liwen01 2024.09.16

前言

802.11 無線 WiFi 網有三類幀：數據幀、管理幀、控制幀。與有線網相比，無線 WiFi 網會復雜很多。大部分應用軟件開發對 WiFi 的控制幀和管理幀了解得并不多，因為它們在物理層和數據鏈路層就已經被處理了，上層應用很少能感知到。

一般是在設備出現 WiFi 連接不上，或者是工作不穩定的情況下，才會去分析 WiFi 驅動工作情況以及抓 WiFi 空口包數據來分析。

有抓過 WiFi 空口包的同學應該清楚，無線 WiFi 網的網絡包不管是從包類型還是包信息內容來看，都會比有線網的包復雜很多。

 

這篇主要介紹有線網與無線 WiFi 網在物理層的差異、WiFi 介質訪問控制原理和它的一些關鍵技術以及無線用戶的接入過程。

WiFi 空口包抓包、分析，以及各類 WiFi 幀結構的介紹放到下一篇介紹。這篇是基礎原理知識的介紹，也是后面一篇 WiFi 幀分析的基礎。

(一) 有線與無線網物理層差異

• CSMA/CD 用于有線網絡，通過檢測和處理沖突來維持網絡的穩定性。
• CSMA/CA 用于無線網絡，強調沖突的預防，以應對無線信道共享的挑戰。

(1) 有線網 CSMA/CD

在有線網絡中，設備間通過網線相互連接，它的工作原理是：

載波偵聽：設備在發送數據之前會先監聽網絡，以檢測是否有其他設備在傳輸數據。如果檢測到網絡空閑，則開始發送數據。

沖突檢測： 在數據發送過程中，設備持續監聽網絡。如果檢測到沖突 (即兩個或多個設備同時發送數據導致信號混合) ，發送數據的設備會停止傳輸，并發送一個“沖突信號”以通知網絡上的其他設備。

重傳數據： 發生沖突后，設備會等待一段隨機的時間后再次嘗試發送數據。這個隨機等待時間稱為“退避算法”，可以有效減少后續沖突的可能性。

這個就是有線網 CSMA/CD (Carrier Sense Multiple Access with Collision Detection,載波偵聽多路訪問與沖突檢測) 的工作原理。

它依賴的是網線共享介質，設備在數據發送的過程中，還可以檢測網線狀態。

(2) 無線網 CSMA/CA

與有線網不同的是，無線網它是通過電磁波進行數據交互。無線是半雙工工作模式，無線客戶端沒有同時進行接收和發送的能力，無法檢測到沖突。

所以有線網絡中的沖突檢測方式，在無線中并不適用，并且無線中還存在相鄰站點不一定能偵聽到對方的情況：

 手機位于兩個路由器中間，并且距離兩個路由器都比較遠，這個時候路由器 AP1 檢測不到路由器 AP2 的信號，兩個路由器之間都不知道對方是否有在給手機 STA2 發送數據。

所以無線網引入了 CSMA/CA ( Carrier Sense Multiple Access with Collision Avoidance，載波偵聽多路訪問/沖突避免)

(3) CSMA/CA 工作原理：

載波偵聽：設備在發送數據之前也會監聽無線信道，檢查是否有其他設備在使用。只有信道空閑，設備才會繼續執行發送操作。

沖突避免：為了盡量避免沖突，在發送數據之前，設備可能會先發送一個“準備發送”信號 (如RTS，即請求發送) ，并等待接收設備返回“允許發送”信號 (如CTS，即清除發送) 。

數據發送：收到 CTS 信號后，設備才會發送數據。

ACK確認：數據發送成功后，接收設備會發送一個確認信號 (ACK) 。如果發送設備在規定時間內沒有收到 ACK，它會認為數據丟失并重新發送。

由于無線網引入了額外的信號交換 (如 RTS/CTS) 和 ACK 等機制，增加了無線網設備連接、數據交互的復雜度。

(二) CSMA/CA 的關鍵技術

(1) ACK 確認機制 (Acknowledgment Mechanism)

