无线安全 - 流量分析

无线流量分析过程可能在法医调查或故障排除过程中非常有用,当然,这是一种很好的自学方式(只是为了了解应用程序和协议如何相互通信)。为了进行流量分析,首先,需要以某种方式收集这些流量,这个过程称为流量嗅探。最常用的流量嗅探工具是 Kismet 和 Wireshark。这两个程序都提供了适用于 Windows 和 Linux 环境的版本。

为了渗透测试和入侵无线网络,值得收集的数据类型是BSSID、WEP IV、TKIP IV、CCMP IV、EAP 四次握手交换、无线信标帧、通信方的 MAC 地址等。在无线流量转储中,您可以获得更多信息。您获得的大部分信息将用于上一章介绍的所有攻击。它们可以(例如)用作离线暴力攻击的输入,以破解 WLAN 部署中使用的加密和身份验证模型。

Wireshark 在 Windows 和 Linux 中的使用非常直观 - 两种环境都提供了对两个系统看起来相同的 GUI。当程序启动时,您只需要指示将用于流量嗅探的物理接口(您可以选择任何接口,有线或无线接口),然后继续进行流量嗅探。以下屏幕截图显示了无线网卡收集的无线数据包示例。

Wireless Packets

输出的布局始终相同 - 从顶部开始,您有 −

  • 过滤字段 − Wireshark 配备了一个非常好的过滤工具,可以限制实时流量输出。当您需要从周围所有无线客户端每秒发出的数百个数据包中提取特定流量(特定 MAC 地址之间或特定 IP 地址之间)时,它非常有用。

  • 流量输出 − 在此部分,您可以看到显示的所有数据包,这些数据包在无线接口上逐一嗅探到。在此部分输出中,您只能看到流量特征的基本摘要,例如 - SRC/DST MAC 地址、协议(本例中为 Wi-Fi 802.11) 和有关数据包的简要信息。

  • 数据的解码参数 − 此部分列出了帧中存在的所有字段(所有标头 + 数据)。通过示例转储,我们可以看到,一些信息以不可读数据(可能已加密)的形式出现,而在 802.11 标头中,您可以找到 CCMP 信息(它确认流量是 AES 加密的),因此它一定是 WPA2 Wi-Fi 网络。

  • 十六进制转储 − 十六进制转储与上面的"数据解码参数"中的信息完全相同,但采用十六进制格式。原因是十六进制表示是数据包的原始形式,但 Wireshark 有数千个"流量模板",用于将特定的十六进制值映射到已知的协议字段。例如,在 802.11 标头中,从 5 到 11 的字节始终是无线帧的 MAC 地址的来源,使用相同的模式映射,Wireshark(和其他嗅探器)可以重建和解码静态(和众所周知的)协议字段。

您可以使用常见的 .pcap 格式保存所有流量转储,这些转储稍后可以用作输入,例如,python 脚本对收集的流量执行一些高级操作(例如破解加密模型)。

Python Scripts

您应该知道的另一个工具是 Kismet。一旦您启动 Kismet 工具并指定 mon0 接口,它就会列出在您的环境中检测到的所有 SSID。

在 Kismet 运行时,所有无线数据包都会被收集并存储在 .pcap 文件中。退出程序时,您会收到一条消息,提示所有无线数据包转储都已保存,之后您可以访问它们。

无线数据包转储

在上面的示例中,所有数据包转储都已存储在二进制文件中(当您使用"more"或"vi"或"nano"等打开这些文件时,它们不是可读格式)。

more vi nano

要正确打开它们,您必须再次使用 Wireshark。

使用 Wireshark