該章節看aqniu 苑房弘老師視頻筆記整理
一、無線技術的特點
所謂無線網絡,就是利用無線電波作為信息傳輸的媒介構成的無線局域網(WLAN),與有線網絡的用途十分類似,最大的不同在於傳輸媒介的不同,利用無線電技術取代網線,可以和有線網絡互為備份。
頻率是指所生成電磁波的振動速度,而振幅則是指電磁波的強度。這兩個指標都受相關法規的限制——例如,在美國,聯邦通信委員會負責規定誰可以使用電磁頻譜中哪一些頻段(也稱為頻帶),同時規定它們的用途與使用環境。
- 無需布線相對自由
- 互聯網的重要入口
- 邊界模糊
- 配置不當,安全實施比較困難
- 企業網絡私自接入AP破壞網絡邊界
二、802.11標准
802.11基於無線電波發射信息
介紹無線局域網,就得從他的協議標准開始介紹:
IEEE(institute of electrical and electronics engineers):國際電子電器工程協會。
由通信航天生物電氣電子等方面的科學家組成,目的是指定標准,指導行業技術的發展。
IEEE 分為不同的技術委員會,當然不止於計算機網絡,還有航天電子生物等科學領域標准。標准一旦制定,所有的設備生產商都要依據這個標准來生產它的設備。只有這樣你intel網卡 才能連接bradcom..才能完成數據的傳輸。
其中802委員會負責lan、man(局域網、城域網)標准的指定:
802委員會其中的一部分范圍圖例:
- 以太網 802.3
- 令牌環網 802..5
- 無線局域網 802.11
- 網橋 802.1
- 寬帶局域網 802.7
- 光纖 802.8
- 個人局域網絡(藍牙等) 802.15
802委員會第11組負責開發無線局域網標准
IEEE 802.11F Inter-Access Point Protocol
我們今天所學的802.11只涉及七層模型中的最下面兩層:
無線:
- 應用層
- 表示層
- 會話層
- 傳輸層
- 網絡層
- 數據鏈路層
- 邏輯鏈路控制子層LLC
- 媒體訪問控制子層MAC
- 物理層
需要注意的是,其實已經有30多個版本協議迭代但我們日常使用就這幾個:
日常使用:
嚴格上來說wifi只是說的802.11b的
(1)802.11
從頭看第一個802.11,發布1997年,速率1、2Mbps;紅外線傳輸介質(未實現)
所以主流的是無線射頻信號編碼(調制)(radio frequencies)----無線電波:
- Direct-Sequence Spread-Spectrum(DSSS)---直序擴頻
- Frequency Hopping Spread-Sectrum(FHSS)---跳頻擴頻
頻寬資源有限;所以出現擴頻技術,使得速率達到更高M。無線頻寬的使用是有限制的,民用只能限制在2.4~2.485 GHZ
Resquest to send \Clear to send(RTS\CTS)
(2)802.11b
在802.11上改進增加了CCK(補充代碼鍵),使無線的傳輸速率進一步提高-5.5 and 11Mbit/s
開始明確下來,我們要使用2.4GHz的帶寬(2.4~2.485GHz),然后這個頻寬呢又進一步細化分為11、13、14(最多)個信道,
然鵝每個信道要占用22MHz的帶寬,所以:
85HZ / 14 < 22
必然會有重疊,信道有交集,信號可能會干擾,(實際沒有交叉的信道只有3個)
如果兩個AP同時使用又距離比較近(20M以內),信號就會有干擾丟包。所以在設計的時候相鄰兩個AP信道盡量不要有交集
不同國家對信道划分不同:
下表給出信道表,實際是中間值:
模擬理解圖:左右偏移11
(3)802.11a
與802.11b幾乎同時發布,(但因設備價格問題一直沒有得到廣泛使用)
特色: 使用5GHz帶寬
- 2.4Ghz帶寬干擾源多(微波、藍牙、無繩電話)
- 5GHz頻率有更多的帶寬空間,可容納更多不重疊的信道
- 出現新的信號調制方法(OFDM):正交頻分復用技術 Orthogonal Frequency-Division Multiplexing
- 更高的速率54Mbps,每個信道20Mhz帶寬
- 變頻 5.15-5.35GHz室內 5.7-5.8GHz室外
(4)802.11g
是在802.11b基礎上的擴充 應用802.11a的OFDM,可以看做兼容款
特色:
- 還是2.4GHz
- 與802.11a速率相同
- 可全局降速向后兼容802.11b,並切換為CCK信號調制方法
- 每個信道20/22MHz
(5)802.11n
特色:
- 2.4或5GHZ頻率
- up to 600Mbps
- 多進多出通信技術(MIMO)Mutiple-Input Multiple-Output.....多個天線~
- 多天線,多無線電波,獨立收發信號
- 可使用40MHz信道帶寬使傳輸速率翻倍
- up to 600Mbps
- 全802.11n設備網絡中,可以使用新報文格式,使速率達到最大
- 每個信道20/40MHz帶寬
三、無線網絡的運行模式
3.0 啥是SSID?