在數據幀成功發送并被接收設備接收到后，接收設備會發送一個 ACK (Acknowledgment)幀 給發送設備，表示數據成功到達。

如果發送設備在指定時間內未收到 ACK，它會認為數據丟失并重新發送。

 ACK 機制 保證了數據傳輸的可靠性，避免了數據丟失后無反饋導致的傳輸失敗。

(2) RTS/CTS 機制 (Request to Send / Clear to Send)

RTS/CTS 機制 是 CSMA/CA 中用于減少沖突的關鍵技術。它通過引入“準備發送”請求 (RTS) 和“允許發送”確認 (CTS) 這兩個控制幀，在發送數據之前確保信道空閑，減少隱蔽節點問題。

RTS(Request to Send)：發送設備首先向接收設備發送一個 RTS 幀，表明自己想要發送數據。

CTS (Clear to Send)：接收設備在確認信道空閑后，會回復一個 CTS 幀，允許發送設備進行數據傳輸。

(a) RTS/CTS與隱藏節點:

隱藏節點 指在接收者的通信范圍內而在發送者通信范圍外的節點。

• PC1 要發送數據，所以它發送了 RTS 幀， 這時路由器可以收到該 RTS 幀，但是 PC2 與 PC1 距離較遠，PC2 收不到 PC1 的 RTS 幀。
• 路由器 AP 收到PC1 的 RTS 幀后，會同時向 PC1 和 PC2 發送 CTS 幀
• PC1 收到路由器發的 CTS 幀后，PC1 開始發送數據。
• PC2 收到路由器發的 CTS 幀后，PC2 保持安靜，不能發送數據

(b) RTS/CTS與暴露節點:

暴露節點 指在發送者的通信范圍之內而在接收者通信范圍之外的節點

 AP1 和 AP2 屬于同一個信道，當 PC1 向 AP1 發送數據時，PC2 也希望向 AP2 發送數據。

根據 CSMA/CA 協議，PC2 偵聽信道，它將聽到 PC1 正在發送數據，于是錯誤地認為它此時不能向 AP2 發送數據，但實際上它的發送不會影響 AP1 的數據接收，這就導致 PC2 所謂暴露節點問題的出現。

(c) 暴露節點解決方案

• PC1 要發送數據，于是發送 RTS 幀，AP1 和 PC2 都可以接收到該 RTS幀
• AP1 收到 RTS 幀后，會發送 CTS 幀
• PC1 收到 CTS 幀后可以開始傳輸數據
• PC2 如果也收到了 AP1 的 CTS 幀，PC2 不能與 AP2 發送數據，只能保持安靜
• PC2 如果只收到 PC1 的 RTS 幀，但是沒有收到 AP1 發送的 CTS幀，這個時候 PC2 可以發送數據給 AP2,并且也不會影響到 AP1 數據的接收

通過 RTS/CTS 機制，避免了同時傳輸引發的沖突。

(3) 隨機退避算法 (Random Backoff Algorithm)

當信道忙碌時，設備不會立即重新嘗試發送數據，而是會等待一個隨機的時間段后再嘗試。這種隨機等待時間由 退避算法 (Backoff Algorithm) 決定，以減少多個設備同時再次嘗試發送數據的可能性，從而避免沖突。

具體做法是，在每次檢測到信道忙碌后，設備會生成一個隨機退避時間。退避時間越長，設備等待的時間越久，從而分散重試時間點，降低沖突概率。

• 發送數據前隨機選取退避時間
• 退避時間最短的站優先發送數據幀
• 最短的時間為退避窗口
• 新的退避時間 = 上次退避時間 - 退避窗口

(4) 幀間間隔 (Interframe Space, IFS)

IFS  (Interframe Space, 幀間間隔) 用于控制設備在發送數據幀之間的等待時間，以確保無線信道的公平性和有效性。根據不同的情況，IEEE 802.11 標準定義了幾種不同類型的 IFS：

