无线安全 - 流量分析
无线流量分析过程可能对取证调查或故障排除非常有帮助,当然这是一种很好的自学方式(只是为了了解应用程序和协议如何相互通信)。为了进行流量分析,首先需要以某种方式收集该流量,这个过程称为流量嗅探。最常用的流量嗅探工具是 Kismet 和 Wireshark。这两个程序都提供适用于 Windows 和 Linux 环境的版本。
为了对无线网络进行渗透测试和黑客攻击,值得收集的数据类型包括BSSID、WEP IV、TKIP IV、CCMP IV、EAP 4 路握手交换、无线信标帧、通信方的 MAC 地址等等。无线流量转储中还有更多可用内容。您将获得的大部分信息将用于上一章中介绍的所有攻击。例如,它们可以用作离线暴力攻击的输入,以破坏 WLAN 部署中使用的加密和身份验证模型。
Wireshark 在 Windows 和 Linux 中的使用都非常直观 - 两种环境都提供了一个对于两个系统来说看起来相同的 GUI。当程序启动时,您只需要指定用于流量嗅探的物理接口(您可以选择任何接口,有线接口或无线接口),然后继续进行流量嗅探。无线卡收集的无线数据包示例如下图所示。
输出的布局始终相同 - 从顶部开始,您有 -
过滤字段- Wireshark配备了一个非常好的过滤工具,可以限制实时流量输出。当您需要从周围所有无线客户端每秒发出的数百个数据包中提取特定流(特定 MAC 地址之间或特定 IP 地址之间)时,它非常有用。
流量输出- 在此部分中,您可以一一查看无线接口上嗅探到的所有显示的数据包。在输出的这一部分中,您只能看到流量特征的基本摘要,例如 – SRC/DST MAC 地址、协议(本例中为 Wi-Fi 802.11)以及有关数据包的简要信息。
数据的解码参数- 本部分列出了帧中存在的所有字段(所有标头+数据)。使用示例转储,我们可以看到,某些信息集采用不可读数据的形式(可能是加密的),并且在 802.11 标头中,您可以找到 CCMP 信息(它确认流量是 AES 加密的),因此它必须是 WPA2无线网络。
十六进制转储- 十六进制转储与上面“数据的解码参数”中的信息完全相同,但采用十六进制格式。原因是,十六进制表示是数据包的原始方式,但 Wireshark 有数千个“流量模板”,用于将特定的十六进制值映射到已知的协议字段。例如,在 802.11 标头中,从 5 到 11 的字节始终是无线帧的 MAC 地址的源,使用相同的模式映射,Wireshark(和其他嗅探器)可以重新构造和解码静态(众所周知)协议字段。
您可以使用常见的.pcap格式保存所有流量转储,该格式稍后可以用作 python 脚本的输入,这些脚本对收集的流量执行一些高级操作(例如破解加密模型)。
您应该注意的另一个工具是Kismet。一旦您启动 Kismet 工具并指定mon0接口,它将列出您环境中检测到的所有 SSID。
在 Kismet 运行期间,所有无线数据包都会被收集并存储在.pcap文件中。当您退出程序时,您会收到一条消息,表明所有无线数据包转储均已保存,您可以在以后访问它们。
在上面的示例中,所有数据包转储都存储在二进制文件中(当您使用“more”或“vi”或“nano”等打开这些文件时,它们不是可读格式)。
要正确打开它们,您必须使用 Wireshark(再次!)。