服務集標識符 Service Set Identifier,通俗點兒:“無線名”
- AP每秒鈡約10次通過Beacon幀廣播SSID
- 客戶端連接到無線網絡后也會宣告SSI:"我已經連上了xx ssid...我已經..."
Beacon:一種類型的無線數據幀,不斷的去廣播的(用來廣播SSID),向外發的數據包...
隱藏ssid本身就是設置AP不發射beacon幀,但不影響數據傳輸的正常使用,目的就是不讓其他人知道有這個無線信號
<length:8>就是隱藏的無線名
3.1 Infrastructure
Access Point 訪問點
AP維護SSID
- 至少包含一個AP和一個STATION,形成一個Basic Service Set(BSS)--基礎服務集
- AP 連接到有線網絡,稱為Distribution System (DS) --分布式系統
- 連接到同一個DS的多個AP形成一個Extended Service Set (ESS)--擴展服務集
圖示:聯想到無線的BSSID
3.2 AD-HOC
STA維護SSID
- 也被稱為IBSS (Independent Basic Service Set)--獨立的基本服務集
- 有至少2個STAs直接通信組成;也稱為peer to peer模式
- 其中一個STA負責擔當一下AP的工作:
- 通過beacon廣播SSID
- 對其他STA進行身份驗證
WDS
例如無線中繼器
無線的分布式網絡,與有線的DS類似,只是通過無線連接的多個AP組成的網絡
- Bridging-----只有AP間彼此通信
- Repeating-----允許所有AP和STA進行通信
3.- Monitor mode
monitor不是一種真正的無線模式,但是對無線滲透至關重要。
- 允許無線網卡沒有任何篩選的抓包(802.11包頭)
- “類似有線的混雜模式”
- 有的網卡和驅動不僅可以monitor,還可以injection
注:抓包不開這個模式,你抓不到802.11無線的包頭!
# 默認是managed
四、無線設備
- 物理機運行Kali
- 虛擬機運行kali
- 外置USB無線網卡
- TL-WN722N
- RT3070、Realtek8187芯片、
- 可擴展天線
- 外置USB無線網卡
可以用 dmesg - T 命令看下設備插拔信息的變化;
# 選擇無線網卡的時候關鍵是要看它的芯片:高發送功率,低靈敏度,例如Atheros\Realtek
支持信息查看:http://aircrack-ng.org/
使用 iwconfig 可看無線設備信息;
五、無線技術概念:
- 分貝dB 測量無線信號強度 (無論在無線還是聲學領域單位)
- B: 向Alexander Graham Bell 致敬
- dB:表示2個信號之間的差異比率,用於描述設備的信號強度,是一個相對值。如:兩點的功率差可以是10dB,但這10dB具體表示多少mW是不一定的。
- dBm:功率值與1mW進行比較的dB值結果。
有dBm的話可以轉換為毫瓦,因為有相應的比值可以反向計算出來
假如你看到一個無線網卡的參數標注功率是100mW的話,就可以算出對應的多少dBm
- dBi:全向天線輻射強度 (全向天線的信號功率增益)
- 增益是指信號功率強度增加了多少dB
- 例如300mw的無線路由器添加個9dBi的天線后功率如何變化(假設2dBi的電纜和接口耗損)
- dBd:定向天線輻射強度(dBs是定向天線的增益值)
- 全向天線在所有方向收發信號,定向天線在指定反向收發
- 一般來說天線增益越大信號傳輸越遠;功率相同的情況下,比全向天線傳輸距離更遠(方向正確的情況下)
疑問:既然mW可以表示功率為啥還要引入dB這個單位?
