检测未经授权802.11卡和接入点
第一个目标是:检测。 可以告诉我们,当有人对权力的一张牌幅度以内的本地网? 这是可以做到的,与现货供应零件和免费软件。 思科的aironet司机包括与更多最新的linux内核支持"射频监测"的模式,其中允许滥交监测802.11包-具体说来,监测原料8 02.11帧的检测,如果有任何出来的帧播放的一个无赖接入点或卡。
概述在原来的802.11规格,有三个班级的802.11帧。 其目的是探测无赖接入点和未经授权的无线以太网卡,我们主要关心的,在第1类和第2帧。 第1类帧是唯一的帧允许在国家一,未经国家,主要是管理帧用于认证,信标,探针请求。 第2类帧都可以在这两个国家1和2 ,以及用于协会和reassociation 。 从接入点,我们期望看到大量的灯塔帧(第1类) 。 由不关联特设客户扫描在主动模式,我们会看到大量的探针请求(也第1类) 。 为验证这一假说,一种方法监测所有802.11管理帧是必须的,其中思科卡和linux司机有能力在"射频监视模式"
设置把卡射频监视模式,任何血瘀(用"的模式:住宅" ,为平原射频监视模式) : # 回声"的模式为: y " > / proc/driver/aironet/eth0/config #
然后,开始测井数据包与网络分析工具软件,为他们节省一个文件,然后作分析与无形: # 网络分析工具软件-为eth0硫0钨capturefile #
未经授权特设网络的第一次测试是确认能够检测到无线局域网卡作为动力。 朗讯奥里诺科卡是配置在特设模式就win2k笔记本电脑,并打开看看,如果有任何特征帧派出由奥里诺科卡时,当时投入特设的模式。
之后,卡初始化,网络分析工具软件被截停,无形开始,并逮捕打开文件。 大量的探针要求从奥里诺科卡被发现,证实它确实是有可能发现,当有人在近距离有动力了一个无线以太网卡,在特设的模式。 解剖帧结果如下:
802.11
类型/亚型:探头要求( 4 )
帧控制: 0x0040
版本: 0
类别:管理框架( 0 )
亚型: 4
国旗: 0x0
副秘书长状况:不离开副秘书长或网络经营方面特设模式
(向副局长: 0 f … … 。 0 .. =片段:无片段
… … 0 … … =再审:框架,是不转播
… … 0 … … =压水堆mgt :科技厅将继续上涨
.. 0 。 … … =更多数据:无数据缓冲
.0 .. … … =的wep国旗: wep协议是残疾人
0 … … … … =秩序旗:没有严格有序
期限: 0
目的地地址:高速:高速:高速:高速:高速:法郎(法国法郎:高速:高速:高速:高速:法国法郎)
来源地址: 0时02分02秒d组: 10 : 51 :钙( agere_1b : 51 :钙)
血瘀身份证:高速:高速:高速:高速:高速:法郎(法国法郎:高速:高速:高速:高速:法国法郎)
片段数目: 0
序号: 118
802.11无线局域网管理框架
贴有标签的参数( 19字节)
标签号码: 0 (的ssid参数集)
标签长度: 15
标签解释: roguepeertopeer
标签号码: 1 (支持率)
标签长度: 4
标签解释:支持率: 1.0 2.0 5.5 11.0 [兆/秒]
○○○○四○ ○○ ○○ ○○法郎法郎法郎法郎法郎法郎○○ ○二二维10 51钙@.......-.问:
0010法郎法郎法郎法郎法郎法郎六○ ○七○○附72 6楼六七七五六五七零..`... roguep
○○二○六五六五七二七四6楼七○六五六五七二○一○四○二○四0b 16 eertopeer … …
事实上,这是有可能的告诉,如果有人开始一个积极扫描卡在特设模式,相当多的有用信息,可以窥出,从一个单一的框架。 最相关的,是的ssid和mac地址,因为它们可以用来追踪某一特定卡和/或个人。
未经授权的接入点下次试验,以确认的可能性探测一个无赖接入点。 1网络分析工具软件会议开始时,然后一个思科的aironet 340接入点被打开。 后接入点已完成开机,转储检查与醚,以及大量的信标帧派出由接入点被发现。 以下就是这样一个框架,再解剖,由无形:
802.11
类型/亚型:灯塔帧( 8 )
帧控制: 0x0080
版本: 0
类别:管理框架( 0 )
亚型: 8
国旗: 0x0
副秘书长状况:不离开副秘书长或网络经营方面特设模式
(向副局长: 0 ,由副局长: 0 ) ( 0x00 )
… … .0 .. =片段:无片段
… … 0 … … =再审:框架,是不转播
… … 0 … … =压水堆mgt :科技厅将继续上涨
.. 0 。 … … =更多数据:无数据缓冲
.0 .. … … =的wep国旗: wep协议是残疾人
0 … … … … =秩序旗:没有严格有序
期限: 0
