在本文中，我們探討了一些基本無線網(wǎng)絡(luò)數(shù)據(jù)包捕獲具體問題，并展示了無線安全中不同數(shù)據(jù)包分析應(yīng)用。無線網(wǎng)絡(luò)、無線安全和數(shù)據(jù)包分析是非常廣泛的話題，希望本文能夠有助于大家進(jìn)一步深入研究這個領(lǐng)域。

無線網(wǎng)絡(luò)的弊端在于你總是無法看到所面對的問題。在無線網(wǎng)絡(luò)中，建立連接并不像連接有線網(wǎng)絡(luò)那樣簡單，物理安全也沒有阻止未經(jīng)授權(quán)人員進(jìn)入設(shè)備室那樣容易，甚至在接入點總方向的小問題都可能讓你崩潰。也就是說，保護(hù)無線網(wǎng)絡(luò)安全將成為未來安全行業(yè)的挑戰(zhàn)。

捕獲無線數(shù)據(jù)包

從數(shù)據(jù)包來看，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)在很多方面都具有相似之處，無線網(wǎng)絡(luò)仍然使用TCP/IP進(jìn)行數(shù)據(jù)通信，并遵守與有線主機同樣的有關(guān)網(wǎng)絡(luò)的法律。這兩種網(wǎng)絡(luò)平臺的主要區(qū)別出現(xiàn)在OSI模型的較低層，無線網(wǎng)絡(luò)是通過在空中發(fā)送數(shù)據(jù)來通信，而不是通過數(shù)據(jù)線來發(fā)送數(shù)據(jù)。無線數(shù)據(jù)通信的媒介是共享的媒介，也正是因為這種特殊性，在物理和數(shù)據(jù)鏈接層必須進(jìn)行特殊處理以確保不會發(fā)生數(shù)據(jù)沖突并且數(shù)據(jù)能夠正確傳輸。這些服務(wù)由802.11標(biāo)準(zhǔn)的不同機制來提供。

這涉及到排除無線網(wǎng)絡(luò)故障的問題，因為必須捕獲兩層802.11信息才能支持故障排除。為了做到這一點，你必須能夠?qū)o線網(wǎng)絡(luò)接口卡(WNIC)接入到特殊模式，也就是監(jiān)視器模式。監(jiān)視器模式市一中特殊的驅(qū)動程序設(shè)置，限制了無線網(wǎng)絡(luò)接口卡發(fā)送數(shù)據(jù)的能力，讓無線網(wǎng)絡(luò)接口卡只能被動地聽取選定的頻道。

在Linux操作系統(tǒng)，我們可以很簡單地將無線網(wǎng)絡(luò)接口卡轉(zhuǎn)變?yōu)楸O(jiān)視器模式，但是大部分Windows驅(qū)動程序都不允許這個功能。因此，我們需要一塊特殊的硬件來實現(xiàn)模式轉(zhuǎn)換。這塊硬件被成為AirPcap，由CACE技術(shù)公司所制作。AirPcap設(shè)備本質(zhì)上是一個無線網(wǎng)絡(luò)接口卡，主要用于Windows操作系統(tǒng)和Wireshark數(shù)據(jù)包捕獲工具中的監(jiān)視器模式。使用這個設(shè)備，你可以從你想要收聽的無線頻道捕獲兩層802.11信息。

802.11數(shù)據(jù)包結(jié)構(gòu)

無線數(shù)據(jù)包和有線數(shù)據(jù)包的主要區(qū)別在于802.11表頭的增加，這是一個第二層表頭，包含關(guān)于數(shù)據(jù)包和傳輸媒介的額外信息。主要有三種類型的802.11數(shù)據(jù)包：數(shù)據(jù)、管理和控制。

管理 - 這些數(shù)據(jù)包用于建立第二層主機間的連接，一些重要的管理數(shù)據(jù)包子類型報告身份驗證數(shù)據(jù)包、關(guān)聯(lián)數(shù)據(jù)包和Beacon數(shù)據(jù)包。

控制 - 控制數(shù)據(jù)包允許對管理數(shù)據(jù)包和數(shù)據(jù)數(shù)據(jù)包的傳遞，并于擁塞管理有關(guān)。常見子類型包括請求到發(fā)送和清除到發(fā)送數(shù)據(jù)包。

