导言
无线网络的弊端在于你总是无法看到所面对的问题。在无线网络中,建立连接并不像连接有线网络那样简单,物理安全也没有阻止未经授权人员进入设备室那样容易,甚至在接入点总方向的小问题都可能让你崩溃。也就是说,保护无线网络安全将成为未来安全行业的挑战。
在这篇文章中,我们将探讨解决利用数据包分析无线安全问题的实用技巧,首先我们将展示正确连接无线网络数据包的方法,收集到正确数据后,我们将探讨不同的分析技术,包括分析WEP/WPA认证、过滤加密流量以及寻找恶意接入点等。
捕获无线数据包
从数据包来看,无线网络与有线网络在很多方面都具有相似之处,无线网络仍然使用TCP/IP进行数据通信,并遵守与有线主机同样的有关网络的法律。这两种网络平台的主要区别出现在OSI模型的较低层,无线网络是通过在空中发送数据来通信,而不是通过数据线来发送数据。无线数据通信的媒介是共享的媒介,也正是因为这种特殊性,在物理和数据链接层必须进行特殊处理以确保不会发生数据冲突并且数据能够正确传输。这些服务由802.11标准的不同机制来提供。
这涉及到排除无线网络故障的问题,因为必须捕获两层802.11信息才能支持故障排除。为了做到这一点,你必须能够将无线网络接口卡(WNIC)接入到特殊模式,也就是监视器模式。监视器模式市一中特殊的驱动程序设置,限制了无线网络接口卡发送数据的能力,让无线网络接口卡只能被动地听取选定的频道。
在Linux操作系统,我们可以很简单地将无线网络接口卡转变为监视器模式,但是大部分Windows驱动程序都不允许这个功能。因此,我们需要一块特殊的硬件来实现模式转换。这块硬件被成为AirPcap,由CACE技术公司所制作。AirPcap设备本质上是一个无线网络接口卡,主要用于Windows操作系统和Wireshark数据包捕获工具中的监视器模式。使用这个设备,你可以从你想要收听的无线频道捕获两层802.11信息。
802.11数据包结构
无线数据包和有线数据包的主要区别在于802.11表头的增加,这是一个第二层表头,包含关于数据包和传输媒介的额外信息。主要有三种类型的802.11数据包:数据、管理和控制。
管理 - 这些数据包用于建立第二层主机间的连接,一些重要的管理数据包子类型报告身份验证数据包、关联数据包和Beacon数据包。
控制 - 控制数据包允许对管理数据包和数据数据包的传递,并于拥塞管理有关。常见子类型包括请求到发送和清除到发送数据包。
数据 - 这些数据包包含实际数据,并且是能够从无线网络转发到有线网络的唯一数据包类型。
探讨每种802.11数据包子类型有点偏离本文主题,下面我们再将重点放在安全方面的无线网络问题。
寻找恶意接入点
IT资产的物理安全是安全领域最常被忽视的问题。而在这个方面,最常见的疏漏之一就是将未经授权设备增加到网络上。在有线网络世界,未经授权的路由器可能会导致拒绝服务攻击。虽然有线网络世界未经授权设备会造成严重后果,但恶意无线接入点(WAP)的影响则更大,因为恶意无线接入点可能会允许设备外的人员获取到网络的访问权限,就像他们可以随意走进来,将笔记本连接到网络中一样。
幸运的是,检测恶意无线接入点可以以相当简单的方式实现。为了实现这一点,你必须首先从网络广播范围内的几个区域捕获无线流量。然后,有几个不同的过滤器可以用于确定是否存在恶意接入点以及客户端是否与恶意接入点通信。
