Cắt ngang các gói tin không dây
Bây giờ chúng ta trích xuất một số loại gói không dây phổ biến và quan sát không dây
truyền thông được thực hiện tốt.
Hình 3 - frame Beacon
Một trong những khung hình không dây phổ biến nhất bạn sẽ thấy bất cứ khi nào bạn làm bất kỳ loại
sniffing không dây sẽ là khung beacon. Hình 3 cho thấy một ví dụ về một
khung chụp đèn hiệu.
Một khung đèn hiệu là một gói tin gửi qua một điểm truy cập không dây (thường xuyên)
trong một chế độ hoạt động cơ sở hạ tầng không dây cho phép máy khách không dây trong
vùng lân cận để phát hiện các Trạm Set Identifier (SSID) của các mạng không dây. SSID
định nghĩa tên của các mạng không dây mà tất cả các khách hàng không dây liên kết
với.
Trường địa chỉ đầu tiên trong khung đèn hiệu là địa chỉ đích. Lĩnh vực này
có giá trị là "ff: ff: ff: ff: ff: ff", giá trị này chỉ ra rằng các gói tin sẽ được gửi đến
tất cả các trạm. Trường địa chỉ thứ ba là ID BSS (hệ thống trạm cơ bản ID) lĩnh vực
trong đó có các địa chỉ MAC cho các bên không dây của các điểm truy cập.
Sử dụng cơ chế lọc trong thanh tao, chúng tôi có hiệu quả có thể chọn gói
thuộc vào mạng không dây này bằng cách đơn giản keying trong chuỗi bộ lọc sau
"Wlan.bssid == giá trị bssid" trong lĩnh vực lọc trong thanh tao (xem hình 4 dưới đây).
Hình 4 - Chọn tất cả các gói dữ liệu từ một BSSID đặc biệt
Một lĩnh vực khác cần lưu ý trong gói này là trường số thứ tự; lĩnh vực này là
tăng thêm một mỗi khi các trạm không dây phát ra một gói. Trong hình 5
dưới đây, chúng ta thấy rằng các số thứ tự cho gói khung đèn hiệu này là 982.
Do đó các gói tin tiếp theo sẽ được phát ra bởi trạm không dây này sẽ sau đó
là 983.
Hình 5 - số thứ tự khung
Theo các thông số được gắn thẻ, các SSID của mạng LAN không dây đặc biệt này có thể sau đó
được tìm thấy, "Melissa" trong ví dụ này. Xem hình 6 bên dưới.
Hình 6 - Nắm bắt giá trị SSID
Trong hình 7 dưới đây, chúng ta quan sát rằng giá trị SSID của mạng LAN không dây đặc biệt này
được che giấu. Điều này có thể được thiết lập tại các điểm truy cập khác nhau để ngăn chặn các SSID từ
được phát sóng. Điều này thường được khuyến cáo như là một thực hành tốt nhất để
ngăn chặn wardrivers giản dị từ chọn lên mạng này sử dụng lái xe chiến tranh
phần mềm.
Hình 7 - SSID được che giấu
Bây giờ hãy nhìn vào cách một khách hàng không dây điển hình sẽ kết nối với AP không dây.
Trong ví dụ dưới đây, một khách hàng không dây đang cố gắng để kết nối với một SSID được xác định trước
cấu hình và 6 gói tin được hiển thị dưới đây bao gồm một yêu cầu thăm dò do
khách hàng không dây theo sau là một phản ứng đầu dò, 2 gói authentication (Open
Xác thực là tham gia) cũng như 2 gói hiệp hội. Sau những 6
các gói tin được trao đổi, khách hàng không dây có thể bắt đầu gửi và nhận
các gói dữ liệu qua mạng không dây này.
Hình 8 - Bình thường khách hàng không dây liên kết giao thông
Các khách hàng không dây sau đó có thể gửi và nhận các gói dữ liệu qua mạng không dây
mạng như mô tả trong sơ đồ sau đây.
Hình 9 - Một gói dữ liệu không dây
Chúng ta có thể nhìn thấy từ biểu đồ trên mà khách hàng không dây đang gửi một NetBIOS
tin nhắn quảng bá dịch vụ tên trên UDP / IP. Các phần Link điểu khiển logic
của khung chứa thông tin về các giao thức cao hơn đóng gói (trong này
Ví dụ giao thức IP).
Sau khi xem xét một gói tin bình thường mà không có bất kỳ hình thức mã hóa, chúng ta hãy xem làm thế nào
một gói tin được mã hóa WEP sẽ trông như thế nào.
Hình 10 - Một WEP mã hóa gói tin
Bạn sẽ nhận thấy rằng những thông tin ngoài IEEE 802.11 tiêu đề được giải mã bởi
thanh tao như dữ liệu. Nếu bạn mở IEEE 802.11 tiêu đề, bạn sẽ nhận thấy rằng có
là một phần tham số WEP, nơi chúng tôi có thể tìm thấy các vector khởi tạo 24 bit (IV)
được sử dụng để mã hóa này gói tin cụ thể cũng như các ICV (được sử dụng để đảm bảo
toàn vẹn dữ liệu). Một phần thông tin khác mà không được mã hóa và có thể
kiểm tra bởi tất cả là địa chỉ MAC của cả hai bên giao tiếp.
https://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633
truyền thông được thực hiện tốt.