因為接受信號時無線信號轉變為高頻電子脈沖,反之發射信號時高頻電子脈沖轉換為無線電波,該過程往往產生上萬倍的變化,使用W、mW計數非常不方便,而dBm單位通過對功率的對數的計算,使得一個較小的數值就可以直觀表達功率變化,因此無線和聲學系統都采用dB這個單位。
全向天線波形圖:甜甜圈
天線選擇的誤區
?增益越高越好?no!不要一味的增加天線...
- 高功耗
- 對周圍環境的信號干擾
增益過高的全向天線會變成定向天線
常見的定向天線有:
八木天線
平面天線
扇形天線(常用於移動網)
網狀天線
六、linux 無線協議棧及配置命令
兩個層面一個kernel 一個用戶層面
ifconfig:只能查到無線網卡相關的Ethernet ,也就是以太網相關的一些參數的配置和使用情況:發包收包、丟包等信息
iwconfig:eth0因為不是,所以顯示no無線擴展,有支持的協議、連接的ESSID、mode、訪問點
iwlist wlan1 frequency:查信道
root@kali:~# iwlist wlan0 frequency wlan0 14 channels in total; available frequencies : Channel 01 : 2.412 GHz Channel 02 : 2.417 GHz Channel 03 : 2.422 GHz Channel 04 : 2.427 GHz Channel 05 : 2.432 GHz Channel 06 : 2.437 GHz Channel 07 : 2.442 GHz Channel 08 : 2.447 GHz Channel 09 : 2.452 GHz Channel 10 : 2.457 GHz Channel 11 : 2.462 GHz Channel 12 : 2.467 GHz Channel 13 : 2.472 GHz Channel 14 : 2.484 GHz root@kali:~#
iw list :
root@kali:~# iw list Wiphy phy0 max # scan SSIDs: 4 max scan IEs length: 2257 bytes max # sched scan SSIDs: 0 max # match sets: 0 max # scan plans: 1 max scan plan interval: -1 max scan plan iterations: 0 Retry short long limit: 2 Coverage class: 0 (up to 0m) Device supports RSN-IBSS. Supported Ciphers: * WEP40 (00-0f-ac:1) * WEP104 (00-0f-ac:5) * TKIP (00-0f-ac:2) * CCMP-128 (00-0f-ac:4) * CCMP-256 (00-0f-ac:10) * GCMP-128 (00-0f-ac:8) * GCMP-256 (00-0f-ac:9) Available Antennas: TX 0 RX 0 Supported interface modes: * IBSS * managed * AP * AP/VLAN * monitor * mesh point Band 1: Capabilities: 0x17e HT20/HT40 SM Power Save disabled RX Greenfield RX HT20 SGI RX HT40 SGI RX STBC 1-stream Max AMSDU length: 3839 bytes No DSSS/CCK HT40 Maximum RX AMPDU length 32767 bytes (exponent: 0x002) Minimum RX AMPDU time spacing: 2 usec (0x04) HT TX/RX MCS rate indexes supported: 0-7, 32 Bitrates (non-HT): * 1.0 Mbps * 2.0 Mbps (short preamble supported) * 5.5 Mbps (short preamble supported) * 11.0 Mbps (short preamble supported) * 6.0 Mbps * 9.0 Mbps * 12.0 Mbps * 18.0 Mbps * 24.0 Mbps * 36.0 Mbps * 48.0 Mbps * 54.0 Mbps Frequencies: * 2412 MHz [1] (20.0 dBm) * 2417 MHz [2] (20.0 dBm) * 2422 MHz [3] (20.0 dBm) * 2427 MHz [4] (20.0 dBm) * 2432 MHz [5] (20.0 dBm) * 2437 MHz [6] (20.0 dBm) * 2442 MHz [7] (20.0 dBm) * 2447 MHz [8] (20.0 dBm) * 2452 MHz [9] (20.0 dBm) * 2457 MHz [10] (20.0 dBm) * 2462 