目的地地址:高速:高速:高速:高速:高速:法郎(法国法郎:高速:高速:高速:高速:法国法郎)
来源地址: 00:40:96:36:88:23 ( telesyst_36 : 88:23 )
血瘀号: 00:40:96:36:88:23 ( telesyst_36 : 88:23 )
片段数目: 0
序号: 0
802.11无线局域网管理框架
固定参数( 12字节)
时间戳: 0x0000000000019274
灯塔区间: 0.102400 [秒]
能力信息: 0x0021
… … … … 1 =的ess能力:发射机是一个鸭
… … .. 0 。 = ibss现状:发射机属于一血瘀
… … 0 … … =隐私:鸭/科技厅不能支持的wep
.. 1 。 … … =简短的序言:简短的序言允许
.0 .. … … = pbcc : pbcc调制不得
0 … … … … =渠道,敏捷性:敏捷性渠道在不使用
cfp的参与能力:没有一点协调员鸭( 0x0000 )
贴有标签的参数( 31字节)
标签号码: 0 (的ssid参数集)
标签长度: 18
标签解释:
标签号码: 1 (支持率)
标签长度: 4
标签解释:支持率: 1.0 (二) 2.0 (二) 5.5 11.0 [兆/秒]
标签数量: 3 (副参数集)
标签长度: 1
标签解释:目前的渠道: 11
标签号码: 5 ( (添)交通标志图)
标签长度: 4
标签解释: dtim计数1 , dtim 2日期间,位图控制0x0 ,
(位图压制)
○○○○八○ ○○ ○○ ○○法郎法郎法郎法郎法郎法郎○○四○九六三六八八二三........@. 6 。 #
二00 40 96 36八八二三○○ ○○七四九二○一○○ ○○ ○○ ○○ 00 。 @ .6 。 # ..汤匙… …
凌晨十二64 00 21 00 00一二○○ ○○ ○○ ○○ ○○ ○○ ○○ ○○ ○○ ○○四!..........
二00 ○○ ○○ ○○ ○○ ○○ ○○ ○○ ○一○四八二八四0b一六○三○一.............
零时40 0b ○五○四○一○二○○ ○○ .......
未经授权的用户端最后测试条件是未经授权的客户。 第一种情况考虑(较有可能出现的情形) ,是指有人带来了国外卡和权力,它与错的ssid 。 如果卡正积极扫描探针请求会从这个卡的,因为它试图找到一个接入点。 第二种情况是,有人带来了一个外国卡和权力,它与正确的ssid 。 这其中,原来是一个小问题较多的检测,在这方面将只有少数802.11管理帧触发警报,然后更"正常"的交通。 这是有问题,主要是因为道路rfmon_anybss模式对思科卡工程-虽然它的名字,该卡不能接收数据包,同时从所有血瘀证的,在范围,特别是如果这些血瘀的使用不同的频率。
其后果是,它需要一些手工的干预嗅出交通从某个血瘀-见下面一节"问题和并发症" ,更详细地介绍这个问题,以及如何围绕它。 这个问题,对方却置之不理,反而重点是少数802.11管理帧说, 这样做显示了随时在嗅探器-两种情况下,原来以生产同类探头要求,所以这两种情况均被视为完全相同。 解剖探针请求派出由这一张牌:
802.11
类型/亚型:探头要求( 4 )
帧控制: 0x0040
版本: 0
类别:管理框架( 0 )
亚型: 4
国旗: 0x0
副秘书长状况:不离开副秘书长或网络经营方面特设模式
(向副局长: 0 ,由副局长: 0 ) ( 0x00 )
… … .0 .. =片段:无片段
… … 0 … … =再审:框架,是不转播
… … 0 … … =压水堆mgt :科技厅将继续上涨
.. 0 。 … … =更多数据:无数据缓冲
.0 .. … … =的wep国旗: wep协议是残疾人
0 … … … … =秩序旗:没有严格有序
期限: 0
目的地地址:高速:高速:高速:高速:高速:法郎(法国法郎:高速:高速:高速:高速:法国法郎)
来源地址: 0时02分02秒d组: 10 : 51 :钙( agere_1b : 51 :钙)
血瘀身份证:高速:高速:高速:高速:高速:法郎(法国法郎:高速:高速:高速:高速:法国法郎)
片段数目: 0
序号: 1
802.11无线局域网管理框架
贴有标签的参数( 13字节)
标签号码: 0 (的ssid参数集)
标签长度: 9
标签解释: roguehost
标签号码: 1 (支持率)
标签长度: 4
标签解释:支持率: 1.0 2.0 5.5 11.0 [兆/秒]
○○○○四○ ○○ ○○ ○○法郎法郎法郎法郎法郎法郎○○ ○二二维10 51钙@.......-.问:
0010法郎法郎法郎法郎法郎法郎一○ ○○ ○○ ○九七二6楼六七七五六五六八...... rogueh
0020年6楼七三七四○一○四○二○四0b 16外层空间条约......
