@
目录
本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。
本文以 kali-linux-2023.2-vmware-amd64 为例。
无线网卡使用 MT7612u 芯片。
无线渗透与其他章节独立,涵盖面广。
无线技术变化快,难度大。
理论是本章最有价值的部分。
只能查看无线网卡的以太网相关配置信息。
查看所有网卡:
ifconfig -a
运行指定网卡或接口:
ifconfig <网卡接口> up
禁用指定网卡或接口:
ifconfig <网卡接口> down
查看启用的网卡:
ifconfig
查看无线网卡:
iwconfig
能查看无线扩展参数
查看无线网卡:
iw list
能详细查看无线网卡的配置与对协议和技术的支持情况。
设置网卡或接口工作信道:
iw dev <网卡接口> set channel <信道>
扫描附近 AP:
iw dev <网卡> scan
添加侦听接口:
iw dev <网卡> interface add <网卡>mon type monitor
删除侦听接口:
iw dev <网卡接口> interface del
查看频段带宽:
iwlist <网卡> frequency
查看信道:
iwlist <网卡> channel
扫描附近 AP:
iwlist <网卡> scanning
方式一:
ifconfig
方式二:
iwconfig
方式三:
iw list
方式一:
iwlist <网卡> frequency
方式二:
iw list
仅查看 SSID:
iw dev <网卡> scan | grep SSID
查看 SSID 与信道:
iw dev <网卡> scan | egrep "DS\ Parameter\ set|SSID"
查看 SSID 与信道:
iwlist <网卡> scanning | egrep "ESSID|Channel"
添加侦听接口:
iw dev <网卡> interface add <网卡>mon type monitor
运行指定网卡或接口:
ifconfig <网卡接口> up
删除侦听接口:
iw dev <网卡接口> interface del
RADIOTAP(RadioTap)头是用于无线数据包捕获的通用封装格式,是一种数据链路层协议。
RADIOTAP 头分为 Header 和 Data。Header 是 RADIOTAP 头的实际部分,Data是数据包的有效载荷部分。
Header 由以下字段组成:
RADIOTAP 头部的长度可变,具体长度取决于 Present Flags 字段中所包含的信息字段数量。
对于不能理解的头部,网卡将直接忽略。
Data 部分是无线数据包的实际有效载荷。具体的内容取决于数据包所传输的应用层协议和数据类型。
在信息传输过程中,数据单元(DU)是最小的数据集合,用于承载信息。
传递过程中,数据会逐层封装(Encapsulation)。
主要涉及的封装单位有服务数据单元(SDU)和协议数据单元(PDU)。
DU(Data Unit),数据单元
是信息传输的最小数据集合。
Encapsulation,逐层封装
数据在传递过程中会按照一定规则逐层封装,以便在不同网络层之间传输。
SDU(Service Data Unit),服务数据单元
是上层向下层传递的数据单元,经过上层协议处理后,成为下层的 PDU。
PDU(Protocol Data Unit),协议数据单元
是网络协议中传递的数据单元,在不同网络层有不同的名称。
无线数据封装过程大致如下:
MSDU(应用层数据)-> 添加 MIC(完整性校验)-> 分帧(将数据分成更小的数据帧)-> 添加 IV(初始化向量,用于加密过程)-> 加密(对数据进行加密)-> 添加 MAC 头部(数据链路层的控制信息)-> MPDU(链路层数据单元)。
继续往下,MPDU 与物理头部结合,形成 PPDU(物理层数据单元),然后进行RF(射频)发射,最终在物理信道上传输。
MPDU(Mac Protocol Data Unit)是 802.11 标准中的一个重要概念,代表着物理层(PHY)和介质访问控制层(MAC)之间的数据传输单元。
其结构如下:
可分为:
MAC 头是 802.11 标准中数据帧的组成部分,用于在数据链路层传递控制信息。
802.11 MAC 头的主要结构和字段:
Frame Control(帧控制)
占 2 个字节。包含一些控制信息。
Duration / ID(时长 / 标识符)
占用 2 个字节,用于在多个节点之间传递帧的传输时长或标识符信息。
Addressing Fields(地址字段)
