wireshark数据包分析实战第11章

1、 第 章无线网络数据包分析与传统有线网络相比，无线网络稍微有些不同。虽然我们仍然在处理 TCP、IP 等常见的通信协议，但是当移到 OSI 模型最底层时， 游戏便发生了一点变化。在这里，由于无线网络和物理层的本质属性，数据链 路层变得尤为重要。这给我们捕获和访问数据增加了新的限制。考虑到这些额外因素，你应该不会惊讶于这一整章都将讨论无线网络中的 数据包捕获和分析。本章我们将讨论为什么无线网络在数据包分析中比较特殊， 以及如何克服这些困难。当然，我们会通过捕获无线网络的实际例子来进行说 明。11238 Wireshark 数据包分析实战（第 2 版）11.1 物理因素在无线网络中捕获和分析传输数据，首先考虑的是物理传输介质。到目前 为止，我们都没有考虑物理层，因为我们一直在物理的线缆上通信。现在我们 通过不可见的无线电波通信，数据包就从我们身边飞过。11.1.1 一次嗅探一个信道当从无线局域网（Wireless Local Area Network，WLAN）捕获流量时， 最特殊的莫过于无线频谱是共享介质。不像有线网络的每个客户端 都有它自 己的网线连接到交换机，无线通信的介质是客户端共

2、享的空 间。单个 WLAN 只占用 802.11 频谱的一部分。这允许同一个物理空间的多个系统在频谱不同 的部分进行操作。注意无线网络的基础是美国电子和电气工程师协会（Institute of Electrical and Electronics Engineers，IEEE）开发的 802.11 标准。整章涉及的“无线网络” “WLAN”等术语均指 802.11 标准中的网络。空间上的分离是通过将频谱划分为不同信道实现的。一个信道只是 802.11 无线频谱的一部分。在美国，有11 个信道可用（有些国家允许使用更多的信道）。 这是很重要的，因为WLAN 同时只能操作一个信道，就意味着我们只能同时嗅 探一个信道，如图 11-1 所示。所以，如果你要处理信道 6 的 WLAN，就必须 将系统配置成捕获信道 6 的流量。图 11-1 嗅探无线网络很麻烦，因为同一时间只能处理一个信道注意传统的无线嗅探只能同时处理一个信道，但有一个例外：某些无线扫描应用第 11 章 无线网络数据包分析 239程序使用“跳频”技术，可以迅速改变监听信道以收集更多数据。其中最流行的工 具是 Kismet（http

3、:/ 10 个信道，从而高效地嗅探多个信道。240 Wireshark 数据包分析实战（第 2 版）11.1.2 无线信号干扰当有其他因素干扰信号时，无线通信不能保证空气中传输的数据是完整的。 无线网络有一定的抗干扰特性，但并不完全可靠。因此，当从无线网络捕获数 据包时，你必须注意周边环境，确保没有大的干扰源，比如大型反射面、大块 坚硬物体、微波炉、2.4Ghz 无绳电话、厚墙面，以及高密度表面等。这些可能 导致数据包丢失、数据包重复或数据包损坏。同时你还要考虑信道间干扰。虽然同一时刻只能嗅探一个信道，但还是 有个小小的忠告：无线频谱被分为多个不同的传输信道，但因为 频谱空间 有限，信道间有些许重叠，如图 11-2 所示。这意味着，如果信道 4 和信道 5 上都有流量，当你在其中一个信道上嗅探时，会捕获到另一个信道上的数 据包。通常，同一地域上的多个网络被设置成使用1、6 和 11 这 3 个不重 叠信道，所以你可能不会遇到这个问题，但以防万一，你还是要了解这是怎 么回事。图 11-2 由于频谱空间有限，信道之间有重叠11.1.3 检测和分析信号干扰无线信号干扰的问题不是在Wiresh

4、ark 上观察数据包就能解决的。如果你致 力于维护 WLAN，就应该定期检测信号干扰。这可以用频谱分析仪来完成，它 可以显示频谱上的数据或干扰。商业的频谱分析仪价格昂贵甚至高达数千美元，但对于日常使用则有更好 的方案。MetaGeek 开发了一个叫Wi-Spy 的产品，这是一个USB 硬件设备，用 于监测整个 802.11 频谱上的干扰。与 MetaGeek 的 Chanalyzer 软件搭配后，这 个硬件可以输出图形化频谱，有助于解决无线网络的问题。Chanalyzer 的示例 输出如图 11-3 所示。第 11 章 无线网络数据包分析 241图 11-3 这个 Chanalyzer 显示同一地点有多个 WLAN 在工作11.2 无线网卡模式在开始嗅探无线数据包之前，我们需要了解无线网卡的不同工作模式。无线网卡一共有 4 种工作模式。被管理模式(Managed mode)：当你的无线客户端直接与无线接入点 （Wireless Access Point，WAP）连接时，就使用这个模式。在这个模式中，无 线网卡的驱动程序依赖 WAP 管理整个通信过程。Ad hoc 模式：当你的网络由互相