MHz [11] (20.0 dBm) * 2467 MHz [12] (20.0 dBm) (no IR) * 2472 MHz [13] (20.0 dBm) (no IR) * 2484 MHz [14] (20.0 dBm) (no IR) Supported commands: * new_interface * set_interface * new_key * start_ap * new_station * new_mpath * set_mesh_config * set_bss * authenticate * associate * deauthenticate * disassociate * join_ibss * join_mesh * set_tx_bitrate_mask * frame * frame_wait_cancel * set_wiphy_netns * set_channel * set_wds_peer * probe_client * set_noack_map * register_beacons * start_p2p_device * set_mcast_rate * connect * disconnect * set_qos_map * Unknown command (121) Supported TX frame types: * IBSS: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * managed: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * AP: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * AP/VLAN: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * mesh point: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * P2P-client: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * P2P-GO: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 * P2P-device: 0x00 0x10 0x20 0x30 0x40 0x50 0x60 0x70 0x80 0x90 0xa0 0xb0 0xc0 0xd0 0xe0 0xf0 Supported RX frame types: * IBSS: 0x40 0xb0 0xc0 0xd0 * managed: 0x40 0xd0 * AP: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0 * AP/VLAN: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0 * mesh point: 0xb0 0xc0 0xd0 * P2P-client: 0x40 0xd0 * P2P-GO: 0x00 0x20 0x40 0xa0 0xb0 0xc0 0xd0 * P2P-device: 0x40 0xd0 software interface modes (can always be added): * AP/VLAN * monitor valid interface combinations: * #{ AP, mesh point } <= 8, total <= 8, #channels <= 1 HT Capability overrides: * MCS: ff ff ff ff ff ff ff ff ff ff * maximum A-MSDU length * supported channel width * short GI for 40 MHz * max A-MPDU length exponent * min MPDU start spacing Device supports TX status socket option. Device supports HT-IBSS. Device supports SAE with AUTHENTICATE command Device supports low priority scan. Device supports scan flush. Device supports AP scan. Device supports per-vif TX power setting Driver supports full state transitions for AP/GO clients Driver supports a userspace MPM Device supports configuring vdev MAC-addr on create.
support ciphers支持的加密 avaliable abtenas:可用的天線
support interface modes:支持的模式.......
