bytes: unknown (0x0)
51 2 Bytes: unknown (0x0002)
52 4 Bytes: Timestamp
53 4 Bytes: unknown (Timestamp date part ?)
54 28 Bytes: unknown (0x0)
55 ==================
56 Total: 100 Bytes
58 Recordstructure:
59 2 Bytes: unknown
60 2 Bytes: Bytes "on wire" (BE)
61 2 Bytes: LL Bytes in capturefile (BE)
62 4 Bytes: unknown (0x0) (02 00 00 00 = Frame displayed in RED)
63 2 Bytes: unknown (0x0002)
64 4 Bytes: Timestamp
65 1 Byte: DataRate ((AND 7f) / 2 in Mbit/s)
66 1 Byte: Channel (1-13: Chan 1-13, 15: Chan 36, 16: Chan 40, ..., 19: Chan 52, ...)
67 1 Byte: SignalStrength (%)
68 1 Byte: NoiseLevel (%)
69 LL Bytes: Capturedata
70 6 Bytes: unknown
71 4 Bytes: 0x33333333
72 (1 Byte: 0x33) in case LL is an odd number
74 Filelength: 0x57e Bytes
75 12 Frames
76 ============== Header ===================
77 0000000: 4e32 4749 4e43 0000 0000 0000 0000 0000
78 0000010: 0000 0000 0000 0000 0000 0000 0000 0000
79 0000020: 0000 0000 0000 0000 0000 0000 0000 0000
80 0000030: 0000 4e32 4749 4e43 0000 000c 0000 0002
81 0000040: 1545 5198 3b93 d886 0000 0000 0000 0000
82 0000050: 0000 0000 0000 0000 0000 0000 0000 0000
83 0000060: 0000 0000
84 ============== Frame 1 ==================
85 Length: 0x36
86 -------- ???
87 0000064: da9d
88 0000066: 0026 0026
89 000006a: 0000 0000 0002
90 0000070: 15a5 2fb4 Timestamp
91 0000074: 02 DataRate
92 0000075: 06 Channel
93 0000076: 64 SignalStrength (%)
94 0000077: 01 NoiseLevel (%)
95 -------- ieee 802.11
96 0000078: b000 Type/Subtype/Frame Control
97 000007a: 3a01 Duration
98 000007c: 0040 9647 71a3 Destaddr
99 0000082: 0040 9631 d395 Sourceaddr
100 0000088: 0040 9647 71a3 BSS Id
101 000008e: b000 Fragment nr/Seq nr
102 -------- ???
103 0000090: 0000 0100 0000 3333 3333
104 ============== Frame 2===================
105 Length: 0x36
106 -------- ???
107 000009a: bf9c 0026 0026
108 00000a0: 0000 0000 0002 15a5 3a8e 1606 3c00
109 -------- ieee 802.11
110 00000ae: b000 Type/Subtype/Frame Control
111 00000b0: 7500
112 00000b2: 0040 9631 d395
113 00000b8: 0040 9647 71a3
114 00000be: 0040 9647 71a3
115 00000c4: 806d
116 -------- ???
117 00000c6: 0000 0200 0000 3333 3333
118 ============== Frame 3 ==================
119 Length: 0x62
120 -------- ???
121 00000d0: d59c 0051 0051
122 00000d6: 0000 0000 0002 15a5 3c50 0206 6400
123 -------- ieee 802.11
124 00000e4: 0000
125 00000e6: 3a01
126 00000e8: 0040 9647 71a3
127 00000ee: 0040 9631 d395
128 00000f4: 0040 9647 71a3
129 00000fa: c000
130 -------- ???
131 00000fc: 2100 c800
132 0000100: 0005 616c 616d 6f01 0402 040b 1685 1e00
133 0000110: 016d 0d1f 00ff 0318 0049 6e73 7472 7563
134 0000120: 746f 7200 0000 00
135 -------- ???