數(shù)據(jù) - 這些數(shù)據(jù)包包含實際數(shù)據(jù)，并且是能夠從無線網(wǎng)絡(luò)轉(zhuǎn)發(fā)到有線網(wǎng)絡(luò)的唯一數(shù)據(jù)包類型。

探討每種802.11數(shù)據(jù)包子類型有點偏離本文主題，下面我們再將重點放在安全方面的無線網(wǎng)絡(luò)問題。

尋找惡意接入點

IT資產(chǎn)的物理安全是安全領(lǐng)域最常被忽視的問題。而在這個方面，最常見的疏漏之一就是將未經(jīng)授權(quán)設(shè)備增加到網(wǎng)絡(luò)上。在有線網(wǎng)絡(luò)世界，未經(jīng)授權(quán)的路由器可能會導(dǎo)致拒絕服務(wù)攻擊。雖然有線網(wǎng)絡(luò)世界未經(jīng)授權(quán)設(shè)備會造成嚴(yán)重后果，但惡意無線接入點(WAP)的影響則更大，因為惡意無線接入點可能會允許設(shè)備外的人員獲取到網(wǎng)絡(luò)的訪問權(quán)限，就像他們可以隨意走進(jìn)來，將筆記本連接到網(wǎng)絡(luò)中一樣。

幸運的是，檢測惡意無線接入點可以以相當(dāng)簡單的方式實現(xiàn)。為了實現(xiàn)這一點，你必須首先從網(wǎng)絡(luò)廣播范圍內(nèi)的幾個區(qū)域捕獲無線流量。然后，有幾個不同的過濾器可以用于確定是否存在惡意接入點以及客戶端是否與惡意接入點通信。

最簡單的方法之一就是知道已知合法接入點的MAC地址，使用這個信息，你可以輸入過濾器!wlan.bssid == 00:11:88:6b:68:30，將你實際的接入點MAC地址取代上述的樣本地址。這樣做將會向你展示所有發(fā)送到或者發(fā)送自所有接入點的無線流量，而不是指定接入點。如果你在這個區(qū)域有一個以上的接入點，你可以使用OR (||)運算符來結(jié)合這些過濾器。在這種情況下，你可以使用類似!wlan.bssid == 00:11:88:6b:68:30 || !wlan.bssid == 00:11:ff:a1:a4:22來過濾出兩個已知合法接入點。

這種方法通?？梢哉页鼋尤朦c，但如果你想更加深入地找到實際連接到惡意無線接入點的移動工作站呢？其中一個方法就是過濾重新關(guān)聯(lián)請求。這樣的話，你可以將前面的過濾器與wlac.fc.type_subtype eq 0和wlac.fc.type_subtype eq 2結(jié)合。第一個過濾器將會顯示所有關(guān)聯(lián)請求，第二個將會顯示重新關(guān)聯(lián)請求。必要情況下，你可以使用AND (&&)運算符將前面的過濾器與其中任一個過濾器結(jié)合。

最后，你可以再進(jìn)一步確定在移動客戶端和惡意無線接入點之間是否有任何實際數(shù)據(jù)傳輸。你可以通過過濾器 wlan.fc.type eq 2以及前面的排除已知合法接入點的過濾器對所有在非合法接入點通信的數(shù)據(jù)包進(jìn)行過濾。

過濾未加密流量

當(dāng)數(shù)據(jù)包通過空氣傳輸時，保護(hù)數(shù)據(jù)包不被泄漏的唯一辦法就是部署某種類型的加密技術(shù)。這通常是通過在現(xiàn)代系統(tǒng)中部署WPA或WPA2來實現(xiàn)的。當(dāng)然，經(jīng)常審查無線網(wǎng)絡(luò)和確保沒有無線客戶端以未加密模式傳遞數(shù)據(jù)也是很好的安全做法。但是數(shù)據(jù)包泄漏還是可能發(fā)生，例如當(dāng)WAP被錯誤配置，存在惡意WAP或者兩個無線客戶端可以直接以特殊模式通信時。