(a) 短幀間間隔 (Short Interframe Space, SIFS)

應用場景：用于高優先級的操作，如 ACK 確認幀、CTS 幀、以及從站的響應幀。

特點：SIFS 是所有 IFS 中最短的，確保重要數據能夠迅速傳輸而不受其他幀的干擾。由于它的間隔短，接收方可以快速發出確認，減少等待時間，提高數據傳輸效率。

(b) 點協調功能幀間間隔 (Point Coordination Function Interframe Space, PIFS)

應用場景：用于集中控制模式下，接入點 (AP) 在無競爭的情況下使用，如在 PCF (點協調功能) 模式下的優先級操作。

特點：PIFS 的等待時間比 DIFS 短，但比 SIFS 長。它主要用于在競爭前啟動通信，以便接入點在競爭階段之前獲得信道控制權。

(c) 分布式協調功能幀間間隔 (Distributed Coordination Function Interframe Space, DIFS)

應用場景：用于普通數據幀的傳輸，通常在競爭環境中使用。

特點：DIFS 是正常數據幀在競爭信道時使用的間隔。它的等待時間比 PIFS 長，確保優先級較低的設備在優先級較高的操作完成后再嘗試發送數據。

(d) 擴展幀間間隔 (Extended Interframe Space, EIFS)

應用場景：當一個設備接收到一個有錯誤的數據幀時，它會等待 EIFS 時間后再試圖發送數據。

特點：EIFS 是所有 IFS 中最長的，旨在避免網絡中更多的沖突或干擾發生。當設備認為信道狀況不佳時，會使用更長的等待時間以減少進一步的沖突。

(e)應用實例

• 發送者想要發送數據，先偵聽信道狀態，如果空閑，它就會發送一個 RTS 幀(請求發送幀)
• 接收者接收到該 RTS 幀之后，等待一個 SIFS (短幀間間隔)時間后，再發送一個 CTS 幀(可以發送數據了)
• 發送者收到 CTS 幀之后，間隔一個 SIFS (短幀間間隔)時間后，發送數據幀。
• 接受者接收到數據后，再間隔一個 SIFS 后應答一個 ACK 幀
• 最下面一行的 NAV 是其它設備的一個時間記時器，當設備的 NAV 計時器大于零時，設備會認為信道正在被其他設備占用，因此不會嘗試進行傳輸，被進制訪問介質。
• ACK 之后有個 DIFS (分布式協調功能幀間間隔),這是個競爭窗口，容許優先級低的設備再嘗試發送數據。

通過不同的 IFS 間隔時間，CSMA/CA 可以控制不同類型的數據幀在信道上的優先級。高優先級的數據幀 (如 ACK 和 CTS) 使用較短的間隔，確保它們能快速獲得信道使用權。

通過強制設備在每次傳輸前等待一定時間，IFS 降低了多個設備同時傳輸的可能性，減少了沖突的發生。

(5) 載波偵聽 (Carrier Sensing)

(a) 物理載波偵聽與虛擬載波偵聽

載波偵聽 在設備發送數據之前，它會先偵聽無線信道，檢查是否有其他設備在使用該信道。如果信道空閑，設備才會繼續后續的發送操作。這一過程被稱為 物理載波偵聽。

虛擬載波偵聽 是通過網絡分配器 (如無線接入點) 來管理信道的占用情況，利用控制幀 (如 RTS/CTS)來減少沖突。

(b) 網絡分配向量(Network Allocation Vector,NAV)

NAV 是無線設備在信道上聽到某些控制幀 (如 RTS/CTS 或數據幀) 時設置的一個計時器。這個計時器表示該設備預計信道會被占用的時間，設備會在 NAV 計時器歸零之前避免傳輸數據。

