- 无线安全教程
- 无线安全 - 首页
- 无线威胁
- 无线 - 访问控制攻击
- 无线安全 - 完整性攻击
- 无线 - 机密性攻击
- 无线安全 - 拒绝服务攻击 (DoS)
- 无线安全 - 第1层DoS攻击
- 无线安全 - 第2层DoS攻击
- 无线安全 - 第3层DoS攻击
- 认证攻击
- rogue access point 攻击(恶意接入点攻击)
- 客户端错误关联
- 接入点错误配置攻击
- Ad-Hoc 连接攻击
- 无线入侵方法论
- 无线流量分析(嗅探)
- 发起无线攻击
- 破解无线攻击
- 无线安全有用资源
- 无线安全 - 快速指南
- 无线安全 - 有用资源
- 无线安全 - 讨论
无线安全 - 流量分析
无线流量分析过程在取证调查或故障排除期间可能非常有用,当然这也是一种很好的自学方式(学习应用程序和协议如何相互通信)。为了进行流量分析,首先需要以某种方式收集流量,这个过程称为流量嗅探。最常用的流量嗅探工具是Kismet和Wireshark。这两个程序都提供Windows和Linux环境的版本。
为了进行无线网络的渗透测试和入侵,有价值的收集数据类型包括**BSSID、WEP IV、TKIP IV、CCMP IV、EAP四路握手交换、无线信标帧、通信双方的MAC地址等**。无线流量转储中还有更多可用的信息。您获得的大部分信息都将用于上一章中介绍的所有攻击。例如,它们可以用作脱机暴力破解攻击的输入,以破坏WLAN部署中使用的加密和身份验证模型。
Wireshark在Windows和Linux中的使用非常直观——这两个环境都提供相同的GUI。程序启动后,您只需要指定用于流量嗅探的物理接口(您可以选择任何接口,有线或无线),然后进行流量嗅探。无线网卡收集的无线数据包示例如下面的屏幕截图所示。
输出布局始终相同——从顶部开始,您有:
**过滤器字段**——Wireshark配备了一个非常好的过滤工具,允许限制实时流量输出。当您需要从周围所有无线客户端每秒产生的数百个数据包中提取特定流(特定MAC地址之间或特定IP地址之间)时,它非常有用。
**流量输出**——在本节中,您可以看到在无线接口上嗅探到的所有数据包,一个接一个地显示。在本部分输出中,您只能看到流量特征的基本摘要,例如——**源/目标MAC地址、协议(此处为Wi-Fi 802.11)**以及关于数据包的简要信息。
**解码的数据参数**——本节列出了帧中存在的所有字段(所有标头+数据)。使用示例转储,我们可以看到,某些信息集以不可读数据的形式存在(可能已加密),并且在802.11标头中您可以找到CCMP信息(它确认流量已使用AES加密),因此它一定是WPA2 Wi-Fi网络。
**十六进制转储**——十六进制转储与上面“解码的数据参数”中的信息完全相同,但格式为十六进制。原因是,十六进制表示是数据包的原始外观方式,但Wireshark拥有数千个“流量模板”,这些模板用于将特定HEX值映射到已知的协议字段。例如,在802.11标头中,第5到11个字节始终是无线帧的MAC地址源,使用相同的模式映射,Wireshark(和其他嗅探器)可以重建和解码静态(和众所周知的)协议字段。
您可以使用通用的**.pcap**格式保存所有流量转储,稍后可以将其用作例如执行对收集的流量进行某些高级操作(例如破解加密模型)的python脚本的输入。
您应该了解的另一个工具是**Kismet**。启动Kismet工具并指定**mon0**接口后,它将列出在您的环境中检测到的所有SSID。
Kismet运行期间,所有无线数据包都将被收集并存储在**.pcap**文件中。退出程序时,您会收到一条消息,提示所有无线数据包转储都已保存,您可以之后访问它们。
在上例中,所有数据包转储都存储在二进制文件中(当您使用“more”、“vi”或“nano”等打开这些文件时,它们不是可读格式)。
要正确打开它们,您必须再次使用Wireshark!
