问如何在IEEE802.11帧中找到封装协议？

EN

IEEE802.11数据包的数据封装在LLC报头中(参见这里)：

一个802.11帧应该包含一个LLC标头，如果并且只有当它是一个数据帧的时候。帧类型和子类型是MAC头中帧控制字段的一部分；数据是帧类型值之一(其他值是Control和Management)。子类型并不重要--所有的数据帧都应该包含一个LLC报头，而其他任何帧都不应该包含。

有两种LLC头:3字节，8字节。IEEE 802.11使用第二个(参见这里)。在这一段中，LLC头的最后两个字节相当于Ethernet协议中的Ether Type字段。例如，这个字段的0x800就意味着IPv4。

对于封装数据的802.11帧，报头类型/子类型将介于0x20和0x2F之间(尽管该帧通常是0x20 (数据)或0x28 (QoS- data ))。将有一个5字节的SNAP报头，它将包含有效负载的类型(如这个答案中提到的)。如果OID ( SNAP头的前三个字节)是0x000000，那么接下来的两个字节就是以太网类型。

以太网类型将是0x888e for EAPoL (来源)。这是您要检查的字段，以了解封装的协议(0x0800用于IP，0x0806用于ARP，等等)。

这里有一个很好的关于以太网类型的思科文档，以及如何使用它们过滤某些协议：r1/br1fethc.pdf。

这里有一个关于无线嗅探器跟踪的很好的思科文档，其中包括对802.11类型/子类型字段的描述：https://supportforums.cisco.com/document/52391/80211-frames-starter-guide-learn-wireless-sniffer-traces。