问题和并发症的几个问题被揭发后,与思科卡和司机说,有必要提。 第一个问题是,思科卡,默认情况下,即使在rfmon和rfmon_anybss模式,不积极扫描车辆所有频道在任何时候。 以下是在何种条件下,它会rescan为血瘀的:
- 当卡是第一次插入。
- 当界面进场或离场混杂模式。
- 当同步的,与目前血瘀证遗失(因干涉,走出去的范围,或者其它的东西会造成的损失数灯塔帧) 。
- 当/过程/入境proc/driver/aironet/eth0/bsslist开放供写作( "梦中人/ proc/driver/aironet/eth0/bsslist "也将这样做的把戏) 。
所有这些条件,将"踢"卡到rescanning 。 建立一个切实可行的检测装置,该证应被踢出定期,也许每一分钟。 一个简单的脚本触摸bsslist档案每一分钟都将这样做的伎俩。 第二个问题是:不是所有的血瘀证的,在各种显示了可靠的,在档案/ proc/driver/aironet/eth0/bsslist 。
当卡放进rfmon模式,信息传输,是残疾人,使该卡不能扫描积极为血瘀证的,派探针的要求。 因此,该卡必须使用被动式扫描。 而不是派出探针请求时,卡听从信标。 被动扫描使用计时器-卡将收听灯塔帧直到计时器到期,然后到另一渠道。 问题与思科卡的是,这个计时器是定得太低。 缺省值是每秒,这是不足,对我们的测试网络,以通知所有血瘀证的,无论其射程或相对信号强度的接入点。 解决的办法是加这条路线向卡初始化例行setup_card ,在airo.c : cfg.beaconlistentimeout = 120 ;
翻三番,此作出血瘀检测工作可靠。 因此,我们所有的接入点出现在bsslist ,所有的时间。
第三个问题:尽管它的名字,甚至把卡在rfmon_anybss模式,没有造成多大卡,接受交通,从我们的所有接入点,而且他们都使用不同的频率,并可能花样不同。
卡本身选择了血瘀同步立足于自己的算法(可能是其评估的相对信号强度) 。 这个问题,这是我们不愿看到的 ,由交通血瘀证积分值都在范围,不只是那些恰巧有最强烈的信号。 一种方法无法发现禁用此功能对思科卡,但有一点是一个解决-l inux的驱动程序提供了一个/过程接口设定一个首选鸭。 一旦名单血瘀证积分值,在各种扫描发现( / proc/driver/aironet/eth0/bsslist )后,选择一个监测,并输入mac地址在档案/ proc/driver/aironet/eth0/aplist 。 这种情况将迫使卡同步与血瘀及转用这一渠道后,由交通部表示,血瘀可以收到并用于信号强度的评估和监测可疑的活动。
结论这些简单的测试,证实有802.11帧有特点的典型无赖接入点和擅自特设网络,而这些帧可以检测和分析用的现货供应零件和免费软件。 利用这些概念,随着数据库的可信任接入点和卡及指纹的可疑框,醚可以用来作为一项基本积木,在全被炸802.11入侵检测系统。