無線網卡基本命令
iw dev wlan1 scan
root@kali:~# iw dev wlan0 scan BSS 78:2c:29:8a:a5:be(on wlan0) TSF: 4843250819525 usec (56d, 01:20:50) freq: 2412 beacon interval: 100 TUs capability: ESS Privacy ShortPreamble ShortSlotTime (0x0431) signal: -63.00 dBm last seen: 4016 ms ago Information elements from Probe Response frame: SSID: yangyangyang Supported rates: 1.0* 2.0* 5.5* 11.0* 6.0 9.0 12.0 18.0 DS Parameter set: channel 1 Country: CN Environment: Indoor/Outdoor Channels [1 - 13] @ 30 dBm ERP: <no flags> Extended supported rates: 24.0 36.0 48.0 54.0 HT capabilities: Capabilities: 0x1ac HT20 SM Power Save disabled RX HT20 SGI TX STBC RX STBC 1-stream Max AMSDU length: 3839 bytes No DSSS/CCK HT40 Maximum RX AMPDU length 65535 bytes (exponent: 0x003) Minimum RX AMPDU time spacing: 8 usec (0x06) HT TX/RX MCS rate indexes supported: 0-23 HT operation: * primary channel: 1 * secondary channel offset: no secondary * STA channel width: 20 MHz * RIFS: 1 * HT protection: no * non-GF present: 1 * OBSS non-GF present: 0 * dual beacon: 0 * dual CTS protection: 0 * STBC beacon: 0 * L-SIG TXOP Prot: 0 * PCO active: 0 * PCO phase: 0 Overlapping BSS scan params: * passive dwell: 20 TUs * active dwell: 10 TUs * channel width trigger scan interval: 300 s * scan passive total per channel: 200 TUs * scan active total per channel: 20 TUs * BSS width channel transition delay factor: 5 * OBSS Scan Activity Threshold: 0.25 % Extended capabilities: HT Information Exchange Supported, 6 WMM: * Parameter version 1 * u-APSD * BE: CW 15-1023, AIFSN 3 * BK: CW 15-1023, AIFSN 7 * VI: CW 7-15, AIFSN 2, TXOP 3008 usec * VO: CW 3-7, AIFSN 2, TXOP 1504 usec WPA: * Version: 1 * Group cipher: CCMP * Pairwise ciphers: CCMP * Authentication suites: PSK RSN: * Version: 1 * Group cipher: CCMP * Pairwise ciphers: CCMP * Authentication suites: PSK * Capabilities: 1-PTKSA-RC 1-GTKSA-RC (0x0000) root@kali:~#
#我們發現信號其實是個負值:這是因為信號的接收強度!0~-50間的信號最好、-50~ -75 信號一般、-70以上弱
通常我們不需要這么多參數信息,只想知道SSID名,可以按實際情況篩選:
root@kali# iw dev wlan1 scan |grep SSID root@kali# iw dev waln0 scan |egrep "DS|SSID" root@kali# iw dev waln0 scan |egrep "ESSID|Channel"
root@kali:~# iw dev wlan0 scan |grep SSID SSID: yangyangyang SSID: Wan\xe2\x80\x99s iPhone root@kali:~#
添加刪除偵探端口:
#首先關閉network-manage service networker-manager stop iw dev wlan0 interface add wlan0mon type monitor #設為監聽模式
iw dev wlan0mon set channel 11 #調整指定信道
iwlist wlan0mon channel #查看工作在的信道 iw dev wlan0mon interface del #刪除監聽模式 #抓包 tcpdump -s 0 -i wlan0mon -p
# 出錯時debug:看看 service network-manager stop
802.11包頭
DU(data unit)即數據單元,信息傳輸的最小數據集合。
傳遞過程逐層封裝(Encapsulation)
SDU(Service Data Unit)/ PDU(Protocol Data Unit)
MSDU-->MIC-->分幀-->添加 Iv(起始向量)-->加密-->添加MAC頭部-->MPDU
MPDU/PSDU+物理頭=PPDU-->rf發射
Beacon frames
- AP發送的廣播幀,通告無線網絡的存在(BSSID)
- 發包頻率 大概1秒發10次:
- 102.4ms(可變);時間單位1024microsecond(60秒)
- SSID網絡名
- 隱藏AP不發SSID廣播
Probe Request Frames
用於STA掃描現有AP
- 發現連接過的AP
- 發現未連接過得AP
Authentication Frames
Authentication algorithm身份認證類型
- 0:開放系統身份驗證
- 1:共享密鑰身份驗證
身份認證有多個幀交換過程組成
Authentication Seq
- 每次身份驗證過程Seq唯一
- 1-65535
Challenge text
- 只有共享密鑰方式才有此字段
Status Code:成功/失敗