包含四个地址字段,每个字段占用 6 个字节。用于指示帧的发送者和接收者。
Sequence Control(序列控制)
占用2个字节,用于指示数据帧的序列号。
Frame Control(帧控制),占 2 个字节。包含一些控制信息,如帧的类型、子类型、数据帧是否包含帧体(Payload)、帧是否加密等。
Protocol Version(2 bit)
代表 802.11 协议版本。
Type(2 bit)
3 种帧类型,规定帧的具体用途。
SubType(4 bit)
类型对应的子类型,不同类型 / 子类型的帧完成不同功能。
To DS(1 bit)/ From DS(1 bit)
标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。
More frag(1 bit)
表示是否还有后续帧。值为 1 时表示有后续分段。只有单播接收地址的帧会被分段。
Retry(1 bit)
值为 1 表示重传。接收端进程使用此值防止帧重复。
Power Mgmt(1 bit)
活动模式(0);省电模式(1)。STA 处于省电模式时,向关联的 AP 发送该值为 1 的帧(AP 从不使用此字段)。省电模式下 STA 不接收数据,发送给它的 Data 帧由 AP 暂时缓存。
More Data(1 bit)
当 AP 缓存了至少一个 MSDU 时,会向省电模式的 STA 发送该值为 1 的帧,表示有数据要传输给 STA。接收到此帧的 STA 唤醒自己并向 AP 发送 PS-Poll 帧,取回由 AP 为其缓存的数据。也被用于 AP 有更多的广播 / 多播帧需要发送的情况。
Protected Frame(1 bit)
可能是 Data 或 Management 帧类型,表示 MSDU 是否被加密;也被用于表示 PSK 身份验证。数据载荷为空时,该字段值为0。
Order(1 bit)
在非 QoS 帧的情况下,值为 1 表示数据必须严格按顺序处理,通常为0。
对于 Type 与 SubType 字段,类型 / 子类型如下所示:
管理帧(0b00)子类型:
控制帧(0b01)子类型:
数据帧(0b10)子类型:
标识帧的传输方向。这两个字段决定着 MAC 头中 4 个 Address 字段的不同定义。
DA:Destination Address(目标地址)
RA:Recipient Address(接收地址)
SA:Source Address(源地址)
TA:Transmitter Address(发送地址)
所有 Control 帧都使用该字段,其作用随 Type / SubType 变化而有所不同。
例如,帧类型为 PS Poll(type:1,subtype:10)时,该字段表示 STA 关联的 AID(association identity)。
其他情况下该字段作为一种载波侦听机制,表示接收下一帧之前需要保持的时间间隔,用于 NAV(Network Allocation Vector)计算,单位微秒。
前面已经提到了 4 种,这里补充最后一种:Basic Service Set ID(BSSID)。它是 BSS 的 2 层唯一标识,Infrastructure 模式中 BSSID 就是 AP 的 MAC 地址,当 AP 支持多 BSS 时,随机生成每个 BSSID。
Sequence Control 包含两个子字段:Sequence Number 和 Fragment Number。
Sequence Number
是每个帧的编号,数值范围是 0 ~ 4095,以 1 为步长递增。当帧被分段时,同一帧中不同分段的 Sequence Number 相同。
Fragment Number
是被分段的帧用于标识分段位置顺序的编号,数值范围是 0 ~ 15,以 1 为步长递增。
数据字段,Frame Body,未加密的最大 MSDU 长度为 2304 字节(其中包含最大 256 字节的上层头信息,和可被传递的数据 2048 字节)。不同的加密方法会增加一定的内容长度。
加密方法
增加的长度
最大长度
WEP
8 bytes
2312 bytes
TKIP(WPA1)
20 bytes
2324 bytes
CCMP(WPA2)
16 bytes
2320 bytes
注:Control 类型的帧没有 Frame Body 内容。
发送端对全部 MAC 包头和 Frame Body 内容进行 CRC 计算,计算结果即为 FCS(Frame Check Sequence)值。
接收端进行相应计算,结果一致时,则接收端向发送端返回 ACK,否则丢弃帧(只对单播帧有效,对于 FCS 错误的广播 / 多播帧,则可能被接收)。