136 0000127: 00 0000 0000 2133 3333 3333
137 ================= Frame 4 ===============
138 Length: 0x68
139 -------- ???
140 0000132: c09c 0058 0058
141 0000138: 0000 0000 0002 15a5 487d 1606 3e00
142 -------- ieee 802.11
143 000014a: 1000
144 000014c: 7500
145 000014e: 0040 9631 d395
146 0000154: 0040 9647 71a3
147 000015a: 0040 9647 71a3
148 000015c: 906d
149 -------- ???
150 000015e: 2100
151 0000160: 0000 1d00 0104 8284 8b96 851c 0000 4c0d
152 0000170: 0000 0000 0100 416c 616d 6f20 436c 6173
153 0000180: 7372 6f6f 6d20 0002 880c 80f3 0300 8137
154 -------- ???
155 0000190: 0300 0000 0000 3333 3333
156 =================== Frame 5 =============
157 -------- ???
158 000019a: c09c 005a 005a
159 00001a0: 0000 0000 0002 15a5 49d9 1606 3e00
160 -------- ieee 802.11
161 00001ae: 0802
162 00001b0: 7500 0040 9631 d395 0040 9647 71a3 0040
163 00001c0: 9647 71a3 a06d aaaa 0300 4096 0000 0032
164 00001d0: 4001 0040 9631 d395 0040 9647 71a3 0100
165 00001e0: 0000 0000 0000 0000 0000 0000 0000 0000
166 00001f0: 0000 0000 0000 0000 0000
167 -------- ???
168 00001fa: 0000 0000 0000 3333 3333
169 =================== Frame 6 =============
170 -------- ???
171 0000204: d69c 0072 0072
172 000020a: 0000 0000 0002 15a5 4bcf 0206 6400
173 -------- ieee 802.11
174 0000218: 0801 3a01 0040 9647
175 0000220: 71a3 0040 9631 d395 0040 9647 71a3 d000
176 0000230: aaaa 0300 4096 0000 004a 4081 0040 9647
177 0000240: 71a3 0040 9631 d395 016d 0004 1900 0040
178 0000250: 9647 71a3 0000 0000 0000 0000 0000 0000
179 0000260: 0000 001e 496e 7374 7275 6374 6f72 0000
180 0000270: 0000 0000 0000 0000 0000 0000
181 -------- ???
182 000027c: 0000 0000 0000 3333 3333
183 =================== Frame 7 =============
184 -------- ???
185 0000286: d79c 0039 0039
186 000028c: 0000 0000 0002 15a5 53da 0206 6400
187 -------- ieee 802.11
188 000029a: 0801 3a01 0040
189 00002a0: 9647 71a3 0040 9631 d395 0040 9647 71a3
190 00002b0: e000 aaaa 0300 4096 0000 0011 4001 0040
191 00002c0: 9647 71a3 00
192 00002c5: 40 9631 d395 0133 3333 3333
193 ====================== Frame 8 ==========
194 -------- ???
195 00002d0: c09c 0072 0072
196 00002d6: 0000 0000 0002 15a5 59e4 1606 3e00
197 -------- ieee 802.11
198 00002e4: 0802 7500 0040 9631 d395 0040
199 00002f0: 9647 71a3 0040 9647 71a3 b06d aaaa 0300
200 0000300: 4096 0000 004a 4081 0040 9631 d395 0040
201 0000310: 9647 71a3 014c 030b 1500 0000 0000 0000
202 0000320: 0000 0000 0000 0002 0000 0a00 0001 0000
203 0000330: 416c 616d 6f20 436c 6173 7372 6f6f 6d00
204 0000340: 0000 0000 0000 0000
205 0000348: 0000 0000 2200 3333 3333
206 =================== Frame 9 =============
207 -------- ???