(c) NAV 的工作原理

NAV 設置： 當一個設備在無線信道上接收到某個幀 (如 RTS 或 CTS) 時，它會讀取該幀中的持續時間字段 (Duration Field) 。這個字段表示該幀預期的占用時間，包括發送數據幀和接收 ACK 所需的時間。接收設備會根據這個持續時間設置自己的 NAV 計時器。

信道占用判斷： 當設備的 NAV 計時器大于零時，設備會認為信道正在被其他設備占用，因此不會嘗試進行傳輸。NAV 計時器歸零后，設備會再次檢查信道是否空閑，如果空閑，則可以開始自己的傳輸。

NAV 與物理載波偵聽的結合：NAV 是一種 虛擬載波偵聽 機制，它與 物理載波偵聽 相結合。

物理載波偵聽是通過硬件直接檢測信道上的信號強度，來判斷信道是否被占用。

NAV 通過讀取幀信息來推斷信道的占用狀態。物理載波偵聽與 NAV 結合使用，有助于更準確地判斷信道狀態，減少沖突。

 PC1 給路由器發送數據幀，同一個范圍的PC2、PC3、phone 也會收到該數據幀幀。

PC1 發送的數據幀在該幀的 MAC 頭部有個 Duration 字段，表示持續時間，它包括一個短幀間間隔(SIFS)時間加上 ACK 幀的時間，假設該時間是50us。

PC2、PC3、phone 在收到 frame 數據幀后，會去讀取該幀的 Duration 字段，然后重置自己的 NAV 計數器為 Duration 字段的值 50 us。

(三)無線用戶接入過程

我們手機、筆記本電腦等設備的 WiFi 模塊一般工作在 STA 模式，路由器的 WiFi 一般工作在 AP 模式。當我們 STA 設備連接到路由器 AP 的時候，有三個過程：掃描、認證、關聯。

• 掃描階段 STA進行掃描，定期搜索周圍的無線網絡，獲取到周圍的無線網絡信息。

• 認證階段 STA 接入 WiFi 網絡前需要進行終端身份驗證，即鏈路認證。鏈路認證通常被認為是終端連接 AP 并訪問 WiFi 的起點。

• 關聯階段 完成鏈路認證后，STA 會繼續發起鏈路服務協商。

(1) 掃描階段 (Scanning)

掃描階段 (Scanning) 是 WiFi 設備連接無線網絡的第一步，設備通過掃描找到可用的無線接入點 (Access Point, AP) ，從而選擇合適的 AP 進行連接。WiFi 標準中定義了兩種主要的掃描方式：主動掃描 (Active Scanning) 和被動掃描 (Passive Scanning) 。每種方式有其特點和應用場景。

(a) 主動掃描 (Active Scanning)

在主動掃描過程中，設備會主動向周圍的無線信道發送探測請求 (Probe Request) ，并等待 AP 發送探測響應 (Probe Response) 。這個過程可以快速發現周圍的 WiFi 網絡，尤其是在設備不知道有哪些網絡可用的情況下。主動掃描的過程分為以下幾個步驟：

探測請求 (Probe Request) 設備依次切換到不同的信道 ( WiFi 網絡使用多個信道進行通信，不同的標準使用不同的信道范圍，比如 2.4GHz 頻段有 14 個信道) 。

在每個信道上，設備會發送探測請求幀 (Probe Request) 。這個探測請求可以是針對所有網絡的廣播，也可以是針對特定 SSID 的單播。

 針對某個特定 SSID 的單播，探測包中有攜帶需要探測的 SSID 信息，只有 SSID 能夠匹配上的 AP 才會返回探測響應包。

這種場景一般是設備已經配置過網絡，設備端有保存需要連接的 AP ，設備上電就直接掃描該 AP 是否存在。

 當探測請求是針對所有網絡的廣播時，探測包中 SSID 信息是為 NULL，接收到該探測包的 AP 都會返回探測響應包。

比較常見的場景是我們要手動去連接 WiFi 時，先會去掃描所有的信道的 WiFi 熱點，然后生成一個 WiFi 熱點列表。

探測請求的主要內容包括：

• SSID (可以是具體的SSID，也可以是廣播請求)
• 支持的速率
• 擴展功能信息 (如支持的安全協議)