注:wireshark 抓包时已经删除了 FCS 值。
控制帧(Control Frame)是一些通知设备开始传输、停止传输或连接失败等情况的短消息。
ACK(Acknowledgment)帧,用于确认成功接收数据帧。接收端正确接收数据之后向发送端返回 ACK 确认。
PS-POLL(Power Save Poll)帧用于实现低功耗模式下的数据传输。
RF 系统放大器(主要耗电组件)
发射前放大信号,接收并放大还原信号
省电模式关闭信号发射器,节省电源耗电(几乎完全关闭)
STA 省电模式唤醒:
AID(Association ID)是是在设备(STA)与接入点(AP)建立关联时分配的一个唯一标识符。
BSSID(Basic Service Set Identifier)用于唯一标识一个无线网络中的基本服务集(BSS)的 MAC 地址。
AP 接收 PS-Poll 帧时,分为立刻响应和延迟响应。如果是延迟响应,则会发送简单响应帧。
RTS / CTS 机制可以在一定程度上解决网络中的隐藏节点问题和冲突问题,减少数据帧碰撞,提高无线网络的吞吐量。
隐藏节点(Hidden Node)是指在一个无线网络中,某些无线设备之间无法直接感知对方的存在。
隐藏节点问题主要发生在基础服务集(BSS)中。
RTS / CTS 是 CSMA / CA 方法的一种补充手段。
有线网络访问方式:CSMA / CD
无线网络访问方式:CSMA / CA
如上图,
CTS(Clear to Send)帧和 RTS(Request to Send)帧是两种控制帧,用于进行基本的媒体访问控制,帮助解决无线网络中的隐藏节点问题和冲突问题。
RTS(Request to Send)帧是由发送方发送给接收方的请求帧,用于在发送数据前请求媒体的访问权。
CTS(Clear to Send)帧是接收方发送给发送方的确认帧,用于回应收到的 RTS 帧。接收方在收到 RTS 帧后,会发送一个 CTS 帧作为回应,表示它准备好接收数据。
管理帧(Management Frame)用于协商和控制 STA 与 AP 之间的关系。
Beacon 帧,AP 发送的广播帧,用于通告无线网络的存在(BSSID)。
Beacon 帧包含的部分信息:
IBSSI Status
0:Infrastructure
1:AD-HOC
Privicy(是否启用隐私保护功能,如加密)
ESSID
速率
信道
Probe Request Frames(探测请求帧)用于 STA 在无线网络中寻找附近的 AP。
可以发现连接过的 AP 与未连接过的 AP。
Probe Response Frames(探测响应帧)是 AP 对 Probe Request Frames 的回应。
速率和 SSID 相同的 AP 响应。
Authentication Frames(身份验证帧)是用于在 STA 和 AP 之间建立身份验证过程的管理帧。
身份认证由多个帧交换过程组成。
Authentication Algorithm(身份认证类型)
0:开放系统身份验证
1:共享密钥身份验证
Authentication Seq
每次身份验证过程的 Seq 唯一。(1 ~ 65535)
Challenge text
只有共享密钥方式才有此字段
Status Code
成功 / 失败
身份验证成功后,STA 执行关联操作,加入无线网络。
Association Request Frames(关联请求帧),STA 发送,请求关联。
Reassociation Request Frame(重新关联请求帧)用于在 STA 已经与一个 AP 关联的情况下,希望与另一个 AP 建立关联的情况。
AP 对 STA 的(重新)关联请求的响应。
Disassociation Frame(分离帧)用于终止 STA 与 AP 之间的连接。可由 STA 和 AP 发送。
Deauthentication Frame(去认证帧)用于终止 STA 与 AP 之间的认证。由 AP 发送。
部分 Reason Code 描述:
ATIM(Announcement Traffic Indication Map)帧只在 AD-HOC 网络下使用。作为 AP 的 STA 使用此帧通知接收者有缓存的数据要发送。
数据帧(Data Frames)用于在设备之间传输数据。
Data Frame(数据帧)用于传输用户数据。
Null Data Frame(空数据帧)用于 STA 声明自己将要进入省电模式。
泪流琼脸,梨花一枝春带雨。
——《倾杯》(宋)柳永
手机扫一扫
移动阅读更方便
你可能感兴趣的文章