208 0000352: d79c 0170 00a0
209 0000358: 0020 0000 0002 15cc 9da8 1606 6400
210 -------- ieee 802.11
211 0000366: 0801 7500 0040 9647 71a3
212 0000370: 0040 9631 d395 ffff ffff ffff f000 aaaa
213 0000380: 0300 0000 0800 4500 0148 42a1 0000 8011
214 0000390: f704 0000 0000 ffff ffff 0044 0043 0134
215 00003a0: d991 0101 0600 7728 b62a 0000 0000 0000
216 00003b0: 0000 0000 0000 0000 0000 0000 0000 0040
217 00003c0: 9631 d395 0000 0000 0000 0000 0000 0000
218 00003d0: 0000 0000 0000 0000 0000 0000 0000 0000
219 00003e0: 0000 0000 0000 0000 0000 0000 0000 0000
220 00003f0: 0000 0000 0000 0000
221 -------- ???
222 00003f8: 0000 0000 0000 3333 3333
223 =================== Frame A =============
224 -------- ???
225 0000402: d89c 0182 00a0
226 0000408: 0020 0000 0002 15db dd60 1606 6400
227 -------- ieee 802.11
228 0000416: 0801 7500
229 000041a: 0040 9647 71a3
230 0000420: 0040 9631 d395
231 0000426: ffff ffff ffff
232 000042c: 0001
233 -------- LLC
234 000042e: aaaa 0300 0000 0800
235 -------- IP
236 0000436: 4500 015a 42a3 0000 8011 f6f0 0000 0000 ffff ffff
237 -------- UDP
238 000044a: 0044 0043 0146 57bc
239 -------- DHCP
240 0000452: 0101 0600 7728 b62a 0000 0000 0000
241 0000460: 0000 0000 0000 0000 0000 0000 0000 0040
242 0000470: 9631 d395 0000 0000 0000 0000 0000 0000
243 0000480: 0000 0000 0000 0000 0000 0000 0000 0000
244 0000490: 0000 0000 0000 0000 0000 0000 0000 0000
245 00004a0: 0000 0000 0000 0000
246 -------- ???
247 00004a8: 0000 0000 0000 3333 3333
248 =================== Frame B =============
249 -------- ???
250 00004b2: d69d 0056 0056
251 00004b8: 0000 0000 0002 15dc 04f6 1606 6401
252 -------- ieee 802.11
253 00004c6: 0801
254 00004c8: 7500
255 00004ca: 0040 9647 71a3
256 00004d0: 0040 9631 d395
257 00004d6: ffff ffff ffff
258 0000edc: 1001
259 -------- LLC
260 00004de: aaaa 0300 0000 0806
261 -------- ARP
262 00004e6: 0001 0800 0604 0001
263 00004ee: 0040 9631 d395 0a00 0065
264 00004f8: 0000 0000 0000 0a00 0065
265 -------- ???
266 0000502: 7b00 e097 7b00 e097 7b00 e097
267 000050e: 7b00 e097 7b00 3333 3333
268 =================== Frame C =============
269 -------- ???
270 0000518: d79c 0056 0056
271 000051e: 0000 0000 0002 15df 5d29 1606 6400
272 -------- ieee 802.11
273 000052c: 0801
274 000052e: 7500
275 0000530: 0040 9647 71a3
276 0000536: 0040 9631 d395
277 000053a: ffff ffff ffff
278 0000540: 2001
279 -------- LLC
280 0000542: aaaa 0300 0000 0806
281 -------- ARP
282 000054a: 0001 Hw
283 000054c: 0800 Protocol
284 0000550: 06 Hw-Size
285 0000551: 04 Protocolsize
286 0000552: 0001 Opcode
287 0000554: 0040 9631 d395 Sender MAC
288 000055a: 0a00 0065 Sender IP
289 000055e: 0000 0000 0000 Destination MAC
290 0000564: 0a00 0065 Destination IP
291 -------- ???
292 0000568: 0000 8602 0000 ffff ffff 0cc3
293 0000574: 4b82 58a1 1d82 3333 3333
294 =========================================
295 000057e: EOF