探測響應 (Probe Response)

AP在接收到探測請求后，會返回探測響應幀 (Probe Response) 。這個響應幀包含AP的詳細信息，例如：

• SSID (網絡名稱)
• BSSID (AP的MAC地址)
• 信道號
• 支持的速率
• 安全協議信息 (如WPA/WPA2)
• 網絡容量和設備數量
• 其他可能的擴展功能 (如QoS、WMM等)

主動掃描的優缺點：

優點：能夠快速發現隱藏的 WiFi 網絡 (隱藏SSID的網絡) ，因為設備可以通過探測請求主動詢問某個特定SSID的存在。

缺點：主動發送請求幀會增加設備的能耗，且在某些環境中可能暴露設備的存在和意圖，減少隱私性。

(b) 被動掃描 (Passive Scanning)

在被動掃描過程中，設備不會主動發送探測請求，而是通過監聽特定信道上的信標幀 (Beacon Frame)，從中獲取 AP 的信息。信標幀是 AP 定期廣播的一種特殊的管理幀，所有設備只需監聽信道即可獲知周圍可用的網絡。

信標幀 (Beacon Frame)

AP 會定期 (通常是100ms)在指定信道上廣播信標幀。信標幀包含了AP的關鍵信息，包括：

• SSID
• BSSID (AP的MAC地址)
• 支持的傳輸速率
• 信道號
• 安全信息 (如WPA/WPA2)
• 網絡時間戳 (用于同步設備的時鐘)
• 其他可能的功能 (如WMM、HT Capabilities、VHT Capabilities等)

監聽信道

• 設備依次切換到不同的信道，并在每個信道上監聽信標幀。每個信道可能包含多個 AP 的信標幀。
• 通過這些信標幀，設備可以了解哪些 AP 在附近可用，并獲取相關的配置信息。

被動掃描的優缺點：

優點：更節能，因為設備只需被動監聽信標幀，而不需要主動發送請求。它也不會暴露設備的身份和意圖，增強了隱私性。

缺點：相比主動掃描，發現 AP 的速度較慢，因為設備必須等待 AP 廣播信標幀。尤其在密集的網絡環境中，等待多個 AP 廣播信標幀可能會耗費更多時間。

(2) 認證階段 (Authentication)

認證是設備和 AP 之間相互確認身份的過程。在傳統的 WiFi 認證中，有兩種方式：

開放系統認證 (Open System Authentication)：這是最簡單的方式，不需要設備和AP之間進行任何密鑰交換，所有請求都會通過。

共享密鑰認證 (Shared Key Authentication)：設備和 AP 會通過 WEP (Wired Equivalent Privacy) 密鑰進行加密認證。這種方式現已很少使用，因為 WEP 的安全性較差，已被更強的 WPA/WPA2/WPA 3等認證方式取代。

 現代 WiFi 網絡一般使用 WPA/WPA2/WPA3 等協議進行身份驗證，結合了 PSK (Pre-Shared Key) 或企業級的 RADIUS 認證服務器來提升安全性。

WiFi 認證就簡單介紹這些，后面會專門再針對 WiFi 認證做詳細介紹。

(3) 關聯階段

在完成掃描和認證階段之后，設備必須通過關聯階段，才能與無線接入點 (Access Point, AP) 建立正式的連接，并開始進行數據通信。在這個階段，設備與 AP 之間會進行詳細的參數交換，確保雙方能夠兼容并高效地進行后續通信。

 關聯階段包括 關聯請求 (Association Request) 和 關聯響應 (Association Response) 兩部分：

(a) 關聯請求 (Association Request)