Hình 3 - frame Beacon
Một trong những khung hình không dây phổ biến nhất bạn sẽ thấy bất cứ khi nào bạn làm bất kỳ loại
sniffing không dây sẽ là khung beacon. Hình 3 cho thấy một ví dụ về một
khung chụp đèn hiệu.
Một khung đèn hiệu là một gói tin gửi qua một điểm truy cập không dây (thường xuyên)
trong một chế độ hoạt động cơ sở hạ tầng không dây cho phép máy khách không dây trong
vùng lân cận để phát hiện các Trạm Set Identifier (SSID) của các mạng không dây. SSID
định nghĩa tên của các mạng không dây mà tất cả các khách hàng không dây liên kết
với.
Trường địa chỉ đầu tiên trong khung đèn hiệu là địa chỉ đích. Lĩnh vực này
có giá trị là "ff: ff: ff: ff: ff: ff", giá trị này chỉ ra rằng các gói tin sẽ được gửi đến
tất cả các trạm. Trường địa chỉ thứ ba là ID BSS (hệ thống trạm cơ bản ID) lĩnh vực
trong đó có các địa chỉ MAC cho các bên không dây của các điểm truy cập.
Sử dụng cơ chế lọc trong thanh tao, chúng tôi có hiệu quả có thể chọn gói
thuộc vào mạng không dây này bằng cách đơn giản keying trong chuỗi bộ lọc sau
"Wlan.bssid == giá trị bssid" trong lĩnh vực lọc trong thanh tao (xem hình 4 dưới đây).
Hình 4 - Chọn tất cả các gói dữ liệu từ một BSSID đặc biệt
Một lĩnh vực khác cần lưu ý trong gói này là trường số thứ tự; lĩnh vực này là
tăng thêm một mỗi khi các trạm không dây phát ra một gói. Trong hình 5
dưới đây, chúng ta thấy rằng các số thứ tự cho gói khung đèn hiệu này là 982.
Do đó các gói tin tiếp theo sẽ được phát ra bởi trạm không dây này sẽ sau đó
là 983.
Hình 5 - số thứ tự khung
Theo các thông số được gắn thẻ, các SSID của mạng LAN không dây đặc biệt này có thể sau đó
được tìm thấy, "Melissa" trong ví dụ này. Xem hình 6 bên dưới.
Hình 6 - Nắm bắt giá trị SSID
Trong hình 7 dưới đây, chúng ta quan sát rằng giá trị SSID của mạng LAN không dây đặc biệt này
được che giấu. Điều này có thể được thiết lập tại các điểm truy cập khác nhau để ngăn chặn các SSID từ
được phát sóng. Điều này thường được khuyến cáo như là một thực hành tốt nhất để
ngăn chặn wardrivers giản dị từ chọn lên mạng này sử dụng lái xe chiến tranh
phần mềm.
Hình 7 - SSID được che giấu
Bây giờ hãy nhìn vào cách một khách hàng không dây điển hình sẽ kết nối với AP không dây.
Trong ví dụ dưới đây, một khách hàng không dây đang cố gắng để kết nối với một SSID được xác định trước
cấu hình và 6 gói tin được hiển thị dưới đây bao gồm một yêu cầu thăm dò do
khách hàng không dây theo sau là một phản ứng đầu dò, 2 gói authentication (Open
Xác thực là tham gia) cũng như 2 gói hiệp hội. Sau những 6
các gói tin được trao đổi, khách hàng không dây có thể bắt đầu gửi và nhận
các gói dữ liệu qua mạng không dây này.
Hình 8 - Bình thường khách hàng không dây liên kết giao thông
Các khách hàng không dây sau đó có thể gửi và nhận các gói dữ liệu qua mạng không dây
mạng như mô tả trong sơ đồ sau đây.
Hình 9 - Một gói dữ liệu không dây
Chúng ta có thể nhìn thấy từ biểu đồ trên mà khách hàng không dây đang gửi một NetBIOS
tin nhắn quảng bá dịch vụ tên trên UDP / IP. Các phần Link điểu khiển logic
của khung chứa thông tin về các giao thức cao hơn đóng gói (trong này
Ví dụ giao thức IP).
Sau khi xem xét một gói tin bình thường mà không có bất kỳ hình thức mã hóa, chúng ta hãy xem làm thế nào
một gói tin được mã hóa WEP sẽ trông như thế nào.
Hình 10 - Một WEP mã hóa gói tin
Bạn sẽ nhận thấy rằng những thông tin ngoài IEEE 802.11 tiêu đề được giải mã bởi
thanh tao như dữ liệu. Nếu bạn mở IEEE 802.11 tiêu đề, bạn sẽ nhận thấy rằng có
là một phần tham số WEP, nơi chúng tôi có thể tìm thấy các vector khởi tạo 24 bit (IV)
được sử dụng để mã hóa này gói tin cụ thể cũng như các ICV (được sử dụng để đảm bảo
toàn vẹn dữ liệu). Một phần thông tin khác mà không được mã hóa và có thể
kiểm tra bởi tất cả là địa chỉ MAC của cả hai bên giao tiếp.
https://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633
Comments
Post a Comment