5、直连的设备组成时，就使用这个模式。在 这个模式中，无线通信双方共同承担 WAP 的职责。主模式（Master mode）：一些高端无线网卡还支持主模式。这个模式允许 无线网卡使用特制的驱动程序和软件工作，作为其他设备的 WAP。监听模式（Monitor mode）：）：就我们的用途而言，这是最重要的模式。当 你希望无线客户端停止收发数据，专心监听空气中的数据包时，就使用监听模242 Wireshark 数据包分析实战（第 2 版）式。要使 Wireshark 捕获无线数据包，你的无线网卡和配套驱动程序必须支持监 听模式（也叫 RFMON 模式） 。大部分用户只使用无线网卡的被管理模式或ad hoc 模式。图11-4 展示了各 种模式如何工作。图 11-4 不同的无线网卡模式注意经常有人问我推荐哪款无线网卡做数据包分析。我强烈推荐自己使用 的 ALFA 1000mW USB 无线适配器。这是市场上最好的产品之一，确保 你捕获到每一个可能的数据包。大部分在线计算机硬件零售商都销售此款 产品。第 11 章 无线网络数据包分析 24311.3 在 Windows 上嗅探无线网络即使你有支持监听

6、模式的无线网卡，大部分基于 Windows 的无线网卡驱 动也不允许你切换到这个模式（WinPcap 也不支持这么做） 。你需要一些额外 的硬件来完成工作。11.3.1 配置 AirPcapAirPcap（Riverbed 旗下 CACE Technologies 公司的产品，http:/ Windows 强加给无线数据包分析的限制。 AirPcap 像 U 盘一样小巧，如图 11-5 所示，用于捕获无线流量。AirPcap 使用 第 3 章讨论的 WinPcap 驱动和一个特制的客户端配置工具。图 11-5 AirPcap 的设计非常紧凑，适合与笔记本电脑一同携带AirPcap 的配置程序很简单，只有一些配置选项。如图 11-6 所示，AirPcap 控制面板提供了以下几个选项。Interface：你可以在这里选择要捕获的设备。一些高级的分析场景会要求 你使用多个 AirPcap 设备，同时嗅探多个信道。Blink Led：选中这个按钮会使 AirPcap 设备上的 LED 指示灯闪烁。当存 在多个 AirPcap 设备时，可用来识别正在使用的适配器。Channel：在下拉菜单里，

7、你可以选择希望 AirPcap 监听的信道。Include 802.11 FCS in Frames：默认情况下，一些系统会去掉无线数据包 的最后 4 个校验和比特。这个被称为帧校验序列（Frame Check Sequence，FCS）的校验和用来确保数据包在传输过程中没被破坏。除非你有 特别的理由，否则请勾选这个复选框（包含 FCS 校验和） 。Capture Type：这里有两个选项：802.11 Only 和 802.11 + Radio。802.11 244 Wireshark 数据包分析实战（第 2 版）Only 选项包含标准的802.11 数据包头。802.11 + Radio 选项包含这个包头以及前 端的 radiotap 头部，因而包含额外信息，比如数据率、频率、信号等级和噪声 等级。选择 802.11 + Radio 以观察所有可用的数据信息。FCS Filter：即便你没有选择 Include 802.11 FCS in Frames，这个选项也可 以过滤 FCS 认为已经被损坏的数据包。使用 Valid Frames 选项可以只显示 FCS 认为成功接收的那些数

8、据包。WEP Configuration：这个区域（在 AirPcap Control Panel 的 Keys 选项卡 可见）允许你输入所嗅探网络的 WEP 密码。为了能解密 WEP 加密的数据， 你需要在这里填入正确的 WEP 密码。WEP 密码将在 11.8 节“无线网络安全” 中讨论。图 11-6 AirPcap 配置程序11.3.2 使用 AirPcap 捕获流量一旦安装并配置好AirPcap，接下来的捕获过程你已经很熟悉了。只要启动 Wireshark 并选择 Capture-Options。接着，在 Interface 下拉框中选择 AirPcap 设备 ，如图 11-7 所示。除了 Wireless Settings 按钮外，屏幕上的一切都很熟悉。单击这个按钮会 给出与AirPcap 配置程序一样的选项，如图11-8 所示。AirPcap 是完全嵌入 Wireshark 的，因此所有配置都可以在 Wireshark 中修改。一切都配置好之后，就可以单击 Start 按钮开始捕获数据包了。第 11 章 无线网络数据包分析 245图 11-7 选择 AirPcap 设备作为

9、捕获接口图 11-8 Advanced Wireless Settings 对话框允许你在 Wireshark 中配置 AirPcap11.4 在 Linux 上嗅探无线网络在 Linux 系统嗅探只需要简单地启用无线网卡的监听模式，然后启动 Wireshark 即可。不幸的是，不同型号无线网卡启用监听模式的流程各不相同， 所以在这里我不能给出明确提示。实际上，有些无线网卡并不要求你启用监听 模式。你最好 Google 一下你的网卡型号，确定是否需要启用它，以及如何启 用。246 Wireshark 数据包分析实战（第 2 版）在 Linux 系统中，通过内置的无线扩展程序启用监听模式是常用的办法之 一。你可以用iwconfig 命令打开无线扩展程序。如果你在控制台上键入 iwconfig，应该会看到这样的结果。$ iwconfig eth0 no wireless extensions lo0no wireless extensions eth1 IEEE 802.11gESSID:“Tesla Wireless Network“Mode:Managed Frequency:2.462 GHz Access Point:00:02:2D:8B:70:2EBit Rate:54 Mb/s Tx-Power-20 dBm Sensitivity=8/0Retry Limit:7 RTS thr: off Fragment thr: offPower Management: offLink Quality=75/100 Signal level=-71 dBm Noise level=-86 dBmRx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0Tx excessive retries:0 Invalid misc:0 Missed beacon:2iwconfig 命令的输出显示 eth1 接口可以进行无线配置。这是显然的，因为 它显示了与802.11g 协议有关的数据，反观et

《wireshark数据包分析实战第11章》由会员woxinch****an2018分享，可在线阅读，更多相关《wireshark数据包分析实战第11章》请在金锄头文库上搜索。