在認證通過后， WiFi 設備會發送一個關聯請求幀 (Association Request)，請求與 AP 建立正式的連接。這個關聯請求幀攜帶了設備的詳細信息，以便 AP 了解設備的能力，并確定雙方能否以最佳方式進行通信。

關聯請求幀的主要字段包括：

• SSID：所請求連接的網絡名稱。
• 支持的速率集 (Supported Rates Set)：設備所支持的傳輸速率，AP可以根據這些速率來選擇合適的通信速率。
• 擴展速率集 (Extended Supported Rates)：用于支持更高的傳輸速率 (例如802.11n/ac/ax)。
• 信道信息：設備希望使用的信道以及相關的頻段信息。
• 安全信息：包括設備支持的加密和認證協議 (如WPA2/WPA3等)。
• 能力信息 (Capability Information)：設備的其他功能，如是否支持QoS (Quality of Service)、電源管理等。
• HT/VHT Capabilities：如果設備支持802.11n (HT, High Throughput) 或802.11ac/ax (VHT, Very High Throughput)，它會在關聯請求中包含這些信息，以允許AP使用更高效的技術來優化傳輸性能 (如 MIMO、多信道聚合等)。

(b) 關聯響應 (Association Response)

AP 接收到設備的關聯請求幀后，會檢查設備的請求信息，評估其是否能夠接受設備的連接。通常，AP 會基于設備的能力和當前網絡的負載情況作出決定。然后，AP 會通過 關聯響應幀 (Association Response) 來通知設備是否成功關聯。

關聯響應幀包括以下重要信息：

• 狀態碼 (Status Code)：指示關聯是否成功。如果狀態碼為0，表示關聯成功；否則，設備需要重新嘗試。
• 關聯標識符 (Association ID, AID) 每個成功關聯的設備會被 AP 分配一個唯一的 AID，用于區分不同的設備。在后續通信中，AP 使用 AID 來管理每個設備。
• 支持的速率信息：AP 會在響應中確認雙方支持的最高傳輸速率，這些速率會成為后續通信中的基準。
• 可能的信道信息：如果 AP 支持多信道傳輸或設備的請求中包含特定信道要求，AP 會在響應中確認所選擇的信道。

(c) 關聯成功后的狀態

一旦設備收到關聯成功的響應幀，它就會正式成為 AP 的一部分，并可以開始通過AP 訪問網絡資源。關聯成功后的狀態有以下幾個關鍵點：

• 設備獲得AID：設備的 AID 可以用于 AP 管理關聯設備的無線資源，例如通過AID 來識別哪些設備可以發送或接收數據。
• 資源分配：AP 可能根據網絡條件和設備的能力，分配特定的無線資源 (如信道帶寬、時隙等)。
• 準備數據傳輸：關聯完成后，設備與 AP 之間的通信變為數據幀傳輸，設備可以通過 AP 接入互聯網或本地網絡資源。

(d) 關聯失敗的情況

關聯過程并非總是成功的，可能的失敗原因包括：

• AP 超載：如果 AP 已經連接了過多的設備，它可能會拒絕新的關聯請求，通常會返回一個“超載”狀態碼。
• 信道不匹配：設備請求使用的信道可能不在 AP 當前支持的信道范圍內。
• 安全協議不兼容：如果設備和 AP 使用不同的安全協議 (例如設備只支持 WPA， 而 AP 要求 WPA2 或 WPA3)，關聯將會失敗。
• 信號質量差：如果設備距離 AP 太遠，信號質量過差，AP 可能無法維持穩定的連接，從而拒絕關聯請求。

結尾

上面主要介紹了有線網與 WiFi 無線網在物理層的差異、WiFi 介質訪問控制原理及其關鍵技術、無線用戶的接入過程。

下一篇將介紹 WiFi 空口包抓包、以及各類 WiFi 包的解析。

上面內容，如有錯誤，歡迎評論區提示指出，不勝感激。

 

------------------End------------------如需獲取更多內容請關注 liwen01 公眾號