在無線網(wǎng)絡(luò)中尋找未加密數(shù)據(jù)需要使用另一種過濾器。在這種情況下，我們可以使用wlan.fc.protected == 0過濾器來找到所有包含未加密數(shù)據(jù)的數(shù)據(jù)包。現(xiàn)在，如果你使用這個過濾器會發(fā)現(xiàn)它會返回一些意想不到的結(jié)果。802.11控制和管理框架沒有加密，因為只為WAP和無線客戶端執(zhí)行管理功能。在這種情況下，我們必須增加wlan.fc.type eq 2來延展過濾器，這將能夠確保過濾器只顯示未加密數(shù)據(jù)數(shù)據(jù)包。最終的過濾器形式應(yīng)該是wlan.fc.protected == 0 && wlan.fc.type eq 2。

分析WEP和WPA身份驗證

最開始保護(hù)無線網(wǎng)絡(luò)傳輸數(shù)據(jù)的首選方法是WEP(有效等效保密)。WEP曾經(jīng)叱咤風(fēng)云，直到在它的加密密鑰管理中發(fā)現(xiàn)幾個漏洞。正因為此，新標(biāo)準(zhǔn)才應(yīng)運而生，包括WPA和WPA2標(biāo)準(zhǔn)，雖然WPA及其更安全版本W(wǎng)PA2也存在問題，但它們要比WEP安全得多。

能夠區(qū)別WEP和WPA是非常實用的技能，如果你能夠做到這一點，你將能夠發(fā)現(xiàn)網(wǎng)絡(luò)中應(yīng)該是WPA的WEP身份驗證。除此之外，你還將能夠分析失敗驗證嘗試。

WEP身份驗證

WEP身份驗證是通過使用挑戰(zhàn)/響應(yīng)機制來運作的。當(dāng)客戶端試圖連接到WAP時，WAP就會出現(xiàn)挑戰(zhàn)文本。該挑戰(zhàn)被獲知后，客戶端就會獲取該文本，使用客戶端提供的WEP進(jìn)行加密，然后將產(chǎn)生的字符串傳回WAP。

一旦WAP驗證了響應(yīng)文本的正確性，它就會向客戶端傳回一個信息，告知它身份驗證過程已經(jīng)完成。過濾器找到成功認(rèn)證答復(fù)是wlan_mgt.fixed.status_code == 0x0000。

如果身份驗證沒有成功的話，WAP將會發(fā)出一條信息表示“收到包含身份驗證序列的身份驗證框架，交易序列號錯誤”。

過濾器獲取失敗通知數(shù)據(jù)包：wlan_mgt.fixed.status_code == 0x000e.

WPA身份驗證

WPA身份驗證也是使用挑戰(zhàn)/響應(yīng)機制，但是運作方式完全不同。在數(shù)據(jù)包級別，WPA身份驗證使用EAPOL來執(zhí)行它的挑戰(zhàn)/響應(yīng)。你可以使用簡單的過濾器EAPOL來找到這些數(shù)據(jù)包。在成功的身份驗證中，你通?？梢钥吹剿膫€EAPOL數(shù)據(jù)包，分別代表兩個挑戰(zhàn)和響應(yīng)，包含四個完整的數(shù)據(jù)包。每個挑戰(zhàn)和響應(yīng)都可以在數(shù)據(jù)包內(nèi)使用Replay Counter值來搭配。

當(dāng)WPA驗證失敗時，你將需要更多的EAPOL數(shù)據(jù)包，挑戰(zhàn)/響應(yīng)被嘗試更多次。如果這個過程最終失敗的話，你應(yīng)該會看到取消驗證數(shù)據(jù)包。

有兩種過濾失效WPA驗證的方法，第一種就是使用EAPOL過濾器，計算WAP和無線客戶端間傳輸?shù)臄?shù)據(jù)包數(shù)量。另外一個方法就是使用wlan.fc.type_subtype == 0x0c過濾器取消驗證數(shù)據(jù)包。這將會返回很多與失敗驗證不相關(guān)的多余結(jié)果，因此為了驗證數(shù)據(jù)包與此相關(guān)，你將需要深入挖掘，并創(chuàng)建另一個圍繞WAP和無線客戶端間所有數(shù)據(jù)包的過濾器。

結(jié)論

在本文中，我們探討了一些基本無線網(wǎng)絡(luò)數(shù)據(jù)包捕獲具體問題，并展示了無線安全中不同數(shù)據(jù)包分析應(yīng)用。無線網(wǎng)絡(luò)、無線安全和數(shù)據(jù)包分析是非常廣泛的話題，希望本文能夠有助于大家進(jìn)一步深入研究這個領(lǐng)域。